Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controla el tráfico de red con grupos de seguridad para tu EMR clúster de Amazon
Los grupos de seguridad actúan como firewalls virtuales para las EC2 instancias de su clúster a fin de controlar el tráfico entrante y saliente. Cada grupo de seguridad tiene un conjunto de reglas que controlan el tráfico entrante y un conjunto de reglas distinto que controlan el tráfico saliente. Para obtener más información, consulta los grupos EC2 de seguridad de Amazon para instancias de Linux en la Guía del EC2 usuario de Amazon.
Con Amazon se utilizan dos clases de grupos de seguridadEMR: grupos de seguridad EMR gestionados por Amazon y grupos de seguridad adicionales.
Cada clúster tiene asociados grupos de seguridad administrados. Puede utilizar los grupos de seguridad gestionados predeterminados que EMR crea Amazon o especificar grupos de seguridad gestionados personalizados. De cualquier forma, Amazon añade EMR automáticamente reglas a los grupos de seguridad gestionados que un clúster necesita para comunicarse entre las instancias y AWS los servicios del clúster.
Los grupos de seguridad adicionales son opcionales. Puede especificarlos junto con los grupos de seguridad administrados para adaptar el acceso a las instancias de clúster. Los grupos de seguridad adicionales contienen solo las reglas que defina. Amazon EMR no las modifica.
Las reglas que Amazon EMR crea en los grupos de seguridad gestionados permiten que el clúster se comunique entre los componentes internos. Para permitir que los usuarios y las aplicaciones obtengan acceso a un clúster desde fuera de este, puede editar las reglas de los grupos de seguridad administrados, crear grupos de seguridad adicionales con reglas adicionales o ambas cosas.
importante
Además, la edición de reglas de los grupos de seguridad administrados puede tener consecuencias no deseadas. Es posible bloquear accidentalmente el tráfico necesario para que los clústeres funcionen correctamente y generar errores debido a que los nodos estén inaccesibles. Planifique y pruebe cuidadosamente las configuraciones de los grupos de seguridad antes de su implementación.
Solo puede especificar grupos de seguridad al crear un clúster. No se pueden añadir a un clúster ni a las instancias de clúster mientras se está ejecutando un clúster, pero es posible editar, añadir y eliminar reglas de los grupos de seguridad existentes. Las reglas surtirán efecto tan pronto como se guarden.
Los grupos de seguridad son restrictivos de forma predeterminada. A menos que se añada una regla que permita el tráfico, el tráfico se rechaza. Si existe más de una regla que se aplica al mismo tráfico y al mismo origen, se aplica la regla más permisiva. Por ejemplo, si tiene una regla que permite el acceso SSH desde la dirección IP 192.0.2.12/32 y otra que permite el acceso a todo el TCP tráfico del rango 192.0.2.0/24, prevalecerá la regla que permita todo el TCP tráfico del rango que incluye 192.0.2.12. En este caso, el cliente en la dirección 192.0.2.12 podría tener más acceso del deseado.
importante
Actúe con precaución al editar las reglas de grupos de seguridad para abrir puertos. Asegúrese de agregar reglas que solo permitan el tráfico desde los clientes de confianza y autenticados para los protocolos y puertos necesarios para ejecutar las cargas de trabajo.
Puedes configurar Amazon para EMR bloquear el acceso público en cada región que utilices para impedir la creación de clústeres si una regla permite el acceso público en cualquier puerto que no añadas a una lista de excepciones. Para AWS las cuentas creadas después de julio de 2019, Amazon EMR bloquea el acceso público de forma predeterminada. Para AWS las cuentas que crearon un clúster antes de julio de 2019, Amazon EMR bloquea el acceso público de forma predeterminada. Para obtener más información, consulte Uso de Amazon para EMR bloquear el acceso público.
Temas
- Trabajar con grupos de seguridad EMR gestionados por Amazon
- Trabajar con grupos de seguridad adicionales para un EMR clúster de Amazon
- Especificación de grupos EMR de seguridad adicionales y gestionados por Amazon
- Especificación EC2 de grupos de seguridad para ordenadores portátiles EMR
- Uso de Amazon para EMR bloquear el acceso público
nota
Amazon EMR pretende utilizar alternativas inclusivas para términos industriales potencialmente ofensivos o no inclusivos, como «amo» y «esclavo». Hemos adoptado una nueva terminología para fomentar una experiencia más inclusiva y que así pueda entender mejor los componentes del servicio.
Ahora describimos los «nodos» como instancias y describimos los tipos de EMR instancias de Amazon como instancias principales, principales y de tareas. Durante la transición, es posible que sigas encontrando referencias antiguas a términos anticuados, como los que se refieren a los grupos de seguridad de AmazonEMR.