Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de Bloquear el acceso público de Amazon EMR
<a name="emr-block-public-access"></a>

*Bloquear el acceso público (BPA)* de Amazon EMR le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto.

**importante**  
*Bloquear el acceso público* está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

## Explicación de Bloquear el acceso público
<a name="emr-block-public-access-about"></a>

Puede utilizar la configuración de cuenta de *Bloquear el acceso público* para administrar de forma centralizada el acceso a la red pública a los clústeres de Amazon EMR.

Cuando un usuario de su empresa Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 : :/0, y esos puertos no se especifican como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.

Si un usuario modifica las reglas del grupo de seguridad de un clúster en ejecución en una subred pública para tener una regla de acceso público que infrinja la configuración de BPA de su cuenta, Amazon EMR revoca la nueva regla si tiene permiso para hacerlo. Si Amazon EMR no tiene permiso para revocar la regla, crea un evento en el panel de AWS Health que describe la infracción. Para conceder el permiso de revocación de la regla a Amazon EMR, consulte [Configuración de Amazon EMR para revocar las reglas de los grupos de seguridad](#revoke-block-public-access).

Bloquear acceso público está habilitado de forma predeterminada para todos los clústeres de cada Región de AWS de su Cuenta de AWS. BPA se aplica a todo el ciclo de vida de un clúster, pero no a los clústeres que se crean en subredes privadas. Puede configurar excepciones a la regla de BPA; el puerto 22 es una excepción de forma predeterminada. Para obtener más información sobre la configuración de excepciones, consulte [Configuración de Bloquear el acceso público](#configure-block-public-access).

## Configuración de Bloquear el acceso público
<a name="configure-block-public-access"></a>

Puede actualizar los grupos de seguridad y la configuración de Bloquear el acceso público en sus cuentas en cualquier momento.

Puede activar y desactivar la configuración de bloqueo de acceso público (BPA) con Consola de administración de AWS, AWS Command Line Interface (AWS CLI) y la API Amazon EMR. La configuración se aplica a toda su cuenta de forma puntual. Region-by-Region Para mantener la seguridad del clúster, le recomendamos usar BPA.

------
#### [ Console ]

**Para configurar: bloqueo de acceso público con la consola**

1. [Inicie sesión en y, a continuación Consola de administración de AWS, abra la consola de Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. En la barra de navegación superior, seleccione la **Región** que quiera configurar si aún no está seleccionada.

1. En **EMR en EC2**, en el panel de navegación izquierdo, elija **Bloquear el acceso público**.

1. En **Block public access settings (Configuración de Block Public Access)**, complete los pasos siguientes.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-block-public-access.html)

------
#### [ AWS CLI ]

**Para configurar el bloqueo del acceso público mediante el AWS CLI**
+ Utilice el comando `aws emr put-block-public-access-configuration` para configurar Block Public Access, tal y como se muestra en los siguientes ejemplos.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-block-public-access.html)

------

## Configuración de Amazon EMR para revocar las reglas de los grupos de seguridad
<a name="revoke-block-public-access"></a>

Amazon EMR necesita permiso para revocar las reglas de los grupos de seguridad y cumplir con la configuración de Bloquear el acceso público. Puede seguir uno de estos métodos para conceder a Amazon EMR el permiso que necesita:
+ **Recomendado** Asocie la política administrada `AmazonEMRServicePolicy_v2` al rol de servicio. Para obtener más información, consulte [Rol de servicio para Amazon EMR (rol de EMR)](emr-iam-role.md).
+ Cree una nueva política insertada que permita realizar la acción `ec2:RevokeSecurityGroupIngress` en los grupos de seguridad. Para obtener más información sobre cómo modificar una política de permisos de roles, consulte **Modificación de una política de permisos de rol** con la [consola de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), la [API de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api) y [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli) en la *Guía del usuario de IAM*.

## Resolución de infracciones de Bloquear el acceso público
<a name="resolve-block-public-access"></a>

Si se produce una infracción de Bloquear el acceso público, puede mitigarla con una de las siguientes acciones:
+ Si desea acceder a una interfaz web de su clúster, utilice una de las opciones descritas en [Ver las interfaces web alojadas en clústeres de Amazon EMR](emr-web-interfaces.md) para acceder a la interfaz a través de SSH (puerto 22).
+ Para permitir el tráfico al clúster desde direcciones IP específicas en lugar de desde la dirección IP pública, agregue una regla de grupo de seguridad. Para obtener más información, consulte [Agregar reglas a un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule) en la *Guía de introducción de Amazon EC2*.
+ **(No recomendado)** Puede configurar las excepciones de BPA de Amazon EMR para que incluyan el puerto o el rango de puertos que desee. Al especificar una excepción de BPA, se crea un riesgo con un puerto desprotegido. Si planea especificar una excepción, debe eliminarla tan pronto como deje de ser necesaria. Para obtener más información, consulte [Configuración de Bloquear el acceso público](#configure-block-public-access).

## Identificación de los clústeres asociados a las reglas de los grupos de seguridad
<a name="identify-block-public-access"></a>

Es posible que tenga que identificar todos los clústeres asociados a una regla de grupo de seguridad determinada o buscar la regla de grupo de seguridad de un clúster determinado.
+ Si conoce el grupo de seguridad, puede identificar sus clústeres asociados si encuentra las interfaces de red del grupo de seguridad. Para obtener más información, consulte [¿Cómo puedo encontrar los recursos asociados a un grupo de seguridad de Amazon EC2?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) en AWS re:Post. Las instancias de Amazon EC2 que estén conectadas a estas interfaces de red se etiquetarán con el ID del clúster al que pertenecen.
+ Si desea buscar los grupos de seguridad de un clúster conocido, siga los pasos que se indican en [Visualización del estado y los detalles del clúster de Amazon EMR](emr-manage-view-clusters.md). Puede encontrar los grupos de seguridad del clúster en el panel **Red y seguridad** de la consola o en el campo `Ec2InstanceAttributes` de la AWS CLI.