As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Os grupos de segurança atuam como firewalls virtuais para EC2 instâncias em seu cluster para controlar o tráfego de entrada e saída. Cada grupo de segurança tem um conjunto de regras que controla o tráfego de entrada para as instâncias e um conjunto de regras separado para controlar o tráfego de saída. Para obter mais informações, consulte Grupos EC2 de segurança da Amazon para instâncias Linux no Guia EC2 do usuário da Amazon.
Você usa duas classes de grupos de segurança com a AmazonEMR: grupos de segurança EMR gerenciados pela Amazon e grupos de segurança adicionais.
Cada cluster tem grupos de segurança gerenciados associados a ele. Você pode usar os grupos de segurança gerenciados padrão que a Amazon EMR cria ou especificar grupos de segurança gerenciados personalizados. De qualquer forma, a Amazon adiciona EMR automaticamente regras aos grupos de segurança gerenciados que um cluster precisa para se comunicar entre instâncias e AWS serviços do cluster.
Grupos de segurança adicionais são opcionais. Você pode especificá-los além dos grupos de segurança gerenciados para personalizar o acesso às instâncias do cluster. Os grupos de segurança adicionais contêm apenas regras definidas por você. A Amazon EMR não os modifica.
As regras que a Amazon EMR cria em grupos de segurança gerenciados permitem que o cluster se comunique entre os componentes internos. Para permitir que usuários e aplicativos acessem um cluster de fora do cluster, você pode editar regras em grupos de segurança gerenciados, criar grupos de segurança adicionais com regras adicionais ou ambos.
Importante
A edição de regras em grupos de segurança gerenciados pode ter consequências inesperadas. Você pode bloquear acidentalmente o tráfego necessário para os clusters funcionarem corretamente e causar erros porque os nós estão inacessíveis. Tenha cuidado ao planejar e testar configurações de grupo de segurança antes da implementação.
Você pode especificar grupos de segurança somente ao criar um cluster. Eles não podem ser adicionados a um cluster ou instâncias do cluster enquanto um cluster está em execução, mas é possível editar, adicionar e remover regras de grupos de segurança existentes. As regras entram em vigor assim que você as salva.
Grupos de segurança são restritivos por padrão. A menos que seja adicionada uma regra que permita o tráfego, ele é rejeitado. Se houver mais de uma regra que se aplique ao mesmo tráfego e à mesma origem, a regra mais permissiva será aplicada. Por exemplo, se você tiver uma regra que permite a SSH partir do endereço IP 192.0.2.12/32 e outra regra que permite acesso a todo o tráfego do intervalo 192.0.2.0/24, a regra que permite todo o TCP tráfego do intervalo que inclui 192.0.2.12 tem precedência. TCP Nesse caso, o cliente em 192.0.2.12 pode ter mais acesso do que o desejado.
Importante
Tome cuidado ao editar as regras de grupo de segurança para portas abertas. Adicione regras que só permitam tráfego de clientes confiáveis e autenticados para os protocolos e portas que sejam necessários para executar suas workloads.
Você pode configurar o EMR bloqueio de acesso público da Amazon em cada região que você usa para evitar a criação de clusters se uma regra permitir acesso público em qualquer porta que você não adicione a uma lista de exceções. Para AWS contas criadas após julho de 2019, o EMR bloqueio de acesso público da Amazon está ativado por padrão. Para AWS contas que criaram um cluster antes de julho de 2019, o EMR bloqueio de acesso público da Amazon está desativado por padrão. Para obter mais informações, consulte Usando a Amazon, EMR bloqueie o acesso público.
Tópicos
- Trabalhando com grupos de segurança EMR gerenciados pela Amazon
- Trabalhando com grupos de segurança adicionais para um EMR cluster da Amazon
- Especificação de grupos de EMR segurança adicionais e gerenciados pela Amazon
- Especificando grupos EC2 de segurança para notebooks EMR
- Usando a Amazon, EMR bloqueie o acesso público
nota
A Amazon EMR pretende usar alternativas inclusivas para termos industriais potencialmente ofensivos ou não inclusivos, como “mestre” e “escravo”. Fizemos a transição para uma nova terminologia para promover uma experiência mais inclusiva e facilitar a compreensão dos componentes do serviço.
Agora descrevemos “nós” como instâncias e descrevemos os tipos de EMR instância da Amazon como instâncias primárias, centrais e de tarefas. Durante a transição, você ainda pode encontrar referências antigas a termos desatualizados, como aqueles que dizem respeito aos grupos de segurança da AmazonEMR.