As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Amazon EMR
Esses controles estão relacionados aos recursos do Amazon EMR.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::EMR::Cluster
Regra do AWS Config : emr-master-no-public-ip
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.
Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado RUNNING ou WAITING.
Correção
Durante a inicialização, você pode controlar se sua instância em uma sub-rede padrão ou não padrão é atribuída a um endereço IPv4 público. Por padrão, as sub-redes padrão têm esse atributo definido como true. As sub-redes não padrão têm o atributo de endereçamento público IPv4 configurado como false, a menos que ele tenha sido criado pelo assistente de inicialização de instâncias do Amazon EC2. Nesse caso, o atributo é definido como true.
Após a inicialização, você não pode desassociar manualmente o endereço público IPv4 da sua instância.
Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha o atributo de endereçamento público IPv4 definido como false. Para obter instruções, consulte Executar clusters em uma VPC no Guia de gerenciamento do Amazon EMR.
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::::Account
Regra do AWS Config : emr-block-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.
O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abra portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 ::/0, e essas portas não forem especificadas como exceções para a conta, o Amazon EMR não permitirá que o usuário crie o cluster.
nota
O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.
Correção
Para configurar o bloqueio de acesso público para o Amazon EMR, consulte Uso do bloqueio de acesso público do Amazon EMR no Guia de gerenciamento do Amazon EMR.
