Usar o bloqueio de acesso público do Amazon EMR - Amazon EMR
Noções básicas sobre BPAConfigurar o BPAConfigurar permissões para revogarResolver violações ao BPAIdentificar clusters associados às regras do grupo de segurança

Usar o bloqueio de acesso público do Amazon EMR

O bloqueio de acesso público (BPA) do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta.

Importante

O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

Noções básicas do bloqueio ao acesso público

É possível usar a configuração em nível de conta de bloqueio de acesso público para gerenciar o acesso à rede pública aos clusters do Amazon EMR de maneira centralizada.

Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abra portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 ::/0, e essas portas não forem especificadas como exceções para a conta, o Amazon EMR não permitirá que o usuário crie o cluster.

Se um usuário modificar as regras do grupo de segurança de um cluster em execução em uma sub-rede pública para ter uma regra de acesso público que viole a configuração do BPA da conta, o Amazon EMR revogará a nova regra se tiver permissão para isso. Se o Amazon EMR não tiver permissão para revogar a regra, ele criará um evento no painel AWS Health que descreva a violação. Para conceder a permissão de revogação da regra ao Amazon EMR, consulte Configurar o Amazon EMR para revogar regras do grupo de segurança.

O bloqueio de acesso público é habilitado por padrão para todos os clusters em cada Região da AWS de sua Conta da AWS. O BPA se aplica a todo o ciclo de vida de um cluster, mas não se aplica aos clusters criados em sub-redes privadas. É possível configurar exceções à regra do BPA; a porta 22 é uma exceção por padrão. Para obter mais informações sobre como configurar exceções, consulte Configurar o bloqueio de acesso público.

Configurar o bloqueio de acesso público

Você pode atualizar os grupos de segurança e a configuração de bloqueio de acesso público de suas contas a qualquer momento.

É possível ativar e desativar as configurações de bloqueio de acesso público (BPA) com o AWS Management Console, a AWS Command Line Interface (AWS CLI) e a API do Amazon EMR. As configurações se aplicam à sua conta com base na Região. Para manter a segurança do cluster, é recomendável usar o BPA.

Console
Para configurar o bloqueio de acesso público usando o console

  1. Faça login no AWS Management Console, depois abra o console do Amazon EMR em https://console.aws.amazon.com/emr.

  2. Na barra de navegação superior, selecione a região que você deseja configurar, se ainda não estiver selecionada.

  3. Em EMR no EC2, no painel de navegação esquerdo, escolha Bloqueio de acesso público.

  4. Em Block public access settings (Configurações de bloqueio de acesso público), conclua as etapas a seguir.

    Para... Fazer isso...

    Ativar ou desativar o bloqueio de acesso público

    Escolha Editar, escolha Ativar ou Desativar, conforme o caso, e escolha Salvar.

    Editar portas na lista de exceções

    1. Escolha Editar e encontre a seção Exceções do intervalo de portas.

    2. Para adicionar portas à lista de exceções, escolha Add a port range (Adicionar um intervalo de portas) e insira uma nova porta ou um intervalo de portas. Repita para cada porta ou intervalo de portas a ser adicionado.

    3. Para remover uma porta ou um intervalo de portas, escolha Remover ao lado da entrada na lista de intervalos de portas.

    4. Escolha Salvar.
AWS CLI
Para configurar o bloqueio de acesso público usando o AWS CLI

  • Use o comando aws emr put-block-public-access-configuration para configurar o bloqueio de acesso público, conforme mostrado nos exemplos a seguir.

    Para... Fazer isso...

    Ativar o bloqueio de acesso público

    Defina BlockPublicSecurityGroupRules como true, conforme mostrado no exemplo a seguir. Para que o cluster seja iniciado, nenhum grupo de segurança associado a um cluster pode ter uma regra de entrada que permita acesso público.

    aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true

    Desativar o bloqueio de acesso público

    Defina BlockPublicSecurityGroupRules como false, conforme mostrado no exemplo a seguir. Os grupos de segurança associados a um cluster podem ter regras de entrada que permitam o acesso público em qualquer porta. Não recomendamos essa configuração.

    aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false

    Ativar o bloqueio de acesso público e especificar portas como exceções

    O exemplo a seguir ativa o bloqueio de acesso público e especifica a porta 22 e as portas 100-101 como exceções. Isso permite que os clusters sejam criados se um grupo de segurança associado tiver uma regra de entrada que permita o acesso público na porta 22, na porta 100 ou na porta 101.

    aws emr put-block-public-access-configuration --block-public-access-configuration  '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'

Configurar o Amazon EMR para revogar regras do grupo de segurança

O Amazon EMR precisa de permissão para revogar regras do grupo de segurança e cumprir sua configuração de bloqueio de acesso público. Você pode usar uma destas abordagens para dar a permissão necessária ao Amazon EMR:

  • (Recomendado) Anexe a política gerenciada AmazonEMRServicePolicy_v2 ao perfil de serviço. Para ter mais informações, consulte Perfil de serviço para Amazon EMR (perfil do EMR).

  • Crie uma nova política em linha que permita a ação ec2:RevokeSecurityGroupIngress em grupos de segurança. Para obter mais informações sobre como modificar uma política de permissões de perfil, consulte Modificar uma política de permissões de perfil com o console do IAM, a API da AWS e a AWS CLI no Guia do usuário do IAM.

Resolver violações ao bloqueio de acesso público

Se ocorrer uma violação ao bloqueio de acesso público, você poderá mitigá-la com uma destas ações:

  • Se quiser acessar uma interface da Web no cluster, use uma das opções descritas em Visualizar interfaces Web hospedadas em clusters do Amazon EMR para acessar a interface por meio de SSH (porta 22).

  • Para permitir o tráfego no cluster com base em endereços IP específicos em vez do endereço IP público, adicione uma regra de grupo de segurança. Para obter mais informações, consulte Adicionar regras a um grupo de segurança, no Guia de conceitos básicos do Amazon EC2.

  • (Não recomendado) É possível configurar as exceções de BPA do Amazon EMR para incluir a porta ou o intervalo de portas desejado. Ao especificar uma exceção de BPA, você introduz riscos com uma porta desprotegida. Se você pretende especificar uma exceção, remova a exceção assim que ela não for mais necessária. Para ter mais informações, consulte Configurar o bloqueio de acesso público.

Identificar clusters associados às regras do grupo de segurança

Talvez seja necessário identificar todos os clusters associados a determinada regra de grupo de segurança ou encontrar a regra de grupo de segurança de determinado cluster.

  • Se você conhece o grupo de segurança, poderá identificar os clusters associados se encontrar as interfaces de rede do grupo de segurança. Para obter mais informações, consulte How can I find the resources associated with an Amazon EC2 security group? no AWS re:Post. As instâncias do Amazon EC2 que estão conectadas a essas interfaces de rede serão marcadas com o ID do cluster ao qual pertencem.

  • Se você quiser encontrar os grupos de segurança de um cluster conhecido, siga as etapas descritas em Exibição de status e detalhes do cluster do Amazon EMR. Você pode encontrar os grupos de segurança do cluster no painel Rede e segurança no console ou no campo Ec2InstanceAttributes da AWS CLI.