Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Control del tráfico de red con grupos de seguridad para su clúster de Amazon EMR
<a name="emr-security-groups"></a>

Los grupos de seguridad funcionan como firewalls virtuales para que las instancias de EC2 del clúster controlen el tráfico entrante y saliente. Cada grupo de seguridad tiene un conjunto de reglas que controlan el tráfico entrante y un conjunto de reglas distinto que controlan el tráfico saliente. Para obtener más información, consulte [Grupos de seguridad de Amazon EC2 para instancias de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) en la *Guía del usuario de Amazon EC2*.

Puede utilizar dos clases de grupos de seguridad con Amazon EMR: *grupos de seguridad administrados por Amazon EMR* y *grupos de seguridad adicionales*.

Cada clúster tiene asociados grupos de seguridad administrados. Puede utilizar los grupos de seguridad administrados predeterminados que Amazon EMR crea o especificar grupos de seguridad administrados personalizados. De cualquier forma, Amazon EMR añade automáticamente las reglas a los grupos de seguridad gestionados que un clúster necesita para comunicarse entre las instancias y AWS los servicios del clúster.

Los grupos de seguridad adicionales son opcionales. Puede especificarlos junto con los grupos de seguridad administrados para adaptar el acceso a las instancias de clúster. Los grupos de seguridad adicionales contienen solo las reglas que defina. Amazon EMR no los modifica.

Las reglas que Amazon EMR crea en los grupos de seguridad administrados permiten la comunicación entre los componentes internos del clúster. Para permitir que los usuarios y las aplicaciones obtengan acceso a un clúster desde fuera de este, puede editar las reglas de los grupos de seguridad administrados, crear grupos de seguridad adicionales con reglas adicionales o ambas cosas.

**importante**  
Además, la edición de reglas de los grupos de seguridad administrados puede tener consecuencias no deseadas. Es posible bloquear accidentalmente el tráfico necesario para que los clústeres funcionen correctamente y generar errores debido a que los nodos estén inaccesibles. Planifique y pruebe cuidadosamente las configuraciones de los grupos de seguridad antes de su implementación.

Solo puede especificar grupos de seguridad al crear un clúster. No se pueden añadir a un clúster ni a las instancias de clúster mientras se está ejecutando un clúster, pero es posible editar, añadir y eliminar reglas de los grupos de seguridad existentes. Las reglas surtirán efecto tan pronto como se guarden.

Los grupos de seguridad son restrictivos de forma predeterminada. A menos que se añada una regla que permita el tráfico, el tráfico se rechaza. Si existe más de una regla que se aplica al mismo tráfico y al mismo origen, se aplica la regla más permisiva. Por ejemplo, si tiene una regla que permite el tráfico SSH desde la dirección IP 192.0.2.12/32 y otra regla que permite el acceso a todo el tráfico TCP desde el rango 192.0.2.0/24, tiene prioridad la regla que permite todo el tráfico TCP desde el rango que incluye 192.0.2.12. En este caso, el cliente en la dirección 192.0.2.12 podría tener más acceso del deseado. 

**importante**  
Actúe con precaución al editar las reglas de grupos de seguridad para abrir puertos. Asegúrese de agregar reglas que solo permitan el tráfico desde los clientes de confianza y autenticados para los protocolos y puertos necesarios para ejecutar las cargas de trabajo.

Puede configurar *Bloquear acceso público* de Amazon EMR en cada región que utilice para evitar la creación de clústeres si una regla permite el acceso público en algún puerto que no haya agregado a una lista de excepciones. En el AWS caso de las cuentas creadas después de julio de 2019, Amazon EMR bloquea el acceso público y está activado de forma predeterminada. En el AWS caso de las cuentas que crearon un clúster antes de julio de 2019, el bloqueo de acceso público de Amazon EMR está desactivado de forma predeterminada. Para obtener más información, consulte [Uso de Bloquear el acceso público de Amazon EMR](emr-block-public-access.md).

**Topics**
+ [Uso de grupos de seguridad administrados por Amazon EMR](emr-man-sec-groups.md)
+ [Trabajo con grupos de seguridad adicionales para un clúster de Amazon EMR](emr-additional-sec-groups.md)
+ [Especificación de los grupos de seguridad adicionales administrados por Amazon EMR](emr-sg-specify.md)
+ [Especificación de grupos de seguridad de EC2 para Cuadernos de Amazon EMR](emr-managed-notebooks-security-groups.md)
+ [Uso de Bloquear el acceso público de Amazon EMR](emr-block-public-access.md)

**nota**  
Amazon EMR tiene como objetivo utilizar alternativas inclusivas para términos industriales potencialmente ofensivos o no inclusivos, como “maestro” y “esclavo”. Hemos adoptado una nueva terminología para fomentar una experiencia más inclusiva y que así pueda entender mejor los componentes del servicio.  
Ahora describimos los “nodos” como **instancias** y describimos los tipos de instancias de Amazon EMR como instancias **principales**, **básicas** y **de tareas**. Durante la transición, es posible que siga encontrando referencias antiguas a términos obsoletos, como los que se refieren a los grupos de seguridad de Amazon EMR.

# Uso de grupos de seguridad administrados por Amazon EMR
<a name="emr-man-sec-groups"></a>

**nota**  
Amazon EMR tiene como objetivo utilizar alternativas inclusivas para términos industriales potencialmente ofensivos o no inclusivos, como “maestro” y “esclavo”. Hemos adoptado una nueva terminología para fomentar una experiencia más inclusiva y que así pueda entender mejor los componentes del servicio.  
Ahora describimos los “nodos” como **instancias** y describimos los tipos de instancias de Amazon EMR como instancias **principales**, **básicas** y **de tareas**. Durante la transición, es posible que siga encontrando referencias antiguas a términos obsoletos, como los que se refieren a los grupos de seguridad de Amazon EMR.

Son varios los grupos de seguridad administrados que están asociados a la instancia principal y con las instancias secundarias y de tareas de un clúster. Se requiere un grupo de seguridad administrado adicional para el acceso al servicio al crear un clúster en una subred privada. Para obtener más información sobre la función de los grupos de seguridad administrados con respecto a la configuración de la red, consulte [Opciones de Amazon VPC al lanzar un clúster](emr-clusters-in-a-vpc.md).

Cuando especifique grupos de seguridad administrados para un clúster, debe utilizar el mismo tipo de grupo de seguridad, predeterminado o personalizado, para todos los grupos. Por ejemplo, no puede especificar un grupo de seguridad personalizado para la instancia principal y, acto seguido, no especificar un grupo de seguridad personalizado para las instancias secundarias y de tareas.

Si piensa utilizar los grupos de seguridad administrados predeterminados, no es necesario que los especifique al crear un clúster. Amazon EMR utiliza automáticamente los valores predeterminados. Además, si los valores predeterminados aún no existen en la VPC del clúster, Amazon EMR los crea. Amazon EMR también los crea si los especifica de forma explícita y aún no existen.

Puede editar reglas en los grupos de seguridad administrados una vez que se hayan creado los clústeres. Cuando se crea un clúster nuevo, Amazon EMR comprueba las reglas de los grupos de seguridad administrados que se especifican y, a continuación, crea las reglas *entrantes* que faltan y que el clúster nuevo necesita, junto con las reglas que se hayan podido agregar anteriormente. A menos que se indique lo contrario, cada regla para los grupos de seguridad administrados por Amazon EMR predeterminados también se agrega a los grupos de seguridad administrados por Amazon EMR personalizados que especifique.

Los grupos de seguridad administrados predeterminados son los siguientes:
+ **ElasticMapReduce-principal**

  Para ver las reglas de este grupo de seguridad, consulte [Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes públicas)](#emr-sg-elasticmapreduce-master).
+ **ElasticMapReduce-núcleo**

  Para ver las reglas de este grupo de seguridad, consulte [Grupo de seguridad administrado por Amazon EMR para las instancias básicas y de tareas (subredes públicas)](#emr-sg-elasticmapreduce-slave).
+ **ElasticMapReduce-Primario-Privado**

  Para ver las reglas de este grupo de seguridad, consulte [Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes privadas)](#emr-sg-elasticmapreduce-master-private).
+ **ElasticMapReduce-Núcleo: privado**

  Para ver las reglas de este grupo de seguridad, consulte [Grupo de seguridad administrado por Amazon EMR para las instancias secundarias y de tareas (subredes privadas)](#emr-sg-elasticmapreduce-slave-private).
+ **ElasticMapReduce-ServiceAccess**

  Para ver las reglas de este grupo de seguridad, consulte [Grupo de seguridad administrado por Amazon EMR para el acceso de los servicios (subredes privadas)](#emr-sg-elasticmapreduce-sa-private).

## Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes públicas)
<a name="emr-sg-elasticmapreduce-master"></a>

**El grupo de seguridad administrado predeterminado para la instancia principal en las subredes públicas tiene el **nombre de ElasticMapReduce grupo -primary**.** Tiene las siguientes reglas: Si especifica un grupo de seguridad administrado personalizado, Amazon EMR agrega las mismas reglas a su grupo de seguridad personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-man-sec-groups.html)

**Para conceder a los orígenes de confianza acceso SSH al grupo de seguridad principal con la consola**

Para editar los grupos de seguridad, debe tener permiso para administrar los grupos de seguridad de la VPC en la que se encuentra el clúster. Para obtener más información, consulte [Cambio de los permisos de un usuario](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) y el [Ejemplo de política](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html) que permite administrar los grupos de seguridad de EC2 en la *Guía del usuario de IAM*.

1. [Inicie sesión en y abra la Consola de administración de AWS consola de Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Seleccione **Clusters (Clústeres)**. Seleccione el **ID** del clúster que desea modificar.

1. En el panel **Red y seguridad**, amplíe el menú desplegable de **grupos de seguridad (firewall) de EC2**.

1. En **Nodo principal**, elija su grupo de seguridad.

1. Elija **Editar reglas de entrada**.

1. Compruebe si hay una regla de entrada que permita el acceso público con la siguiente configuración. Si existe, seleccione **Eliminar** para eliminarla.
   + **Tipo**

     SSH
   + **Puerto**

     22
   + **Origen**

     0.0.0.0/0 personalizado
**aviso**  
Antes de diciembre de 2020, había una regla preconfigurada para permitir el tráfico entrante en el puerto 22 desde todas las fuentes. Esta regla se creó para simplificar las conexiones SSH iniciales al nodo principal. Le recomendamos encarecidamente que elimine esta regla de entrada y que restrinja el tráfico a los orígenes de confianza.

1. Desplácese a la parte inferior de la lista de reglas y seleccione **Agregar regla**.

1. En **Type (Tipo)**, seleccione **SSH**.

   Al seleccionar SSH, se ingresa automáticamente **TCP** en **Protocolo** y **22** en **Rango de puertos**.

1. Como origen, seleccione **Mi IP** para agregar automáticamente su dirección IP como dirección de origen. También puede agregar un rango de direcciones IP de clientes de confianza **personalizadas** o crear reglas adicionales para otros clientes. Muchos entornos de red asignan direcciones IP de forma dinámica, por lo que es posible que en el futuro necesite actualizar las direcciones IP de los clientes de confianza.

1. Seleccione **Save**.

1. Si lo desea, puede seleccionar el otro grupo de seguridad en **Nodos principales y de tareas** en el panel **Red y seguridad** y repetir los pasos anteriores para permitir que el cliente SSH acceda a dichos nodos principales y de tareas.

## Grupo de seguridad administrado por Amazon EMR para las instancias básicas y de tareas (subredes públicas)
<a name="emr-sg-elasticmapreduce-slave"></a>

**El grupo de seguridad administrado predeterminado para las instancias principales y de tareas en las subredes públicas tiene el **nombre de ElasticMapReduce grupo -core**.** El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes privadas)
<a name="emr-sg-elasticmapreduce-master-private"></a>

**El grupo de seguridad administrado predeterminado para la instancia principal en las subredes privadas tiene el nombre de **grupo** -Primary-Private. ElasticMapReduce** El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grupo de seguridad administrado por Amazon EMR para las instancias secundarias y de tareas (subredes privadas)
<a name="emr-sg-elasticmapreduce-slave-private"></a>

**El grupo de seguridad administrado predeterminado para las instancias principales y de tareas en las subredes privadas tiene el nombre de **grupo** -Core-Private. ElasticMapReduce** El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-man-sec-groups.html)

### Edición de reglas de salida
<a name="private-sg-egress-rules"></a>

De forma predeterminada, Amazon EMR crea este grupo de seguridad con reglas de salida que permiten todo el tráfico saliente en todos los protocolos y puertos. Se selecciona Permitir todo el tráfico saliente porque varias aplicaciones cliente y de Amazon EMR que se pueden ejecutar en clústeres de Amazon EMR pueden requerir reglas de salida diferentes. Amazon EMR no puede anticipar estos ajustes específicos al crear grupos de seguridad predeterminados. Puede limitar las salidas en sus grupos de seguridad para incluir solo las reglas que se adapten a sus casos de uso y políticas de seguridad. Como mínimo, este grupo de seguridad requiere las siguientes reglas de salida, pero es posible que algunas aplicaciones necesiten una salida adicional.


| Tipo | Protocolo | Rango de puerto | Destino | Details | 
| --- | --- | --- | --- | --- | 
| Todos los TCP | TCP | Todos | pl- xxxxxxxx | Lista de prefijos de Amazon S3 administrados com.amazonaws.MyRegion.s3. | 
| All Traffic | Todos | Todos | sg- xxxxxxxxxxxxxxxxx | El ID del grupo de seguridad ElasticMapReduce-Core-Private. | 
| All Traffic | Todos | Todos | sg- xxxxxxxxxxxxxxxxx | El ID del grupo de seguridad ElasticMapReduce-Primary-Private. | 
| TCP personalizada | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx | El ID del grupo de seguridad ElasticMapReduce-ServiceAccess. | 

## Grupo de seguridad administrado por Amazon EMR para el acceso de los servicios (subredes privadas)
<a name="emr-sg-elasticmapreduce-sa-private"></a>

El grupo de seguridad administrado predeterminado para el acceso a los servicios en subredes privadas tiene el **nombre de grupo** de **ElasticMapReduce- ServiceAccess**. Tiene reglas de entrada y reglas de salida que permiten el tráfico a través de HTTPS (puerto 8443 o 9443) hacia los demás grupos de seguridad administrados en las subredes privadas. Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea. Se necesitan las mismas reglas si utiliza grupos de seguridad personalizados.


| Tipo | Protocolo | Intervalo de puertos | origen | Details | 
| --- | --- | --- | --- | --- | 
| Reglas de entrada necesarias para clústeres de Amazon EMR con versiones 5.30.0 y posteriores. | 
| TCP personalizada | TCP | 9443 | El ID de grupo del grupo de seguridad administrado de la instancia principal.  |  Esta regla permite la comunicación entre el grupo de seguridad de la instancia principal y el grupo de seguridad de acceso al servicio. | 
| Reglas de salida necesarias para todos los clústeres de Amazon EMR | 
| TCP personalizada | TCP | 8443 | El ID de grupo del grupo de seguridad administrado de la instancia principal.  |  Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea. | 
| TCP personalizada | TCP | 8443 | El ID de grupo del grupo de seguridad administrado para las instancias secundarias y de tareas.  |  Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea.  | 

# Trabajo con grupos de seguridad adicionales para un clúster de Amazon EMR
<a name="emr-additional-sec-groups"></a>

Tanto si utiliza los grupos de seguridad administrados predeterminados como si especifica grupos de seguridad administrados personalizados, puede utilizar grupos de seguridad adicionales. Los grupos de seguridad adicionales le proporcionan la flexibilidad necesaria para adaptar el acceso entre diferentes clústeres y desde clientes, aplicaciones y recursos externos.

Considere el siguiente escenario de ejemplo. Dispone de varios clústeres y necesita que se comuniquen entre ellos, pero desea permitir el acceso SSH entrante a la instancia principal solo a un determinado subconjunto de clústeres. Para ello, puede utilizar el mismo conjunto de grupos de seguridad administrados para los clústeres. A continuación, debe crear grupos de seguridad adicionales que permitan el acceso SSH entrante desde los clientes de confianza y especificar los grupos de seguridad adicionales para la instancia principal de cada uno de los clústeres del subconjunto.

Puede aplicar hasta 15 grupos de seguridad adicionales a la instancia principal, 15 a las instancias secundarias y de tareas, y 15 para el acceso al servicio (en subredes privadas). Si fuera necesario, puede especificar el mismo grupo de seguridad adicional para las instancias principales, las instancias secundarias y de tareas y el acceso al servicio. El número máximo de grupos de seguridad y reglas de la cuenta está sujeto a los límites de la cuenta. Para obtener más información, consulte [Límites de los grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups) en la *Guía del usuario de Amazon VPC*. 

# Especificación de los grupos de seguridad adicionales administrados por Amazon EMR
<a name="emr-sg-specify"></a>

Puede especificar grupos de seguridad mediante la Consola de administración de AWS AWS CLI, la o la API de Amazon EMR. Si no especifica grupos de seguridad, Amazon EMR crea grupos de seguridad predeterminados. La especificación de grupos de seguridad adicionales es opcional. Puede asignar grupos de seguridad adicionales a las instancias principales, a las instancias secundarias y de tareas y al acceso de los servicios (solo para las subredes privadas).

------
#### [ Console ]

**Para especificar grupos de seguridad con la consola**

1. [Inicie sesión en y abra la Consola de administración de AWS consola de Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. En **EMR en EC2** situado en el panel de navegación izquierdo, elija **Clústeres** y, a continuación, elija **Crear clúster**.

1. En **Redes**, seleccione la flecha situada junto a **Grupos de seguridad de EC2 (firewall)** para ampliar esta sección. En **Nodo principal** y en **Nodos principales y de tareas**, se seleccionan de forma predeterminada los grupos de seguridad administrados por Amazon EMR predeterminados. Si utiliza una subred privada, también tiene la opción de seleccionar un grupo de seguridad para **Acceso de servicio**.

1. Para cambiar el grupo de seguridad administrado por Amazon EMR, utilice el menú desplegable **Elegir los grupos de seguridad** para seleccionar una opción diferente de la lista de opciones del **grupo de seguridad administrado por Amazon EMR**. Dispone de un grupo de seguridad administrado por Amazon EMR tanto para **Nodo principal** como para **Nodos principales y de tareas**.

1. Para agregar grupos de seguridad personalizados, utilice el mismo menú desplegable **Elegir los grupos de seguridad** para seleccionar hasta cuatro grupos de seguridad personalizados de la lista de opciones **Grupos de seguridad personalizados**. Puede tener hasta cuatro grupos de seguridad personalizados tanto para **Nodo principal** como para **Nodos principales y de tareas**.

1. Elija cualquier otra opción que se aplique a su clúster. 

1. Para lanzar el clúster, elija **Crear clúster**.

------

## Especificar los grupos de seguridad con el AWS CLI
<a name="emr-sg-specify-cli"></a>

Para especificar grupos de seguridad mediante el, AWS CLI utilice el `create-cluster` comando con los siguientes parámetros de la `--ec2-attributes` opción:


| Parámetro | Description (Descripción) | 
| --- | --- | 
|  `EmrManagedPrimarySecurityGroup`  |  Utilice este parámetro para especificar un grupo de seguridad administrado personalizado para la instancia principal. Si se especifica este parámetro, también se deben especificar `EmrManagedCoreSecurityGroup`. Para clústeres en subredes privadas, también se debe especificar `ServiceAccessSecurityGroup`.  | 
|  `EmrManagedCoreSecurityGroup`  |  Utilice este parámetro para especificar un grupo de seguridad administrado personalizado para las instancias secundarias y de tareas. Si se especifica este parámetro, también se deben especificar `EmrManagedPrimarySecurityGroup`. Para clústeres en subredes privadas, también se debe especificar `ServiceAccessSecurityGroup`.  | 
|  `ServiceAccessSecurityGroup`  |  Utilice este parámetro para especificar un grupo de seguridad administrado personalizado para el acceso de los servicios, que se aplica únicamente a los clústeres de las subredes privadas. El grupo de seguridad que especifique como `ServiceAccessSecurityGroup` no debe usarse para ningún otro propósito y también debe reservarse para Amazon EMR. Si se especifica este parámetro, también se deben especificar `EmrManagedPrimarySecurityGroup`.  | 
|  `AdditionalPrimarySecurityGroups`  |  Utilice este parámetro para especificar hasta cuatro grupos de seguridad adicionales para la instancia principal.  | 
|  `AdditionalCoreSecurityGroups`  |  Utilice este parámetro para especificar hasta cuatro grupos de seguridad adicionales para las instancias secundarias y de tareas.  | 

**Example : especifique grupos de seguridad administrados por Amazon EMR personalizados y grupos de seguridad adicionales**  
En el siguiente ejemplo, se especifican grupos de seguridad administrados por Amazon EMR personalizados para un clúster en una subred privada, varios grupos de seguridad adicionales para la instancia principal y un único grupo de seguridad adicional para las instancias secundarias y de tareas.  
Se incluyen caracteres de continuación de línea de Linux (\$1) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).

```
 1. aws emr create-cluster --name "ClusterCustomManagedAndAdditionalSGs" \
 2. --release-label emr-emr-7.12.0 --applications Name=Hue Name=Hive \
 3. Name=Pig --use-default-roles --ec2-attributes \
 4. SubnetIds=subnet-xxxxxxxxxxxx,KeyName=myKey,\
 5. ServiceAccessSecurityGroup=sg-xxxxxxxxxxxx,\
 6. EmrManagedPrimarySecurityGroup=sg-xxxxxxxxxxxx,\
 7. EmrManagedCoreSecurityGroup=sg-xxxxxxxxxxx,\
 8. AdditionalPrimarySecurityGroups=['sg-xxxxxxxxxxx',\
 9. 'sg-xxxxxxxxxxx','sg-xxxxxxxxxx'],\
10. AdditionalCoreSecurityGroups=sg-xxxxxxxxxxx \
11. --instance-type m5.xlarge
```

Para obtener más información, consulte [create-cluster](https://docs.aws.amazon.com/cli/latest/reference/emr/create-cluster.html) en la *Referencia de comandos de la AWS CLI *.

# Especificación de grupos de seguridad de EC2 para Cuadernos de Amazon EMR
<a name="emr-managed-notebooks-security-groups"></a>

Al crear un cuaderno de EMR, se utilizan dos grupos de seguridad para controlar el tráfico de red entre el cuaderno de EMR y el clúster de Amazon EMR cuando se usa el editor de cuadernos. Los grupos de seguridad predeterminados tienen reglas mínimas que únicamente permiten el tráfico de red entre el servicio Cuadernos de Amazon EMR y los clústeres a los que están asociados los cuadernos.

Un cuaderno EMR utiliza [Apache Livy](https://livy.incubator.apache.org/) para comunicarse con el clúster mediante un proxy a través del puerto TCP 18888. Cuando crea grupos de seguridad personalizados con reglas adaptadas al entorno, puede limitar el tráfico de la red de forma que solo un subconjunto de cuadernos pueda ejecutar código en el editor de cuadernos en determinados clústeres. El clúster utiliza su seguridad personalizada además de los grupos de seguridad predeterminados del clúster. Para obtener más información, consulte [Control del tráfico de red con grupos de seguridad](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html) en la *Guía de administración de Amazon EMR* y [Especificación de grupos de seguridad de EC2 para Cuadernos de Amazon EMR](#emr-managed-notebooks-security-groups).

## Grupo de seguridad de EC2 predeterminado para la instancia principal
<a name="emr-managed-notebooks-security-group-for-master"></a>

El grupo de seguridad de EC2 predeterminado para la instancia principal está asociado a esta, junto con los grupos de seguridad del clúster para dicha instancia.

Nombre del grupo: **ElasticMapReduceEditors-Livy**

**Reglas**
+ Entrada

  Permite el tráfico en el puerto TCP 18888 desde cualquier recurso en el grupo de seguridad de EC2 predeterminado para Cuadernos de Amazon EMR
+ Salida

  Ninguno

## Grupo de seguridad de EC2 predeterminado para Cuadernos de Amazon EMR
<a name="emr-managed-notebooks-security-group-for-notebooks"></a>

El grupo de seguridad de EC2 predeterminado para el cuaderno de EMR está asociado al editor de cualquier cuaderno de EMR al que esté asignado.

**Nombre del grupo: -Editor ElasticMapReduceEditors**

**Reglas**
+ Entrada

  Ninguno
+ Salida

  Permite el tráfico en el puerto TCP 18888 a cualquier recurso en el grupo de seguridad de EC2 predeterminado para Cuadernos de Amazon EMR

## Grupo de seguridad de EC2 personalizado para Cuadernos de Amazon EMR al asociar cuadernos con repositorios de Git
<a name="emr-managed-notebooks-security-group-for-notebooks-git"></a>

Para vincular un repositorio de Git a su cuaderno, el grupo de seguridad del cuaderno de EMR debe incluir una regla de salida para permitir que el cuaderno envíe tráfico a Internet. Se recomienda crear un nuevo grupo de seguridad para este fin. La actualización del grupo de seguridad **ElasticMapReduceEditors-Editor** predeterminado puede dar las mismas reglas de salida a otros blocs de notas adjuntos a este grupo de seguridad. 

**Reglas**
+ Entrada

  Ninguno
+ Salida

  Permita que el cuaderno envíe tráfico a Internet a través del clúster, como se muestra en el siguiente ejemplo: El valor 0.0.0.0/0 se usa solo como ejemplo. Puede modificar esta regla para especificar las direcciones IP de sus repositorios basados en Git.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-managed-notebooks-security-groups.html)

# Uso de Bloquear el acceso público de Amazon EMR
<a name="emr-block-public-access"></a>

*Bloquear el acceso público (BPA)* de Amazon EMR le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto.

**importante**  
*Bloquear el acceso público* está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

## Explicación de Bloquear el acceso público
<a name="emr-block-public-access-about"></a>

Puede utilizar la configuración de cuenta de *Bloquear el acceso público* para administrar de forma centralizada el acceso a la red pública a los clústeres de Amazon EMR.

Cuando un usuario de su empresa Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 : :/0, y esos puertos no se especifican como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.

Si un usuario modifica las reglas del grupo de seguridad de un clúster en ejecución en una subred pública para tener una regla de acceso público que infrinja la configuración de BPA de su cuenta, Amazon EMR revoca la nueva regla si tiene permiso para hacerlo. Si Amazon EMR no tiene permiso para revocar la regla, crea un evento en el panel de AWS Health que describe la infracción. Para conceder el permiso de revocación de la regla a Amazon EMR, consulte [Configuración de Amazon EMR para revocar las reglas de los grupos de seguridad](#revoke-block-public-access).

Bloquear acceso público está habilitado de forma predeterminada para todos los clústeres de cada Región de AWS de su Cuenta de AWS. BPA se aplica a todo el ciclo de vida de un clúster, pero no a los clústeres que se crean en subredes privadas. Puede configurar excepciones a la regla de BPA; el puerto 22 es una excepción de forma predeterminada. Para obtener más información sobre la configuración de excepciones, consulte [Configuración de Bloquear el acceso público](#configure-block-public-access).

## Configuración de Bloquear el acceso público
<a name="configure-block-public-access"></a>

Puede actualizar los grupos de seguridad y la configuración de Bloquear el acceso público en sus cuentas en cualquier momento.

Puede activar y desactivar la configuración de bloqueo de acceso público (BPA) con Consola de administración de AWS, AWS Command Line Interface (AWS CLI) y la API Amazon EMR. La configuración se aplica a toda su cuenta de forma puntual. Region-by-Region Para mantener la seguridad del clúster, le recomendamos usar BPA.

------
#### [ Console ]

**Para configurar: bloqueo de acceso público con la consola**

1. [Inicie sesión en y, a continuación Consola de administración de AWS, abra la consola de Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. En la barra de navegación superior, seleccione la **Región** que quiera configurar si aún no está seleccionada.

1. En **EMR en EC2**, en el panel de navegación izquierdo, elija **Bloquear el acceso público**.

1. En **Block public access settings (Configuración de Block Public Access)**, complete los pasos siguientes.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-block-public-access.html)

------
#### [ AWS CLI ]

**Para configurar el bloqueo del acceso público mediante el AWS CLI**
+ Utilice el comando `aws emr put-block-public-access-configuration` para configurar Block Public Access, tal y como se muestra en los siguientes ejemplos.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-block-public-access.html)

------

## Configuración de Amazon EMR para revocar las reglas de los grupos de seguridad
<a name="revoke-block-public-access"></a>

Amazon EMR necesita permiso para revocar las reglas de los grupos de seguridad y cumplir con la configuración de Bloquear el acceso público. Puede seguir uno de estos métodos para conceder a Amazon EMR el permiso que necesita:
+ **Recomendado** Asocie la política administrada `AmazonEMRServicePolicy_v2` al rol de servicio. Para obtener más información, consulte [Rol de servicio para Amazon EMR (rol de EMR)](emr-iam-role.md).
+ Cree una nueva política insertada que permita realizar la acción `ec2:RevokeSecurityGroupIngress` en los grupos de seguridad. Para obtener más información sobre cómo modificar una política de permisos de roles, consulte **Modificación de una política de permisos de rol** con la [consola de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), la [API de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api) y [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli) en la *Guía del usuario de IAM*.

## Resolución de infracciones de Bloquear el acceso público
<a name="resolve-block-public-access"></a>

Si se produce una infracción de Bloquear el acceso público, puede mitigarla con una de las siguientes acciones:
+ Si desea acceder a una interfaz web de su clúster, utilice una de las opciones descritas en [Ver las interfaces web alojadas en clústeres de Amazon EMR](emr-web-interfaces.md) para acceder a la interfaz a través de SSH (puerto 22).
+ Para permitir el tráfico al clúster desde direcciones IP específicas en lugar de desde la dirección IP pública, agregue una regla de grupo de seguridad. Para obtener más información, consulte [Agregar reglas a un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule) en la *Guía de introducción de Amazon EC2*.
+ **(No recomendado)** Puede configurar las excepciones de BPA de Amazon EMR para que incluyan el puerto o el rango de puertos que desee. Al especificar una excepción de BPA, se crea un riesgo con un puerto desprotegido. Si planea especificar una excepción, debe eliminarla tan pronto como deje de ser necesaria. Para obtener más información, consulte [Configuración de Bloquear el acceso público](#configure-block-public-access).

## Identificación de los clústeres asociados a las reglas de los grupos de seguridad
<a name="identify-block-public-access"></a>

Es posible que tenga que identificar todos los clústeres asociados a una regla de grupo de seguridad determinada o buscar la regla de grupo de seguridad de un clúster determinado.
+ Si conoce el grupo de seguridad, puede identificar sus clústeres asociados si encuentra las interfaces de red del grupo de seguridad. Para obtener más información, consulte [¿Cómo puedo encontrar los recursos asociados a un grupo de seguridad de Amazon EC2?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) en AWS re:Post. Las instancias de Amazon EC2 que estén conectadas a estas interfaces de red se etiquetarán con el ID del clúster al que pertenecen.
+ Si desea buscar los grupos de seguridad de un clúster conocido, siga los pasos que se indican en [Visualización del estado y los detalles del clúster de Amazon EMR](emr-manage-view-clusters.md). Puede encontrar los grupos de seguridad del clúster en el panel **Red y seguridad** de la consola o en el campo `Ec2InstanceAttributes` de la AWS CLI.