As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controle do tráfego de rede com grupos de segurança para o cluster do Amazon EMR
<a name="emr-security-groups"></a>

Grupos de segurança atuam como firewalls virtuais para suas instâncias do EC2 em seu cluster para controlar o tráfego de entrada e saída. Cada grupo de segurança tem um conjunto de regras que controla o tráfego de entrada para as instâncias e um conjunto de regras separado para controlar o tráfego de saída. Para obter mais informações, consulte [Grupos de segurança do Amazon EC2 para instâncias do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) no *Guia do usuário do Amazon EC2*.

Você usa duas classes de grupos de segurança com o Amazon EMR: *grupos de segurança gerenciados pelo Amazon EMR* e *grupos de segurança adicionais*.

Cada cluster tem grupos de segurança gerenciados associados a ele. Você pode usar grupos de segurança gerenciados padrão que o Amazon EMR cria ou especificar grupos de segurança gerenciados personalizados. De qualquer forma, o Amazon EMR adiciona automaticamente regras aos grupos de segurança gerenciados que um cluster precisa para se comunicar entre instâncias e AWS serviços do cluster.

Grupos de segurança adicionais são opcionais. Você pode especificá-los além dos grupos de segurança gerenciados para personalizar o acesso às instâncias do cluster. Os grupos de segurança adicionais contêm apenas regras definidas por você. O Amazon EMR não os modifica.

As regras que o Amazon EMR cria em grupos de segurança gerenciados permitem que o cluster se comunique entre componentes internos. Para permitir que usuários e aplicativos acessem um cluster de fora do cluster, você pode editar regras em grupos de segurança gerenciados, criar grupos de segurança adicionais com regras adicionais ou ambos.

**Importante**  
A edição de regras em grupos de segurança gerenciados pode ter consequências inesperadas. Você pode bloquear acidentalmente o tráfego necessário para os clusters funcionarem corretamente e causar erros porque os nós estão inacessíveis. Tenha cuidado ao planejar e testar configurações de grupo de segurança antes da implementação.

Você pode especificar grupos de segurança somente ao criar um cluster. Eles não podem ser adicionados a um cluster ou instâncias do cluster enquanto um cluster está em execução, mas é possível editar, adicionar e remover regras de grupos de segurança existentes. As regras entram em vigor assim que você as salva.

Grupos de segurança são restritivos por padrão. A menos que seja adicionada uma regra que permita o tráfego, ele é rejeitado. Se houver mais de uma regra que se aplique ao mesmo tráfego e à mesma origem, a regra mais permissiva será aplicada. Por exemplo, se você tiver uma regra que permita SSH do endereço IP 192.0.2.12/32 e outra regra que permita acesso a todo o tráfego TCP do mesmo intervalo 192.0.2.0/24, a regra que permitir todo o tráfego TCP do intervalo que inclua 192.0.2.12 terá precedência. Nesse caso, o cliente em 192.0.2.12 pode ter mais acesso do que o desejado. 

**Importante**  
Tome cuidado ao editar as regras de grupo de segurança para portas abertas. Adicione regras que só permitam tráfego de clientes confiáveis e autenticados para os protocolos e portas que sejam necessários para executar suas workloads.

Você poderá configurar o *bloqueio de acesso público* do Amazon EMR em cada região usada para impedir a criação de cluster se uma regra permitir acesso público em qualquer porta que você não adicionar a uma lista de exceções. Para AWS contas criadas após julho de 2019, o bloqueio de acesso público do Amazon EMR está ativado por padrão. Para AWS contas que criaram um cluster antes de julho de 2019, o bloqueio de acesso público do Amazon EMR está desativado por padrão. Para obter mais informações, consulte [Usar o bloqueio de acesso público do Amazon EMR](emr-block-public-access.md).

**Topics**
+ [Trabalhar com grupos de segurança gerenciados pelo Amazon EMR](emr-man-sec-groups.md)
+ [Trabalho com grupos de segurança adicionais em um cluster do Amazon EMR](emr-additional-sec-groups.md)
+ [Especificar grupos de segurança gerenciados pelo Amazon EMR e adicionais](emr-sg-specify.md)
+ [Especificar grupos de segurança do EC2 para Cadernos do EMR](emr-managed-notebooks-security-groups.md)
+ [Usar o bloqueio de acesso público do Amazon EMR](emr-block-public-access.md)

**nota**  
O Amazon EMR procura usar alternativas inclusivas para termos setoriais potencialmente ofensivos ou não inclusivos, como “mestre” e “escravo”. Fizemos a transição para uma nova terminologia para promover uma experiência mais inclusiva e facilitar a compreensão dos componentes do serviço.  
Agora descrevemos “nós” como **instâncias** e descrevemos os tipos de instância do Amazon EMR como instâncias **primárias**, **centrais** e de **tarefas**. Durante a transição, ainda é possível encontrar referências antigas a termos desatualizados, como aqueles que dizem respeito aos grupos de segurança do Amazon EMR.

# Trabalhar com grupos de segurança gerenciados pelo Amazon EMR
<a name="emr-man-sec-groups"></a>

**nota**  
O Amazon EMR procura usar alternativas inclusivas para termos setoriais potencialmente ofensivos ou não inclusivos, como “mestre” e “escravo”. Fizemos a transição para uma nova terminologia para promover uma experiência mais inclusiva e facilitar a compreensão dos componentes do serviço.  
Agora descrevemos “nós” como **instâncias** e descrevemos os tipos de instância do Amazon EMR como instâncias **primárias**, **centrais** e de **tarefas**. Durante a transição, ainda é possível encontrar referências antigas a termos desatualizados, como aqueles que dizem respeito aos grupos de segurança do Amazon EMR.

Diferentes grupos de segurança gerenciados estão associados à instância primária e às instâncias centrais e de tarefa em um cluster. Um grupo de segurança gerenciado adicional para acesso de serviço é necessário quando você cria um cluster em uma sub-rede privada. Para obter mais informações sobre a função de grupos de segurança gerenciados com respeito à configuração de sua rede, consulte [Opções da Amazon VPC ao iniciar um cluster](emr-clusters-in-a-vpc.md).

Ao especificar grupos de segurança gerenciados para um cluster, você deve usar o mesmo tipo de grupo de segurança, padrão ou personalizado, para todos os grupos de segurança gerenciados. Por exemplo, você não pode especificar um grupo de segurança personalizado para a instância primária e, em seguida, não especificar um grupo de segurança personalizado para instâncias centrais e de tarefa.

Se você usar grupos de segurança gerenciados padrão, não será necessário especificá-los ao criar um cluster. O Amazon EMR usa os padrões automaticamente. Além disso, se os padrões ainda não existirem na VPC do cluster, o Amazon EMR os criará. O Amazon EMR também os criará se você os especificar explicitamente e eles ainda não existirem.

É possível editar regras em grupos de segurança gerenciados depois que os clusters forem criados. Quando você criar um novo cluster, o Amazon EMR verificará as regras nos grupos de segurança gerenciados que você especificar e criará as regras *de entrada* ausentes necessárias para o novo cluster, além de regras que podem ter sido adicionadas anteriormente. A menos que esteja definido de forma diferente, cada regra para grupos de segurança padrão gerenciados pelo Amazon EMR também é aplicada aos grupos de segurança personalizados gerenciados pelo Amazon EMR que você especificar.

Os grupos de segurança gerenciados padrão são os seguintes:
+ **ElasticMapReduce-primário**

  Para regras nesse grupo de segurança, consulte [Grupo de segurança gerenciado pelo Amazon EMR para a instância primária (sub-redes públicas)](#emr-sg-elasticmapreduce-master).
+ **ElasticMapReduce-núcleo**

  Para regras nesse grupo de segurança, consulte [Grupo de segurança gerenciado pelo Amazon EMR para instâncias centrais e de tarefa (sub-redes públicas)](#emr-sg-elasticmapreduce-slave).
+ **ElasticMapReduce- Primário - Privado**

  Para regras nesse grupo de segurança, consulte [Grupo de segurança gerenciado pelo Amazon EMR para a instância primária (sub-redes privadas)](#emr-sg-elasticmapreduce-master-private).
+ **ElasticMapReduce-Núcleo-Privado**

  Para regras nesse grupo de segurança, consulte [Grupo de segurança gerenciado pelo Amazon EMR para instâncias centrais e de tarefa (sub-redes privadas)](#emr-sg-elasticmapreduce-slave-private).
+ **ElasticMapReduce-ServiceAccess**

  Para regras nesse grupo de segurança, consulte [Grupo de segurança gerenciado pelo Amazon EMR para acesso de serviço (sub-redes privadas)](#emr-sg-elasticmapreduce-sa-private).

## Grupo de segurança gerenciado pelo Amazon EMR para a instância primária (sub-redes públicas)
<a name="emr-sg-elasticmapreduce-master"></a>

**O grupo de segurança gerenciado padrão para a instância primária em sub-redes públicas tem o **nome do grupo** de ElasticMapReduce -primary.** Tem as regras a seguir. Se você especificar um grupo de segurança gerenciado personalizado, o Amazon EMR adicionará todas as mesmas regras ao grupo de segurança personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-man-sec-groups.html)

**Para conceder o acesso SSH a fontes confiáveis ​​ao grupo de segurança primário com o console**

Para editar seus grupos de segurança, você deve ter permissão para gerenciar os grupos de segurança para a VPC na qual o cluster está localizado. Para obter mais informações, consulte [Alteração de permissões de um usuário](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) e o [exemplo de política](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html) que permite o gerenciamento de grupos de segurança do EC2 no *Guia do usuário do IAM*.

1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Escolha **Clusters**. Escolha o **ID** do cluster que deseja modificar.

1. No painel **Rede e segurança**, expanda o menu suspenso **Grupos de segurança (firewall) do EC2**.

1. Em **Nó primário**, escolha seu grupo de segurança.

1. Escolha **Editar regras de entrada**.

1. Verifique se há uma regra de entrada que permita acesso público com as configurações a seguir. Se existir, escolha **Excluir** para removê-la.
   + **Tipo**

     SSH
   + **Porta**

     22
   + **Origem**

     Personalizado 0.0.0.0/0
**Atenção**  
Antes de dezembro de 2020, havia uma regra configurada previamente para permitir o tráfego de entrada na porta 22 de todas as origens. Esta regra foi criada para simplificar as conexões SSH iniciais com o nó primário. Recomendamos fortemente remover esta regra de entrada e restringir o tráfego para origens confiáveis.

1. Role até o final da lista de regras e escolha **Adicionar regra**.

1. Em **Type (Tipo)**, selecione **SSH**.

   Selecionar SSH insere automaticamente **TCP** para **Protocolo** e **22** para **Intervalo de portas**.

1. Para a origem, selecione **Meu IP** para adicionar automaticamente seu endereço IP como o endereço de origem. Você também pode adicionar um intervalo ​​**personalizado** de endereços IP de clientes confiáveis ou criar regras adicionais para outros clientes. Diversos ambientes de rede alocam endereços IP dinamicamente, portanto, pode ser necessário atualizar os endereços IP para clientes confiáveis ​​no futuro.

1. Escolha **Salvar**.

1. Opcionalmente, escolha o outro grupo de segurança em **Nós centrais e de tarefa** no painel **Rede e segurança** e repita as etapas acima para permitir o acesso do cliente SSH aos nós centrais e de tarefa.

## Grupo de segurança gerenciado pelo Amazon EMR para instâncias centrais e de tarefa (sub-redes públicas)
<a name="emr-sg-elasticmapreduce-slave"></a>

**O grupo de segurança gerenciado padrão para instâncias principais e de tarefas em sub-redes públicas tem o **nome do ElasticMapReduce grupo** -core.** O grupo de segurança gerenciado padrão tem as regras a seguir, e o Amazon EMR adicionará as mesmas regras se você especificar um grupo de segurança gerenciado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grupo de segurança gerenciado pelo Amazon EMR para a instância primária (sub-redes privadas)
<a name="emr-sg-elasticmapreduce-master-private"></a>

**O grupo de segurança gerenciado padrão para a instância primária em sub-redes privadas tem o **nome do grupo** de ElasticMapReduce -Primary-Private.** O grupo de segurança gerenciado padrão tem as regras a seguir, e o Amazon EMR adicionará as mesmas regras se você especificar um grupo de segurança gerenciado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grupo de segurança gerenciado pelo Amazon EMR para instâncias centrais e de tarefa (sub-redes privadas)
<a name="emr-sg-elasticmapreduce-slave-private"></a>

**O grupo de segurança gerenciado padrão para instâncias principais e de tarefas em sub-redes privadas tem o **nome do grupo** de ElasticMapReduce -Core-Private.** O grupo de segurança gerenciado padrão tem as regras a seguir, e o Amazon EMR adicionará as mesmas regras se você especificar um grupo de segurança gerenciado personalizado.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-man-sec-groups.html)

### Editar regras de saída
<a name="private-sg-egress-rules"></a>

Por padrão, o Amazon EMR cria o grupo de segurança com regras de saída que permitem todo o tráfego de saída em todos os protocolos e portas. A opção de permitir todo o tráfego de saída é selecionada porque várias aplicações do Amazon EMR e do cliente que podem ser executadas em clusters do Amazon EMR podem exigir regras de saída diferentes. O Amazon EMR não consegue prever essas configurações específicas ao criar grupos de segurança padrão. Você pode reduzir o escopo da saída em seus grupos de segurança para incluir somente as regras adequadas a seus casos de uso e políticas de segurança. No mínimo, esse grupo de segurança exige as regras de saída a seguir, mas algumas aplicações podem precisar de saída adicional.


| Tipo | Protocolo | Intervalo de portas | Destino | Detalhes | 
| --- | --- | --- | --- | --- | 
| Todos os TCP | TCP | Todos | pl- xxxxxxxx | Lista gerenciada de prefixos do Amazon S3 com.amazonaws.MyRegion.s3. | 
| Todo o tráfego | Tudo | Todos | sg- xxxxxxxxxxxxxxxxx | O ID do grupo de segurança ElasticMapReduce-Core-Private. | 
| Todo o tráfego | Tudo | Todos | sg- xxxxxxxxxxxxxxxxx | O ID do grupo de segurança ElasticMapReduce-Primary-Private. | 
| TCP personalizado | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx | O ID do grupo de segurança ElasticMapReduce-ServiceAccess. | 

## Grupo de segurança gerenciado pelo Amazon EMR para acesso de serviço (sub-redes privadas)
<a name="emr-sg-elasticmapreduce-sa-private"></a>

**O grupo de segurança gerenciado padrão para acesso ao serviço em sub-redes privadas tem o **nome do grupo** de ElasticMapReduce -. ServiceAccess** Ele tem regras de entrada e regras de saída que permitem o tráfego por HTTPS (porta 8443, porta 9443) para os outros grupos de segurança gerenciados em sub-redes privadas. Essas regras permitem que o gerenciador de clusters se comunique com o nó primário e com os nós centrais e de tarefa. As mesmas regras serão necessárias se você estiver usando grupos de segurança personalizados.


| Tipo | Protocolo | Intervalo de portas | Fonte | Detalhes | 
| --- | --- | --- | --- | --- | 
| Regras de entrada: necessárias para clusters do Amazon EMR com o Amazon EMR versão 5.30.0 e posteriores. | 
| TCP personalizado | TCP | 9443 | O ID do grupo de segurança gerenciado para a instância primária.  |  Essa regra permite a comunicação entre o grupo de segurança da instância principal e o grupo de segurança de acesso ao serviço. | 
| Regras de saída necessárias para todos os clusters do Amazon EMR | 
| TCP personalizado | TCP | 8443 | O ID do grupo de segurança gerenciado para a instância primária.  |  Essas regras permitem que o gerenciador de clusters se comunique com o nó primário e com os nós centrais e de tarefa. | 
| TCP personalizado | TCP | 8443 | O ID do grupo de segurança gerenciado para instâncias core e de tarefa.  |  Essas regras permitem que o gerenciador de clusters se comunique com o nó primário e com os nós centrais e de tarefa.  | 

# Trabalho com grupos de segurança adicionais em um cluster do Amazon EMR
<a name="emr-additional-sec-groups"></a>

Independentemente de você usar os grupos de segurança gerenciados padrão ou especificar grupos de segurança gerenciados personalizados, é possível usar grupos de segurança adicionais. Os grupos de segurança adicionais oferecem a você a flexibilidade para adaptar o acesso entre diferentes clusters e de clientes externos, recursos e aplicativos.

Considere os seguintes cenários como um exemplo. Você tem vários clusters que devem se comunicar uns com os outros, mas deseja permitir acesso SSH de entrada à instância primária apenas para um subconjunto específico de clusters. Para fazer isso, você pode usar o mesmo conjunto de grupos de segurança gerenciados para os clusters. Em seguida, você cria grupos de segurança adicionais que permitem acesso SSH de entrada de clientes confiáveis e especifica grupos de segurança adicionais para a instância primária a cada cluster no subconjunto.

Você pode aplicar até 15 grupos de segurança adicionais para a instância primária, 15 para instâncias centrais e de tarefa e 15 para acesso de serviço (em sub-redes privadas). Se necessário, você pode especificar o mesmo grupo de segurança adicional para instâncias primárias, instâncias centrais e de tarefa e acesso de serviço. O número máximo de grupos de segurança e regras em sua conta está sujeito a limites da conta. Para obter mais informações, consulte os [limites de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups) no *Manual do usuário da Amazon VPC*. 

# Especificar grupos de segurança gerenciados pelo Amazon EMR e adicionais
<a name="emr-sg-specify"></a>

Você pode especificar grupos de segurança usando a Console de gerenciamento da AWS AWS CLI, a ou a API do Amazon EMR. Se você não especificar grupos de segurança, o Amazon EMR criará grupos de segurança padrão. A especificação de grupos de segurança adicionais é opcional. Você pode atribuir grupos de segurança adicionais para instâncias primárias, instâncias centrais e de tarefa e acesso de serviço (somente sub-redes privadas).

------
#### [ Console ]

**Para especificar grupos de segurança usando o console**

1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Em **EMR no EC2**, no painel de navegação esquerdo, escolha **Clusters** e depois **Criar cluster**.

1. Em **Redes**, selecione a seta ao lado dos **Grupos de segurança do EC2 (firewall)** para expandir a seção. Em **Nó primário** e **Nós centrais e de tarefa**, os grupos de segurança gerenciados padrão do Amazon EMR são selecionados por padrão. Se você usa uma sub-rede privada, também tem a opção de selecionar um grupo de segurança em **Acesso ao serviço**.

1. Para alterar o grupo de segurança gerenciado do Amazon EMR, use o menu suspenso **Escolher grupos de segurança** para selecionar outra opção da lista de opções **Grupo de segurança gerenciado pelo Amazon EMR**. Você tem um grupo de segurança gerenciado do Amazon EMR para o **nó primário** e os **nós centrais e de tarefa**.

1. Para adicionar grupos de segurança personalizados, use o mesmo menu suspenso **Escolher grupos de segurança** para selecionar até quatro grupos de segurança personalizados na lista de opções **Grupo de segurança personalizado**. Você pode ter até quatro grupos de segurança personalizados para o **nó primário** e os **nós centrais e de tarefa**.

1. Escolha qualquer outra opção que se aplique ao cluster. 

1. Para iniciar o cluster, escolha **Criar cluster**.

------

## Especificando grupos de segurança com o AWS CLI
<a name="emr-sg-specify-cli"></a>

Para especificar grupos de segurança usando o, AWS CLI você usa o `create-cluster` comando com os seguintes parâmetros da `--ec2-attributes` opção:


| Parâmetro | Description | 
| --- | --- | 
|  `EmrManagedPrimarySecurityGroup`  |  Use esse parâmetro para especificar um grupo de segurança gerenciado personalizado para a instância primária. Se esse parâmetro for especificado, `EmrManagedCoreSecurityGroup` também deve ser especificado. Para clusters em sub-redes privadas, `ServiceAccessSecurityGroup` também deverá ser especificado.  | 
|  `EmrManagedCoreSecurityGroup`  |  Use esse parâmetro para especificar um grupo de segurança gerenciado personalizado para instâncias core e de tarefa. Se esse parâmetro for especificado, `EmrManagedPrimarySecurityGroup` também deve ser especificado. Para clusters em sub-redes privadas, `ServiceAccessSecurityGroup` também deverá ser especificado.  | 
|  `ServiceAccessSecurityGroup`  |  Use esse parâmetro para especificar um grupo de segurança gerenciado personalizado para acesso de serviço, o que se aplica apenas a clusters em sub-redes privadas. O grupo de segurança que você especificar como `ServiceAccessSecurityGroup` não deve ser usado para nenhuma outra finalidade e também deve ser reservado ao Amazon EMR. Se esse parâmetro for especificado, `EmrManagedPrimarySecurityGroup` também deve ser especificado.  | 
|  `AdditionalPrimarySecurityGroups`  |  Use esse parâmetro para especificar até quatro grupos de segurança adicionais para a instância primária.  | 
|  `AdditionalCoreSecurityGroups`  |  Use esse parâmetro para especificar até quatro grupos de segurança adicionais para instâncias core e de tarefa.  | 

**Example : especifique grupos de segurança gerenciados pelo Amazon EMR e grupos de segurança adicionais**  
O exemplo a seguir especifica grupos de segurança gerenciados pelo Amazon EMR para um cluster em uma sub-rede privada, vários grupos de segurança adicionais para a instância primária e um único grupo de segurança adicional de instâncias centrais e de tarefa.  
Os caracteres de continuação de linha do Linux (\$1) são incluídos para facilitar a leitura. Eles podem ser removidos ou usados ​​em comandos do Linux. No Windows, remova-os ou substitua-os por um sinal de interpolação (^).

```
 1. aws emr create-cluster --name "ClusterCustomManagedAndAdditionalSGs" \
 2. --release-label emr-emr-7.12.0 --applications Name=Hue Name=Hive \
 3. Name=Pig --use-default-roles --ec2-attributes \
 4. SubnetIds=subnet-xxxxxxxxxxxx,KeyName=myKey,\
 5. ServiceAccessSecurityGroup=sg-xxxxxxxxxxxx,\
 6. EmrManagedPrimarySecurityGroup=sg-xxxxxxxxxxxx,\
 7. EmrManagedCoreSecurityGroup=sg-xxxxxxxxxxx,\
 8. AdditionalPrimarySecurityGroups=['sg-xxxxxxxxxxx',\
 9. 'sg-xxxxxxxxxxx','sg-xxxxxxxxxx'],\
10. AdditionalCoreSecurityGroups=sg-xxxxxxxxxxx \
11. --instance-type m5.xlarge
```

Para obter mais informações, consulte [create-cluster](https://docs.aws.amazon.com/cli/latest/reference/emr/create-cluster.html) na *AWS CLI Command Reference*.

# Especificar grupos de segurança do EC2 para Cadernos do EMR
<a name="emr-managed-notebooks-security-groups"></a>

Quando você cria um Caderno do EMR, dois grupos de segurança são usados para controlar o tráfego de rede entre o Caderno do EMR e o cluster do Amazon EMR quando o editor de caderno é usado. Os grupos de segurança padrão têm o mínimo de regras que permitem somente o tráfego de rede entre o serviço de Cadernos do EMR e os clusters aos quais os cadernos estão anexados.

Um Caderno do EMR usa o [Apache Livy](https://livy.incubator.apache.org/) para se comunicar com o cluster por meio de um proxy pela porta TCP 18888. Ao criar grupos de segurança personalizados com regras personalizadas para seu ambiente, você pode limitar o tráfego de rede para que apenas um subconjunto de cadernos possa executar código no editor de cadernos em determinados clusters. O cluster usa segurança personalizada, além dos grupos de segurança padrão do cluster. Para obter mais informações, consulte [Control network traffic with security groups](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html) no *Guia de gerenciamento do Amazon EMR* e no [Especificar grupos de segurança do EC2 para Cadernos do EMR](#emr-managed-notebooks-security-groups).

## Grupo de segurança padrão do EC2 para a instância primária
<a name="emr-managed-notebooks-security-group-for-master"></a>

O grupo de segurança padrão do EC2 para a instância primária está associado à instância primária do cluster, além dos grupos de segurança para a instância primária.

Nome do grupo: **ElasticMapReduceEditors-Livy**

**Regras**
+ Entrada

  Permitir a porta TCP 18888 de todos os recursos no grupo de segurança padrão do EC2 para Cadernos do EMR
+ Saída

  Nenhum

## Grupo de segurança padrão do EC2 para Cadernos do EMR
<a name="emr-managed-notebooks-security-group-for-notebooks"></a>

O grupo de segurança padrão do EC2 para o Caderno do EMR está associado ao editor de cadernos para qualquer Caderno do EMR ao qual ele esteja atribuído.

Nome do grupo: **ElasticMapReduceEditors-Editor**

**Regras**
+ Entrada

  Nenhum
+ Saída

  Permitir a porta TCP 18888 a todos os recursos no grupo de segurança padrão do EC2 para Cadernos do EMR.

## Grupo de segurança personalizado do EC2 para o Cadernos do EMR ao associar cadernos a repositórios do Git
<a name="emr-managed-notebooks-security-group-for-notebooks-git"></a>

Para vincular um repositório do Git ao caderno, o grupo de segurança do Caderno do EMR deve incluir uma regra de saída para permitir que o caderno encaminhe o tráfego para a Internet. É recomendável criar um grupo de segurança para essa finalidade. A atualização do grupo de segurança padrão **ElasticMapReduceEditors-Editor** pode fornecer as mesmas regras de saída para outros notebooks anexados a esse grupo de segurança. 

**Regras**
+ Entrada

  Nenhum
+ Saída

  Permita que o caderno encaminhe o tráfego para a Internet por meio do cluster, como demonstra o exemplo a seguir. Utiliza-se o valor 0.0.0.0/0 para fins de exemplo. É possível modificar essa regra para especificar os endereços IP dos repositórios baseados em Git.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-managed-notebooks-security-groups.html)

# Usar o bloqueio de acesso público do Amazon EMR
<a name="emr-block-public-access"></a>

O *bloqueio de acesso público (BPA)* do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta.

**Importante**  
O *bloqueio de acesso público* é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

## Noções básicas do bloqueio ao acesso público
<a name="emr-block-public-access-about"></a>

É possível usar a configuração em nível de conta de *bloqueio de acesso público* para gerenciar o acesso à rede pública aos clusters do Amazon EMR de maneira centralizada.

Quando um usuário do seu Conta da AWS executa um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com suas regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.

Se um usuário modificar as regras do grupo de segurança de um cluster em execução em uma sub-rede pública para ter uma regra de acesso público que viole a configuração do BPA da conta, o Amazon EMR revogará a nova regra se tiver permissão para isso. Se o Amazon EMR não tiver permissão para revogar a regra, ele criará um evento no painel AWS Health que descreva a violação. Para conceder a permissão de revogação da regra ao Amazon EMR, consulte [Configurar o Amazon EMR para revogar regras do grupo de segurança](#revoke-block-public-access).

O bloqueio de acesso público é habilitado por padrão para todos os clusters em cada Região da AWS de sua Conta da AWS. O BPA se aplica a todo o ciclo de vida de um cluster, mas não se aplica aos clusters criados em sub-redes privadas. É possível configurar exceções à regra do BPA; a porta 22 é uma exceção por padrão. Para obter mais informações sobre como configurar exceções, consulte [Configurar o bloqueio de acesso público](#configure-block-public-access).

## Configurar o bloqueio de acesso público
<a name="configure-block-public-access"></a>

Você pode atualizar os grupos de segurança e a configuração de bloqueio de acesso público de suas contas a qualquer momento.

Você pode ativar e desativar as configurações de bloqueio de acesso público (BPA) com a API Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) e a API do Amazon EMR. As configurações se aplicam em toda a sua conta em uma Region-by-Region base. Para manter a segurança do cluster, é recomendável usar o BPA.

------
#### [ Console ]

**Para configurar o bloqueio de acesso público usando o console**

1. [Faça login no e, em seguida Console de gerenciamento da AWS, abra o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Na barra de navegação superior, selecione a **região** que você deseja configurar, se ainda não estiver selecionada.

1. Em **EMR no EC2**, no painel de navegação esquerdo, escolha **Bloqueio de acesso público**.

1. Em **Block public access settings (Configurações de bloqueio de acesso público)**, conclua as etapas a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-block-public-access.html)

------
#### [ AWS CLI ]

**Para configurar, bloquear o acesso público usando o AWS CLI**
+ Use o comando `aws emr put-block-public-access-configuration` para configurar o bloqueio de acesso público, conforme mostrado nos exemplos a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-block-public-access.html)

------

## Configurar o Amazon EMR para revogar regras do grupo de segurança
<a name="revoke-block-public-access"></a>

O Amazon EMR precisa de permissão para revogar regras do grupo de segurança e cumprir sua configuração de bloqueio de acesso público. Você pode usar uma destas abordagens para dar a permissão necessária ao Amazon EMR:
+ **(Recomendado)** Anexe a política gerenciada `AmazonEMRServicePolicy_v2` ao perfil de serviço. Para obter mais informações, consulte [Perfil de serviço para Amazon EMR (perfil do EMR)](emr-iam-role.md).
+ Crie uma nova política em linha que permita a ação `ec2:RevokeSecurityGroupIngress` em grupos de segurança. Para obter mais informações sobre como modificar uma política de permissões de perfil, consulte **Modificar uma política de permissões de perfil** com o [console do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), a [API da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api) e a [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli) no *Guia do usuário do IAM*.

## Resolver violações ao bloqueio de acesso público
<a name="resolve-block-public-access"></a>

Se ocorrer uma violação ao bloqueio de acesso público, você poderá mitigá-la com uma destas ações:
+ Se quiser acessar uma interface da Web no cluster, use uma das opções descritas em [Visualizar interfaces Web hospedadas em clusters do Amazon EMR](emr-web-interfaces.md) para acessar a interface por meio de SSH (porta 22).
+ Para permitir o tráfego no cluster com base em endereços IP específicos em vez do endereço IP público, adicione uma regra de grupo de segurança. Para obter mais informações, consulte [Adicionar regras a um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule), no *Guia de conceitos básicos do Amazon EC2*.
+ **(Não recomendado)** É possível configurar as exceções de BPA do Amazon EMR para incluir a porta ou o intervalo de portas desejado. Ao especificar uma exceção de BPA, você introduz riscos com uma porta desprotegida. Se você pretende especificar uma exceção, remova a exceção assim que ela não for mais necessária. Para obter mais informações, consulte [Configurar o bloqueio de acesso público](#configure-block-public-access).

## Identificar clusters associados às regras do grupo de segurança
<a name="identify-block-public-access"></a>

Talvez seja necessário identificar todos os clusters associados a determinada regra de grupo de segurança ou encontrar a regra de grupo de segurança de determinado cluster.
+ Se você conhece o grupo de segurança, poderá identificar os clusters associados se encontrar as interfaces de rede do grupo de segurança. Para obter mais informações, consulte [How can I find the resources associated with an Amazon EC2 security group?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) no AWS re:Post. As instâncias do Amazon EC2 que estão conectadas a essas interfaces de rede serão marcadas com o ID do cluster ao qual pertencem.
+ Se você quiser encontrar os grupos de segurança de um cluster conhecido, siga as etapas descritas em [Exibição de status e detalhes do cluster do Amazon EMR](emr-manage-view-clusters.md). Você pode encontrar os grupos de segurança do cluster no painel **Rede e segurança** no console ou no campo `Ec2InstanceAttributes` da AWS CLI.