Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo del blocco dell'accesso pubblico di Amazon EMR
Amazon EMRbloccare l'accesso pubblico (BPA)impedisce l'avvio di un cluster in una sottorete pubblica se il cluster dispone di una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta.
Importante
Non ti consigliamo di disattivare l'accesso pubblico a blocchi per il tuo account.
Comprensione: bloccare l'accesso pubblico
Puoi usare ilbloccare l'accesso pubblicoconfigurazione a livello di account per gestire centralmente l'accesso alla rete pubblica ai cluster Amazon EMR.
Quando un utente del tuoAccount AWSavvia un cluster, Amazon EMR verifica le regole delle porte nel gruppo di sicurezza del cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 o IPv6: :/0 e tali porte non sono specificate come eccezioni per il tuo account, Amazon EMR non consente all'utente di creare il cluster.
Se un utente modifica le regole del gruppo di sicurezza per un cluster in esecuzione in una sottorete pubblica in modo da avere una regola di accesso pubblico che viola la configurazione BPA del tuo account, Amazon EMR revoca la nuova regola se è autorizzato a farlo. Se Amazon EMR non dispone dell'autorizzazione per revocare la regola, crea un evento nelAWS Healthdashboard che descrive la violazione. Per concedere l'autorizzazione alla regola di revoca ad Amazon EMR, consultaConsenti ad Amazon EMR di revocare le regole dei gruppi di sicurezza.
L'accesso pubblico a blocchi è abilitato per impostazione predefinita per tutti i cluster in ogniRegione AWSper il tuoAccount AWS. Il BPA si applica all'intero ciclo di vita di un cluster, ma non si applica ai cluster creati in sottoreti private. È possibile configurare eccezioni alla regola BPA; la porta 22 è un'eccezione per impostazione predefinita. Per ulteriori informazioni sull'impostazione delle eccezioni, vedereConfigurazione del blocco degli accessi pubblici.
Configurazione del blocco degli accessi pubblici
È possibile aggiornare i gruppi di sicurezza e la configurazione del blocco dell'accesso pubblico negli account in qualsiasi momento.
Puoi attivare e disattivare le impostazioni di blocco dell'accesso pubblico (BPA) conAWS Management Console, ilAWS Command Line Interface(AWS CLI) e l'API Amazon EMR. Le impostazioni si applicano all'account in base alla regione. Per mantenere la sicurezza del cluster, ti consigliamo di utilizzare BPA.
Risolvi le violazioni dell'accesso pubblico ai blocchi
Se si verifica una violazione del blocco dell'accesso pubblico, puoi mitigarla con una delle seguenti azioni:
-
(Consigliato)Se desideri accedere a un'interfaccia web sul tuo cluster, usa una delle opzioni descritte inVisualizzazione di interfacce Web ospitate su cluster Amazon EMRper accedere all'interfaccia tramite SSH (porta 22).
-
(Consigliato)Aggiungi una regola del gruppo di sicurezza per consentire il traffico verso il cluster da indirizzi IP specifici, anziché dall'indirizzo IP pubblico. Per ulteriori informazioni, vedereAggiungere regole a un gruppo di sicurezzanelGuida introduttiva ad Amazon EC2.
-
Configura le eccezioni di accesso pubblico a blocchi di Amazon EMR per includere la porta o l'intervallo di porte desiderati. Per ulteriori informazioni, consulta Configurazione del blocco degli accessi pubblici.
Consenti ad Amazon EMR di revocare le regole dei gruppi di sicurezza
Amazon EMR necessita dell'autorizzazione per revocare le regole dei gruppi di sicurezza e rispettare la configurazione a blocchi di accesso pubblico. Puoi utilizzare uno dei seguenti approcci per concedere ad Amazon EMR l'autorizzazione necessaria:
-
(Consigliato)Allega il
AmazonEMRServicePolicy_v2
politica gestita al ruolo di servizio. Per ulteriori informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR). -
Crea una nuova politica in linea che consenta di
ec2:RevokeSecurityGroupIngress
azione sui gruppi di sicurezza. Per ulteriori informazioni su come modificare una politica di autorizzazione dei ruoli, vedereModifica di una politica di autorizzazione dei ruoliconConsole IAM,AWSAPI, eAWS CLInelGuida per l'utente IAM.
Identifica i cluster associati alle regole dei gruppi di sicurezza
Potrebbe essere necessario identificare tutti i cluster associati a una determinata regola del gruppo di sicurezza o trovare la regola del gruppo di sicurezza per un determinato cluster.
-
Se conosci il gruppo di sicurezza, puoi identificare i cluster associati se trovi le interfacce di rete per il gruppo di sicurezza. Per ulteriori informazioni, vedereCome posso trovare le risorse associate a un gruppo di sicurezza Amazon EC2?
sulAWS re:Post. Le istanze Amazon EC2 collegate a queste interfacce di rete verranno contrassegnate con l'ID del cluster a cui appartengono. -
Se desideri trovare i gruppi di sicurezza per un cluster noto, procedi nel seguente modoVisualizzazione dello stato e dei dettagli di un cluster. È possibile trovare i gruppi di sicurezza per il cluster nelRete e sicurezzapannello nella console o nel
Ec2InstanceAttributes
campo dalAWS CLI.