Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo dei gruppi di sicurezza gestiti da Amazon EMR
**Nota**
Amazon EMR mira a utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come "master" e "slave". Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.
Ora descriviamo i "nodi" come **istanze** e descriviamo i tipi di istanze Amazon EMR come **primario**i, **principale** e **attività**. Durante la transizione, potresti ancora trovare riferimenti precedenti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon EMR.
I diversi gruppi di sicurezza gestiti sono associati all'istanza primaria e alle istanze principali e attività in un cluster. Quando si crea un cluster in una sottorete privata, è necessario un ulteriore gruppo di sicurezza gestito per l'accesso ai servizi. Per ulteriori informazioni sul ruolo dei gruppi di sicurezza gestiti per quanto riguarda la configurazione di rete, consulta [Opzioni Amazon VPC all'avvio di un cluster](emr-clusters-in-a-vpc.md).
Quando vengono specificati i gruppi di sicurezza gestiti per un cluster, è necessario utilizzare lo stesso tipo di gruppo di sicurezza, predefinito o personalizzato, per tutti i gruppi di sicurezza gestiti. Ad esempio, non è possibile specificare un gruppo di sicurezza personalizzato per l'istanza primaria, quindi non specificare un gruppo di sicurezza personalizzato per le istanze principali e le istanze attività.
Se utilizzi i gruppi di sicurezza gestiti predefiniti, non è necessario specificarli quando si crea un cluster. Amazon EMR utilizza automaticamente le impostazioni predefinite. Inoltre, se le impostazioni predefinite non esistono ancora nel VPC del cluster, Amazon EMR le crea. Amazon EMR le crea anche se vengono specificate in modo esplicito e non esistono ancora.
Puoi modificare le regole nei gruppi di sicurezza gestiti dopo la creazione dei cluster. Quando crei un nuovo cluster, Amazon EMR controlla le regole nei gruppi di sicurezza gestiti specificati e quindi crea tutte le regole *in entrata* mancanti necessarie per il nuovo cluster, oltre alle regole che possono essere state aggiunte in precedenza. Salvo diversamente specificato, ciascuna regola per gruppi di sicurezza gestiti da Amazon EMR predefiniti viene anche aggiunta a gruppi di sicurezza gestiti da Amazon EMR personalizzati da te specificati.
I gruppi di sicurezza gestiti predefiniti sono i seguenti:
+ **ElasticMapReduce-primario**
Per le regole in questo gruppo di sicurezza, consulta [Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti pubbliche)](#emr-sg-elasticmapreduce-master).
+ **ElasticMapReduce-nucleo**
Per le regole in questo gruppo di sicurezza, consulta [Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti pubbliche)](#emr-sg-elasticmapreduce-slave).
+ **ElasticMapReduce-Primario-Privato**
Per le regole in questo gruppo di sicurezza, consulta [Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti private)](#emr-sg-elasticmapreduce-master-private).
+ **ElasticMapReduce-Privato principale**
Per le regole in questo gruppo di sicurezza, consulta [Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti private)](#emr-sg-elasticmapreduce-slave-private).
+ **ElasticMapReduce-ServiceAccess**
Per le regole in questo gruppo di sicurezza, consulta [Gruppo di sicurezza gestito da Amazon EMR per l'accesso ai servizi (sottoreti private)](#emr-sg-elasticmapreduce-sa-private).
## Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti pubbliche)
**Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti pubbliche ha il **nome di gruppo** -primary. ElasticMapReduce** Include le seguenti regole: Se specifichi un gruppo di sicurezza gestito personalizzato, Amazon EMR aggiungerà le stesse regole al gruppo di sicurezza personalizzato.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-man-sec-groups.html)
**Per concedere a fonti attendibili l'accesso SSH al gruppo di sicurezza primario con la console**
Per modificare i gruppi di sicurezza, devi disporre dell'autorizzazione per gestire i gruppi di sicurezza per il VPC in cui si trova il cluster. Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) e la [Policy di esempio](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html) che consente di gestire i gruppi di sicurezza EC2 nella *Guida per l'utente IAM*.
1. [Accedi a e apri Console di gestione AWS la console Amazon EMR su https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. Scegli **Cluster**. Scegli l'**ID** del cluster che desideri modificare.
1. Nel riquadro **Rete e sicurezza**, espandi il menu a discesa dei **gruppi di sicurezza EC2 (firewall)**.
1. Nel **nodo primario**, scegli il tuo gruppo di sicurezza.
1. Sceglere **Edit inbound rules (Modifica regole in entrata)**.
1. Verifica la presenza di una regola in entrata che consenta l'accesso pubblico con le seguenti impostazioni. Se esiste, scegli **Elimina** per rimuoverla.
+ **Tipo**
SSH
+ **Porta**
22
+ **Origine**
Personalizzata 0.0.0.0/0
**avvertimento**
Prima di dicembre 2020, esisteva una regola preconfigurata per consentire il traffico in entrata sulla porta 22 da tutte le fonti. Questa regola è stata creata per semplificare le connessioni SSH iniziali al nodo primario. Consigliamo vivamente di rimuovere questa regola in entrata e limitare il traffico alle origini affidabili.
1. Scorri fino alla fine dell'elenco di regole e seleziona **Aggiungi regola**.
1. Per **Tipo**, seleziona **SSH**.
Selezionando SSH si inserisce in automatico **TCP** per **Protocollo** e **22** per **Intervallo porta**.
1. Per origine, seleziona **Il mio IP** per aggiungere in automatico il tuo indirizzo IP come indirizzo di origine. Puoi anche aggiungere un intervallo di indirizzi IP affidabili del client **Custom (Personalizzato)**, o creare regole aggiuntive per altri client. In molti ambienti di rete, gli indirizzi IP vengono allocati in modo dinamico, perciò, nel futuro, potrebbe essere necessario aggiornare gli indirizzi IP per client affidabili.
1. Scegli **Save** (Salva).
1. Facoltativamente, scegli l'altro gruppo di sicurezza in **Core e task nodes** nel pannello **Rete e sicurezza e** ripeti i passaggi precedenti per consentire al client SSH l'accesso ai nodi principali e task.
## Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti pubbliche)
**Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti pubbliche ha il nome di **gruppo** -core. ElasticMapReduce** Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti private)
****Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti private ha il nome di gruppo -Primary-Private. ElasticMapReduce**** Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti private)
****Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti private ha il nome di gruppo -Core-Private. ElasticMapReduce**** Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-man-sec-groups.html)
### Modifica di regole in uscita
Per impostazione predefinita, Amazon EMR crea questo gruppo di sicurezza con regole in uscita che consentono tutto il traffico in uscita su protocolli e porte. L'autorizzazione di tutto il traffico in uscita è selezionata perché diverse applicazioni Amazon EMR e cliente eseguibili su cluster Amazon EMR potrebbero richiedere regole di uscita diverse. Amazon EMR non è in grado di prevedere queste impostazioni specifiche durante la creazione di gruppi di sicurezza predefiniti. È possibile definire l'ambito in uscita nei gruppi di sicurezza in modo da includere solo le regole che si adattano ai casi d'uso e alle policy di sicurezza. Questo gruppo di sicurezza richiede almeno le seguenti regole in uscita, ma alcune applicazioni potrebbero richiedere un'uscita aggiuntiva.
| Tipo | Protocollo | Intervallo porte | Destinazione | Informazioni |
| --- | --- | --- | --- | --- |
| Tutte le regole TCP | TCP | Tutti | pl- xxxxxxxx | Elenco dei prefissi Amazon S3 gestiti com.amazonaws.MyRegion.s3. |
| All Traffic | Tutti | Tutti | sg- xxxxxxxxxxxxxxxxx | L'ID del gruppo di sicurezza ElasticMapReduce-Core-Private. |
| All Traffic | Tutti | Tutti | sg- xxxxxxxxxxxxxxxxx | L'ID del gruppo di sicurezza ElasticMapReduce-Primary-Private. |
| TCP personalizzato | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx | L'ID del gruppo di sicurezza ElasticMapReduce-ServiceAccess. |
## Gruppo di sicurezza gestito da Amazon EMR per l'accesso ai servizi (sottoreti private)
**Il gruppo di sicurezza gestito predefinito per l'accesso ai servizi nelle sottoreti private ha il **nome del gruppo** di -. ElasticMapReduce ServiceAccess** Dispone di regole in entrata e di regole in uscita che consentono il traffico su HTTPS (porta 8443, porta 9443) per altri i gruppi di sicurezza gestiti nelle sottoreti private. Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. Le stesse regole sono necessarie se si utilizzano gruppi di sicurezza personalizzati.
| Tipo | Protocollo | Intervallo porte | Origine | Informazioni |
| --- | --- | --- | --- | --- |
| Regole in ingresso richieste per i cluster Amazon EMR con Amazon EMR versione 5.30.0 e successive. |
| TCP personalizzato | TCP | 9443 | L'ID del gruppo di sicurezza gestito dell'istanza primaria. | Questa regola consente la comunicazione tra il gruppo di sicurezza dell'istanza primaria e il gruppo di sicurezza di accesso al servizio. |
| Regole in uscita richieste per tutti i cluster Amazon EMR |
| TCP personalizzato | TCP | 8443 | L'ID del gruppo di sicurezza gestito dell'istanza primaria. | Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. |
| TCP personalizzato | TCP | 8443 | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. | Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. |