Controlla il traffico di rete con gruppi di sicurezza per il tuo EMR cluster Amazon - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla il traffico di rete con gruppi di sicurezza per il tuo EMR cluster Amazon

I gruppi di sicurezza fungono da firewall virtuali per le EC2 istanze del cluster per controllare il traffico in entrata e in uscita. Ogni gruppo di sicurezza ha un set di regole che controlla il traffico in entrata verso le istanze e un set di regole per controllare il traffico in uscita. Per ulteriori informazioni, consulta i gruppi EC2 di sicurezza Amazon per le istanze Linux nella Amazon EC2 User Guide.

Con Amazon utilizzi due classi di gruppi di sicurezzaEMR: gruppi di sicurezza EMR gestiti da Amazon e gruppi di sicurezza aggiuntivi.

A ogni cluster sono associati gruppi di sicurezza gestiti. Puoi utilizzare i gruppi di sicurezza gestiti predefiniti EMR creati da Amazon o specificare gruppi di sicurezza gestiti personalizzati. In entrambi i casi, Amazon aggiunge EMR automaticamente le regole ai gruppi di sicurezza gestiti di cui un cluster ha bisogno per comunicare tra istanze e AWS servizi del cluster.

I gruppi di sicurezza aggiuntivi sono facoltativi. È possibile specificarli in aggiunta ai gruppi di sicurezza gestiti per definire l'accesso alle istanze del cluster. Altri gruppi di sicurezza contengono solo regole definite. Amazon EMR non li modifica.

Le regole che Amazon EMR crea nei gruppi di sicurezza gestiti consentono al cluster di comunicare tra i componenti interni. Per consentire agli utenti e alle applicazioni di accedere a un cluster dall'esterno del cluster, è possibile modificare le regole per i gruppi di sicurezza gestiti oppure è possibile creare ulteriori gruppi di sicurezza con regole aggiuntive o entrambe le cose.

Importante

Modificare le regole per i gruppi di sicurezza gestiti può avere conseguenze impreviste. Potresti inavvertitamente bloccare il traffico necessario per il corretto funzionamento dei cluster e causare errori in quanto i nodi non sono raggiungibili. Pianifica attentamente e verifica le configurazioni per i gruppi di sicurezza prima dell'implementazione.

Puoi, quindi, specificare i gruppi di sicurezza solo al momento della creazione di un cluster. Essi non possono essere aggiunti a un cluster o alle istanze del cluster mentre il cluster è in esecuzione, ma è possibile modificare, aggiungere o rimuovere regole dai gruppi di sicurezza esistenti. Le regole diventano effettive non appena vengono salvate.

Per impostazione predefinita, i gruppi di sicurezza sono restrittivi Se non si aggiunge una regola che consente il traffico, il traffico viene rifiutato. Se è presente più di una regola che si applica allo stesso traffico e alla stessa origine, viene applicata la regola più permissiva. Ad esempio, se disponi di una regola che consente l'accesso SSH dall'indirizzo IP 192.0.2.12/32 e un'altra regola che consente l'accesso a tutto il traffico dall'intervallo 192.0.2.0/24, la regola che consente tutto il TCP traffico proveniente dall'intervallo che include 192.0.2.12 ha la precedenza. TCP In questo caso, il client all'intervallo 192.0.2.12 può avere più accesso di quanto si desideri.

Importante

Presta attenzione quando modifichi le regole per i gruppi di sicurezza per aprire le porte. Assicurati di aggiungere regole che permettano solo il traffico da client affidabili e autenticati per i protocolli e le porte necessari per eseguire i tuoi carichi di lavoro.

Puoi configurare Amazon per EMR bloccare l'accesso pubblico in ogni regione che utilizzi per impedire la creazione di cluster se una regola consente l'accesso pubblico su qualsiasi porta che non aggiungi a un elenco di eccezioni. Per AWS gli account creati dopo luglio 2019, l'accesso pubblico a EMR blocchi di Amazon è attivo per impostazione predefinita. Per AWS gli account che hanno creato un cluster prima di luglio 2019, l'accesso pubblico a EMR blocchi di Amazon è disattivato per impostazione predefinita. Per ulteriori informazioni, consulta L'uso di Amazon EMR blocca l'accesso pubblico.

Nota

Amazon EMR intende utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come «master» e «slave». Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.

Ora descriviamo i «nodi» come istanze e descriviamo i tipi di EMR istanze Amazon come istanze primarie, core e task. Durante la transizione, potresti ancora trovare riferimenti obsoleti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon. EMR