**Ajudar a melhorar esta página**
Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.
# Exibir os requisitos para grupos de segurança do Amazon EKS em clusters
Este tópico descreve os requisitos de grupos de segurança de um cluster do Amazon EKS.
## Grupo de segurança do cluster padrão
Ao criar um cluster, o Amazon EKS cria um grupo de segurança com o nome `eks-cluster-sg-my-cluster-uniqueID `. Esse grupo de segurança tem as seguintes regras padrão:
| Tipo de regra | Protocolo | Portas | Origem | Destino |
| --- | --- | --- | --- | --- |
| Entrada | Todos | Todos | Self | |
| Saída | Todos | Todos | | 0.0.0.0/0(`IPv4`) ou ::/0 (`IPv6`) |
| Saída | Todos | Todos | | Próprio (para tráfego do EFA) |
O grupo de segurança padrão inclui uma regra de saída que permite o tráfego do Elastic Fabric Adapter (EFA) com o destino sendo o mesmo grupo de segurança. Isso habilita o tráfego do EFA dentro do cluster, o que é benéfico para workloads de IA/ML e computação de alta performance (HPC). Para obter mais informações, consulte [Elastic Fabric Adapter para workloads de IA/ML e HPC no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html) no *Guia do usuário do Amazon Elastic Compute Cloud*.
**Importante**
Se o seu cluster não precisar da regra de saída para `0.0.0.0/0` (IPv4), `::/0` (IPv6), pode removê-la. Se você a remover, ainda deverá ter as regras mínimas listadas em [Restringir o tráfego do cluster](#security-group-restricting-cluster-traffic). Se você remover as regras de entrada ou saída que permitem o tráfego de/para o próprio grupo de segurança do cluster do EKS, o Amazon EKS as recriará sempre que o cluster for atualizado.
O Amazon EKS adiciona as tags a seguir ao grupo de segurança. Se você remover as tags, o Amazon EKS as adicionará novamente ao grupo de segurança sempre que o cluster for atualizado.
| Chave | Valor |
| --- | --- |
| `kubernetes.io/cluster/my-cluster ` | `owned` |
| `aws:eks:cluster-name` | *my-cluster* |
| `Name` | `eks-cluster-sg-my-cluster-uniqueid ` |
O Amazon EKS associa automaticamente esse grupo de segurança aos recursos a seguir, que ele também cria:
+ Duas a quatro interfaces de rede elásticas (chamadas no restante deste documento de *interfaces de rede*) que são criadas no momento em que você cria seu cluster.
+ Interfaces de rede dos nós em qualquer grupo de nós gerenciados que você cria.
As regras padrão permitem que todo o tráfego flua livremente entre o cluster e os nós e aceitam todo o tráfego de saída para qualquer destino. Ao criar um cluster, você tem a opção de especificar seus próprios grupos de segurança. Se fizer isso, o Amazon EKS também associará os grupos de segurança especificados às interfaces de rede que ele criar para o cluster. Porém, ele não os associa a nenhum grupo de nós que você criar.
É possível determinar o ID do grupo de segurança do cluster no Console de gerenciamento da AWS, na seção **Networking** (Redes) do cluster. Ou você pode fazer isso executando o seguinte comando da CLI AWS.
```
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
```
## Restringir o tráfego do cluster
Se for necessário limitar as portas abertas entre o ambiente de gerenciamento do EKS e os nós, você pode remover a [regra de saída padrão](#security-group-default-rules) para `0.0.0.0/0` (IPv4)/`::/0` (IPv6) e adicionar as seguintes regras mínimas necessárias para o cluster.
Se você remover a [regra de entrada padrão](#security-group-default-rules) que permite todo o tráfego proveniente do próprio cluster (tráfego do grupo de segurança do cluster), o Amazon EKS a recriará quando o cluster for atualizado.
Se você remover a [regra de saída padrão](#security-group-default-rules) que permite todo o tráfego com destino ao próprio cluster (tráfego para o grupo de segurança do cluster), o Amazon EKS a recriará quando o cluster for atualizado.
| Tipo de regra | Protocolo | Porta | Destino |
| --- | --- | --- | --- |
| Saída | TCP | 443 | Security group de cluster |
| Saída | TCP | 10250 | Security group de cluster |
| Saída (DNS) | TCP e UDP | 53 | Security group de cluster |
Também é necessário adicionar regras para o seguinte tráfego:
+ Qualquer protocolo e as portas que você espera que os nós usem para comunicação entre eles.
+ Acesso de saída à Internet, para que os nós possam acessar as APIs do Amazon EKS para introspecção de clusters e registro de nós no momento da execução. Se os nós não tiverem acesso à Internet, consulte [Implantar clusters privados com acesso limitado à Internet](private-clusters.md) para conhecer considerações adicionais.
+ Acesso ao nó para obter imagens de contêiner do Amazon ECR ou de outras APIs de registros de contêiner das quais eles precisam extrair imagens, como o DockerHub. Para obter mais informações, consulte [Intervalos de endereços IP da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) na Referência geral da AWS.
+ Acesso do nó ao Amazon S3
+ Regras distintas são necessárias para endereços `IPv4` e `IPv6`.
+ Caso esteja usando nós híbridos, você deverá adicionar um grupo de segurança complementar ao cluster para permitir a comunicação com os nós e pods on-premises. Para obter mais informações, consulte [Preparar a rede para nós híbridos](hybrid-nodes-networking.md).
Se estiver pensando em limitar as regras, recomendamos testar exaustivamente todos os seus pods antes de aplicar as regras modificadas a um cluster de produção.
Se você tiver implantado originalmente um cluster com o Kubernetes `1.14` e uma versão da plataforma `eks.3` ou anterior, considere o seguinte:
+ Também é possível ter grupos de segurança e nós do ambiente de gerenciamento. Quando esses grupos foram criados, eles incluíam as regras restritas listadas na tabela anterior. Esses grupos de segurança não são mais necessários e podem ser removidos. Porém, você precisa garantir que seu grupo de segurança de cluster contenha as regras que esses grupos contêm.
+ Se você implantou o cluster usando a API diretamente ou usou uma ferramenta como AWS CLI ou AWS CloudFormation para criar o cluster e não especificou um grupo de segurança na criação do cluster, o grupo de segurança padrão para o VPC foi aplicado às interfaces de rede do cluster que o Amazon EKS criou.
## Grupos de segurança compartilhados
O Amazon EKS oferece suporte a grupos de segurança compartilhados.
+ **As associações de VPC de grupos de segurança** associam grupos de segurança a várias VPCs na mesma conta e região.
+ Saiba como [associar grupos de segurança a várias VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-assoc.html) no *Guia do usuário da Amazon VPC*.
+ Os **grupos de segurança compartilhados** permitem que você compartilhe grupos de segurança com outras contas da AWS. As contas devem fazer parte da mesma organização da AWS.
+ Saiba como [Compartilhar grupos de segurança com organizações](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-sharing.html) no *Guia do usuário da Amazon VPC*.
+ Os grupos de segurança estão sempre limitados a uma única região da AWS.
### Considerações sobre o Amazon EKS
+ O EKS tem os mesmos requisitos de grupos de segurança compartilhados ou de várias VPCs que os grupos de segurança padrão.