Control del tráfico de red con grupos de seguridad para su clúster de Amazon EMR
Los grupos de seguridad funcionan como firewalls virtuales para que las instancias EC2 del clúster controlen el tráfico entrante y saliente. Cada grupo de seguridad tiene un conjunto de reglas que controlan el tráfico entrante y un conjunto de reglas distinto que controlan el tráfico saliente. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2.
Puede utilizar dos clases de grupos de seguridad con Amazon EMR: grupos de seguridad administrados por Amazon EMR y grupos de seguridad adicionales.
Cada clúster tiene asociados grupos de seguridad administrados. Puede utilizar los grupos de seguridad administrados predeterminados que Amazon EMR crea o especificar grupos de seguridad administrados personalizados. En ambos casos, Amazon EMR agrega automáticamente reglas a los grupos de seguridad administrados que un clúster necesita para comunicarse entre las instancias del clúster y los productos de AWS.
Los grupos de seguridad adicionales son opcionales. Puede especificarlos junto con los grupos de seguridad administrados para adaptar el acceso a las instancias de clúster. Los grupos de seguridad adicionales contienen solo las reglas que defina. Amazon EMR no los modifica.
Las reglas que Amazon EMR crea en los grupos de seguridad administrados permiten la comunicación entre los componentes internos del clúster. Para permitir que los usuarios y las aplicaciones obtengan acceso a un clúster desde fuera de este, puede editar las reglas de los grupos de seguridad administrados, crear grupos de seguridad adicionales con reglas adicionales o ambas cosas.
importante
Además, la edición de reglas de los grupos de seguridad administrados puede tener consecuencias no deseadas. Es posible bloquear accidentalmente el tráfico necesario para que los clústeres funcionen correctamente y generar errores debido a que los nodos estén inaccesibles. Planifique y pruebe cuidadosamente las configuraciones de los grupos de seguridad antes de su implementación.
Solo puede especificar grupos de seguridad al crear un clúster. No se pueden añadir a un clúster ni a las instancias de clúster mientras se está ejecutando un clúster, pero es posible editar, añadir y eliminar reglas de los grupos de seguridad existentes. Las reglas surtirán efecto tan pronto como se guarden.
Los grupos de seguridad son restrictivos de forma predeterminada. A menos que se añada una regla que permita el tráfico, el tráfico se rechaza. Si existe más de una regla que se aplica al mismo tráfico y al mismo origen, se aplica la regla más permisiva. Por ejemplo, si tiene una regla que permite el tráfico SSH desde la dirección IP 192.0.2.12/32 y otra regla que permite el acceso a todo el tráfico TCP desde el rango 192.0.2.0/24, tiene prioridad la regla que permite todo el tráfico TCP desde el rango que incluye 192.0.2.12. En este caso, el cliente en la dirección 192.0.2.12 podría tener más acceso del deseado.
importante
Actúe con precaución al editar las reglas de grupos de seguridad para abrir puertos. Asegúrese de agregar reglas que solo permitan el tráfico desde los clientes de confianza y autenticados para los protocolos y puertos necesarios para ejecutar las cargas de trabajo.
Puede configurar Bloquear acceso público de Amazon EMR en cada región que utilice para evitar la creación de clústeres si una regla permite el acceso público en algún puerto que no haya agregado a una lista de excepciones. En el caso de las cuentas de AWS creadas después de julio de 2019, Bloquear acceso público de Amazon EMR está activado de forma predeterminada. En el caso de las cuentas de AWS que crearon un clúster antes de julio de 2019, Bloquear acceso público de Amazon EMR está desactivado de forma predeterminada. Para obtener más información, consulte Uso de Bloquear el acceso público de Amazon EMR.
Temas
- Uso de grupos de seguridad administrados por Amazon EMR
- Trabajo con grupos de seguridad adicionales para un clúster de Amazon EMR
- Especificación de los grupos de seguridad adicionales administrados por Amazon EMR
- Especificación de grupos de seguridad de EC2 para Cuadernos de Amazon EMR
- Uso de Bloquear el acceso público de Amazon EMR
nota
Amazon EMR tiene como objetivo utilizar alternativas inclusivas para términos industriales potencialmente ofensivos o no inclusivos, como “maestro” y “esclavo”. Hemos adoptado una nueva terminología para fomentar una experiencia más inclusiva y que así pueda entender mejor los componentes del servicio.
Ahora describimos los “nodos” como instancias y describimos los tipos de instancias de Amazon EMR como instancias principales, básicas y de tareas. Durante la transición, es posible que siga encontrando referencias antiguas a términos obsoletos, como los que se refieren a los grupos de seguridad de Amazon EMR.
