Controle do tráfego de rede com grupos de segurança para o cluster do Amazon EMR
Grupos de segurança atuam como firewalls virtuais para suas instâncias do EC2 em seu cluster para controlar o tráfego de entrada e saída. Cada grupo de segurança tem um conjunto de regras que controla o tráfego de entrada para as instâncias e um conjunto de regras separado para controlar o tráfego de saída. Para obter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Linux no Guia do usuário do Amazon EC2.
Você usa duas classes de grupos de segurança com o Amazon EMR: grupos de segurança gerenciados pelo Amazon EMR e grupos de segurança adicionais.
Cada cluster tem grupos de segurança gerenciados associados a ele. Você pode usar grupos de segurança gerenciados padrão que o Amazon EMR cria ou especificar grupos de segurança gerenciados personalizados. De qualquer forma, o Amazon EMR adiciona automaticamente regras para grupos de segurança gerenciados que um cluster precisa para se comunicar entre instâncias de cluster e serviços da AWS.
Grupos de segurança adicionais são opcionais. Você pode especificá-los além dos grupos de segurança gerenciados para personalizar o acesso às instâncias do cluster. Os grupos de segurança adicionais contêm apenas regras definidas por você. O Amazon EMR não os modifica.
As regras que o Amazon EMR cria em grupos de segurança gerenciados permitem que o cluster se comunique entre componentes internos. Para permitir que usuários e aplicativos acessem um cluster de fora do cluster, você pode editar regras em grupos de segurança gerenciados, criar grupos de segurança adicionais com regras adicionais ou ambos.
Importante
A edição de regras em grupos de segurança gerenciados pode ter consequências inesperadas. Você pode bloquear acidentalmente o tráfego necessário para os clusters funcionarem corretamente e causar erros porque os nós estão inacessíveis. Tenha cuidado ao planejar e testar configurações de grupo de segurança antes da implementação.
Você pode especificar grupos de segurança somente ao criar um cluster. Eles não podem ser adicionados a um cluster ou instâncias do cluster enquanto um cluster está em execução, mas é possível editar, adicionar e remover regras de grupos de segurança existentes. As regras entram em vigor assim que você as salva.
Grupos de segurança são restritivos por padrão. A menos que seja adicionada uma regra que permita o tráfego, ele é rejeitado. Se houver mais de uma regra que se aplique ao mesmo tráfego e à mesma origem, a regra mais permissiva será aplicada. Por exemplo, se você tiver uma regra que permita SSH do endereço IP 192.0.2.12/32 e outra regra que permita acesso a todo o tráfego TCP do mesmo intervalo 192.0.2.0/24, a regra que permitir todo o tráfego TCP do intervalo que inclua 192.0.2.12 terá precedência. Nesse caso, o cliente em 192.0.2.12 pode ter mais acesso do que o desejado.
Importante
Tome cuidado ao editar as regras de grupo de segurança para portas abertas. Adicione regras que só permitam tráfego de clientes confiáveis e autenticados para os protocolos e portas que sejam necessários para executar suas workloads.
Você poderá configurar o bloqueio de acesso público do Amazon EMR em cada região usada para impedir a criação de cluster se uma regra permitir acesso público em qualquer porta que você não adicionar a uma lista de exceções. Para as contas da AWS criadas após julho de 2019, o bloqueio de acesso público do Amazon EMR está ativado por padrão. Para as contas da AWS que criaram um cluster antes de julho de 2019, o bloqueio de acesso público do Amazon EMR é desativado por padrão. Para ter mais informações, consulte Usar o bloqueio de acesso público do Amazon EMR.
Tópicos
- Trabalhar com grupos de segurança gerenciados pelo Amazon EMR
- Trabalho com grupos de segurança adicionais em um cluster do Amazon EMR
- Especificar grupos de segurança gerenciados pelo Amazon EMR e adicionais
- Especificar grupos de segurança do EC2 para Cadernos do EMR
- Usar o bloqueio de acesso público do Amazon EMR
nota
O Amazon EMR procura usar alternativas inclusivas para termos setoriais potencialmente ofensivos ou não inclusivos, como “mestre” e “escravo”. Fizemos a transição para uma nova terminologia para promover uma experiência mais inclusiva e facilitar a compreensão dos componentes do serviço.
Agora descrevemos “nós” como instâncias e descrevemos os tipos de instância do Amazon EMR como instâncias primárias, centrais e de tarefa. Durante a transição, ainda é possível encontrar referências antigas a termos desatualizados, como aqueles que dizem respeito aos grupos de segurança do Amazon EMR.