Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
L'uso di Amazon EMR blocca l'accesso pubblico
Amazon EMR block public access (BPA) ti impedisce di avviare un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta.
Importante
Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.
Informazioni sul blocco dell'accesso pubblico
Puoi utilizzare la configurazione a livello di account ad accesso pubblico a blocchi per gestire centralmente l'accesso alla rete pubblica ai cluster AmazonEMR.
Quando un tuo utente Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 oIPv6:: /0 e tali porte non sono specificate come eccezioni per il tuo account, EMR Amazon non consente all'utente di creare il cluster.
Se un utente modifica le regole del gruppo di sicurezza per un cluster in esecuzione in una sottorete pubblica in modo da avere una regola di accesso pubblico che viola la BPA configurazione del tuo account, Amazon EMR revoca la nuova regola se dispone dell'autorizzazione per farlo. Se Amazon EMR non è autorizzata a revocare la regola, crea un evento nella AWS Health dashboard che descrive la violazione. Per concedere l'autorizzazione alla regola di revoca ad AmazonEMR, consulta. Configura Amazon EMR per revocare le regole dei gruppi di sicurezza
Il blocco dell'accesso pubblico è abilitato per impostazione predefinita per tutti i cluster di ogni Regione AWS per il tuo Account AWS. BPAsi applica all'intero ciclo di vita di un cluster, ma non si applica ai cluster creati in sottoreti private. È possibile configurare eccezioni alla BPA regola; la porta 22 è un'eccezione per impostazione predefinita. Per ulteriori informazioni sull'impostazione delle eccezioni, consulta Configurazione del blocco degli accessi pubblici.
Configurazione del blocco degli accessi pubblici
È possibile aggiornare i gruppi di sicurezza e la configurazione del blocco dell'accesso pubblico negli account in qualsiasi momento.
Puoi attivare e disattivare le impostazioni di blocco dell'accesso pubblico (BPA) con AWS Management Console, the AWS Command Line Interface (AWS CLI) e Amazon EMRAPI. Le impostazioni si applicano a tutto il tuo account su Region-by-Region base individuale. Per mantenere la sicurezza del cluster, ti consigliamo di utilizzareBPA.
Configura Amazon EMR per revocare le regole dei gruppi di sicurezza
Amazon EMR necessita dell'autorizzazione per revocare le regole dei gruppi di sicurezza e rispettare la tua configurazione di blocco dell'accesso pubblico. Puoi utilizzare uno dei seguenti approcci per concedere ad Amazon EMR l'autorizzazione necessaria:
-
Consigliato Collega la policy gestita da
AmazonEMRServicePolicy_v2
al ruolo di servizio. Per ulteriori informazioni, consulta Ruolo di servizio per Amazon EMR (EMRruolo). -
Crea una nuova policy inline che consenta l'operazione
ec2:RevokeSecurityGroupIngress
sui gruppi di sicurezza. Per ulteriori informazioni su come modificare una politica di autorizzazione dei ruoli, consulta Modifica della politica di autorizzazione di un ruolo con la IAMconsole e AWS CLInella Guida AWS APIper l'IAMutente.
Risoluzione delle violazioni dell'accesso pubblico
Se si verifica una violazione del blocco dell'accesso pubblico, puoi mitigarla con una delle seguenti azioni:
-
Se desideri accedere a un'interfaccia web sul tuo cluster, usa una delle opzioni descritte in Visualizza le interfacce Web ospitate su cluster Amazon EMR Per accedere all'interfaccia tramite SSH (porta 22).
-
Per consentire il traffico verso il cluster da indirizzi IP specifici anziché dall'indirizzo IP pubblico, aggiungi una regola del gruppo di sicurezza. Per ulteriori informazioni, consulta Aggiungere regole a un gruppo di sicurezza nella Amazon EC2 Getting Started Guide.
-
(Non consigliato) Puoi configurare le EMR BPA eccezioni di Amazon per includere la porta o l'intervallo di porte desiderati. Quando specifichi un'BPAeccezione, introduci dei rischi con una porta non protetta. Se intendi specificare un'eccezione, devi rimuoverla appena non è più necessaria. Per ulteriori informazioni, consulta Configurazione del blocco degli accessi pubblici.
Identificazione dei cluster associati alle regole dei gruppi di sicurezza
Potrebbe essere necessario identificare tutti i cluster associati a una determinata regola dei gruppi di sicurezza o trovare la regola dei gruppi di sicurezza per un determinato cluster.
-
Se conosci il gruppo di sicurezza, puoi identificare i cluster associati, se trovi le interfacce di rete per tale gruppo di sicurezza. Per ulteriori informazioni, consulta Come posso trovare le risorse associate a un gruppo EC2 di sicurezza Amazon?
su AWS re:Post. Le EC2 istanze Amazon collegate a queste interfacce di rete verranno contrassegnate con l'ID del cluster a cui appartengono. -
Se desideri trovare i gruppi di sicurezza per un cluster noto, segui i passaggi riportati in Visualizzazione dello stato e dei dettagli di un cluster. Puoi trovare i gruppi di sicurezza per il cluster nel riquadro Rete e sicurezza della console o nel campo
Ec2InstanceAttributes
della AWS CLI.