As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usar o bloqueio de acesso público do Amazon EMR
<a name="emr-block-public-access"></a>

O *bloqueio de acesso público (BPA)* do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta.

**Importante**  
O *bloqueio de acesso público* é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

## Noções básicas do bloqueio ao acesso público
<a name="emr-block-public-access-about"></a>

É possível usar a configuração em nível de conta de *bloqueio de acesso público* para gerenciar o acesso à rede pública aos clusters do Amazon EMR de maneira centralizada.

Quando um usuário do seu Conta da AWS executa um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com suas regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.

Se um usuário modificar as regras do grupo de segurança de um cluster em execução em uma sub-rede pública para ter uma regra de acesso público que viole a configuração do BPA da conta, o Amazon EMR revogará a nova regra se tiver permissão para isso. Se o Amazon EMR não tiver permissão para revogar a regra, ele criará um evento no painel AWS Health que descreva a violação. Para conceder a permissão de revogação da regra ao Amazon EMR, consulte [Configurar o Amazon EMR para revogar regras do grupo de segurança](#revoke-block-public-access).

O bloqueio de acesso público é habilitado por padrão para todos os clusters em cada Região da AWS de sua Conta da AWS. O BPA se aplica a todo o ciclo de vida de um cluster, mas não se aplica aos clusters criados em sub-redes privadas. É possível configurar exceções à regra do BPA; a porta 22 é uma exceção por padrão. Para obter mais informações sobre como configurar exceções, consulte [Configurar o bloqueio de acesso público](#configure-block-public-access).

## Configurar o bloqueio de acesso público
<a name="configure-block-public-access"></a>

Você pode atualizar os grupos de segurança e a configuração de bloqueio de acesso público de suas contas a qualquer momento.

Você pode ativar e desativar as configurações de bloqueio de acesso público (BPA) com a API Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) e a API do Amazon EMR. As configurações se aplicam em toda a sua conta em uma Region-by-Region base. Para manter a segurança do cluster, é recomendável usar o BPA.

------
#### [ Console ]

**Para configurar o bloqueio de acesso público usando o console**

1. [Faça login no e, em seguida Console de gerenciamento da AWS, abra o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Na barra de navegação superior, selecione a **região** que você deseja configurar, se ainda não estiver selecionada.

1. Em **EMR no EC2**, no painel de navegação esquerdo, escolha **Bloqueio de acesso público**.

1. Em **Block public access settings (Configurações de bloqueio de acesso público)**, conclua as etapas a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-block-public-access.html)

------
#### [ AWS CLI ]

**Para configurar, bloquear o acesso público usando o AWS CLI**
+ Use o comando `aws emr put-block-public-access-configuration` para configurar o bloqueio de acesso público, conforme mostrado nos exemplos a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-block-public-access.html)

------

## Configurar o Amazon EMR para revogar regras do grupo de segurança
<a name="revoke-block-public-access"></a>

O Amazon EMR precisa de permissão para revogar regras do grupo de segurança e cumprir sua configuração de bloqueio de acesso público. Você pode usar uma destas abordagens para dar a permissão necessária ao Amazon EMR:
+ **(Recomendado)** Anexe a política gerenciada `AmazonEMRServicePolicy_v2` ao perfil de serviço. Para obter mais informações, consulte [Perfil de serviço para Amazon EMR (perfil do EMR)](emr-iam-role.md).
+ Crie uma nova política em linha que permita a ação `ec2:RevokeSecurityGroupIngress` em grupos de segurança. Para obter mais informações sobre como modificar uma política de permissões de perfil, consulte **Modificar uma política de permissões de perfil** com o [console do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), a [API da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api) e a [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli) no *Guia do usuário do IAM*.

## Resolver violações ao bloqueio de acesso público
<a name="resolve-block-public-access"></a>

Se ocorrer uma violação ao bloqueio de acesso público, você poderá mitigá-la com uma destas ações:
+ Se quiser acessar uma interface da Web no cluster, use uma das opções descritas em [Visualizar interfaces Web hospedadas em clusters do Amazon EMR](emr-web-interfaces.md) para acessar a interface por meio de SSH (porta 22).
+ Para permitir o tráfego no cluster com base em endereços IP específicos em vez do endereço IP público, adicione uma regra de grupo de segurança. Para obter mais informações, consulte [Adicionar regras a um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule), no *Guia de conceitos básicos do Amazon EC2*.
+ **(Não recomendado)** É possível configurar as exceções de BPA do Amazon EMR para incluir a porta ou o intervalo de portas desejado. Ao especificar uma exceção de BPA, você introduz riscos com uma porta desprotegida. Se você pretende especificar uma exceção, remova a exceção assim que ela não for mais necessária. Para obter mais informações, consulte [Configurar o bloqueio de acesso público](#configure-block-public-access).

## Identificar clusters associados às regras do grupo de segurança
<a name="identify-block-public-access"></a>

Talvez seja necessário identificar todos os clusters associados a determinada regra de grupo de segurança ou encontrar a regra de grupo de segurança de determinado cluster.
+ Se você conhece o grupo de segurança, poderá identificar os clusters associados se encontrar as interfaces de rede do grupo de segurança. Para obter mais informações, consulte [How can I find the resources associated with an Amazon EC2 security group?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) no AWS re:Post. As instâncias do Amazon EC2 que estão conectadas a essas interfaces de rede serão marcadas com o ID do cluster ao qual pertencem.
+ Se você quiser encontrar os grupos de segurança de um cluster conhecido, siga as etapas descritas em [Exibição de status e detalhes do cluster do Amazon EMR](emr-manage-view-clusters.md). Você pode encontrar os grupos de segurança do cluster no painel **Rede e segurança** no console ou no campo `Ec2InstanceAttributes` da AWS CLI.