Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Amazon EMR Block Public Access
Amazon EMR *Block Public Access (BPA)* verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt.
**Wichtig**
*Den öffentlichen Zugriff blockieren* ist standardmäßig aktiviert. Um den Kontoschutz zu erhöhen, empfehlen wir, ihn aktiviert zu lassen.
## Grundlegendes zum Blockieren des öffentlichen Zugriffs
Sie können die Konfiguration *Block Public Access* auf Kontoebene verwenden, um den öffentlichen Netzwerkzugriff auf Amazon-EMR-Cluster zentral zu verwalten.
Wenn ein Benutzer von Ihnen einen Cluster AWS-Konto startet, überprüft Amazon EMR die Portregeln in der Sicherheitsgruppe für den Cluster und vergleicht sie mit Ihren Regeln für eingehenden Datenverkehr. Wenn die Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die Ports zu den öffentlichen IP-Adressen IPv4 0.0.0.0/0 oder IPv6 : :/0 öffnet, und diese Ports nicht als Ausnahmen für Ihr Konto angegeben sind, lässt Amazon EMR den Benutzer den Cluster nicht erstellen.
Wenn ein Benutzer die Sicherheitsgruppenregeln für einen laufenden Cluster in einem öffentlichen Subnetz so ändert, dass er über eine Regel für den öffentlichen Zugriff verfügt, die gegen die BPA-Konfiguration für Ihr Konto verstößt, widerruft Amazon EMR die neue Regel, sofern es dazu berechtigt ist. Wenn Amazon EMR nicht berechtigt ist, die Regel zu widerrufen, wird im AWS Health -Dashboard ein Ereignis erstellt, das den Verstoß beschreibt. Informationen dazu, wie Sie Amazon EMR die Berechtigung zum Widerrufen der Regel erteilen, finden Sie unter [Amazon EMR so konfigurieren, dass Sicherheitsgruppenregeln aufgehoben werden](#revoke-block-public-access).
Den öffentlichen Zugriff blockieren ist standardmäßig für alle Cluster in jedem AWS-Region für Ihr AWS-Konto aktiviert. BPA gilt für den gesamten Lebenszyklus eines Clusters, gilt jedoch nicht für Cluster, die Sie in privaten Subnetzen erstellen. Sie können Ausnahmen von der BPA-Regel konfigurieren. Port 22 ist standardmäßig eine Ausnahme. Weitere Informationen zur Einstellung finden Sie unter [Konfigurieren von Block Public Access](#configure-block-public-access).
## Konfigurieren von Block Public Access
Sie können die Sicherheitsgruppen und die Konfiguration zum Sperren des öffentlichen Zugriffs in Ihren Konten jederzeit aktualisieren.
Sie können die Einstellungen für den öffentlichen Zugriff (Block Public Access, BPA) mit der AWS-Managementkonsole, der AWS Command Line Interface (AWS CLI) und der Amazon EMR-API ein- und ausschalten. Die Einstellungen gelten für Ihr gesamtes Konto auf einer Region-by-Region bestimmten Basis. Um die Clustersicherheit aufrechtzuerhalten, wird die Verwendung von BPA empfohlen.
------
#### [ Console ]
**Um den öffentlichen Zugriff blockieren mit der Konsole zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie dann die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie in der oberen Navigationsleiste die **Region** aus, die Sie konfigurieren möchten, sofern sie nicht bereits ausgewählt ist.
1. Wählen Sie im linken Navigationsbereich unter **EMR in EC2** die Option **Block Public Access** aus.
1. Führen Sie unter **Block public access settings ** (Einstellungen für die Sperrung des öffentlichen Zugriffs) die folgenden Schritte aus.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-block-public-access.html)
------
#### [ AWS CLI ]
**Um den öffentlichen Zugriff sperren zu konfigurieren, verwenden Sie den AWS CLI**
+ Verwenden Sie den `aws emr put-block-public-access-configuration`-Befehl, um Block Public Access zu konfigurieren, wie in den folgenden Beispielen gezeigt.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-block-public-access.html)
------
## Amazon EMR so konfigurieren, dass Sicherheitsgruppenregeln aufgehoben werden
Amazon EMR benötigt die Erlaubnis, Sicherheitsgruppenregeln zu widerrufen und Ihre Konfiguration für die Blockierung des öffentlichen Zugriffs einzuhalten. Sie können einen der folgenden Ansätze verwenden, um Amazon EMR die erforderliche Genehmigung zu erteilen:
+ **(Empfohlen)** Fügen Sie der Servicerolle die `AmazonEMRServicePolicy_v2`-verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Servicerolle für Amazon EMR (EMR-Rolle)](emr-iam-role.md).
+ Erstellen Sie eine neue Inline-Richtlinie, die die `ec2:RevokeSecurityGroupIngress`-Aktion für Sicherheitsgruppen ermöglicht. Weitere Informationen zum Ändern einer Rollenberechtigungsrichtlinie finden Sie unter **Ändern einer Rollenberechtigungsrichtlinie** mit der [IAM-Konsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), der [AWS -API](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api) und [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli) im *IAM-Benutzerhandbuch*.
## Beheben von Verletzungen des Blockieren des öffentlichen Zugriffs
Wenn ein Verstoß gegen die Sperrung des öffentlichen Zugriffs auftritt, können Sie ihn mit einer der folgenden Maßnahmen beheben:
+ Wenn Sie auf eine Webschnittstelle Ihres Clusters zugreifen möchten, verwenden Sie eine der unter [Anzeigen von auf Amazon-EMR-Clustern gehosteten Webschnittstellen](emr-web-interfaces.md) beschriebenen Optionen, um über SSH (Port 22) auf die Schnittstelle zuzugreifen.
+ Um den Datenverkehr zum Cluster von bestimmten IP-Adressen statt von der öffentlichen IP-Adresse aus zuzulassen, fügen Sie eine Sicherheitsgruppenregel hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Regeln zur Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule) im *Amazon-EC2-Benutzerhandbuch*.
+ **(Nicht empfohlen)** Sie können Amazon-EMR-BPA-Ausnahmen so konfigurieren, dass sie den gewünschten Port oder Portbereich enthalten. Wenn Sie eine BPA-Ausnahme angeben, gehen Sie mit einem ungeschützten Port ein Risiko ein. Wenn Sie beabsichtigen, eine Ausnahme anzugeben, sollten Sie die Ausnahme entfernen, sobald sie nicht mehr benötigt wird. Weitere Informationen finden Sie unter [Konfigurieren von Block Public Access](#configure-block-public-access).
## Identifizieren Sie Cluster, die Sicherheitsgruppenregeln zugeordnet sind
Möglicherweise müssen Sie alle Cluster identifizieren, die einer bestimmten Sicherheitsgruppenregel zugeordnet sind, oder die Sicherheitsgruppenregel für einen bestimmten Cluster finden.
+ Wenn Sie die Sicherheitsgruppe kennen, können Sie die zugehörigen Cluster identifizieren, wenn Sie die Netzwerkschnittstellen für die Sicherheitsgruppe finden. Weitere Informationen finden Sie unter [Wie finde ich die Ressourcen, die einer Amazon-EC2-Sicherheitsgruppe zugeordnet sind?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) in AWS re:Post. Die Amazon EC2-Instances, die an diese Netzwerkschnittstellen angeschlossen sind, werden mit der ID des Clusters gekennzeichnet, zu dem sie gehören.
+ Wenn Sie die Sicherheitsgruppen für einen bekannten Cluster suchen möchten, folgen Sie den Schritten unter [Status und Details des Amazon EMR-Clusters anzeigen](emr-manage-view-clusters.md). Sie finden die Sicherheitsgruppen für den Cluster im Bereich **Netzwerk und Sicherheit** in der Konsole oder im `Ec2InstanceAttributes`-Feld unter AWS CLI.