Amazon EMR での認証に Kerberos を使用する
Amazon EMR リリース 5.10.0 以降では、Kerberos がサポートされています。Kerberos は、シークレットキーの暗号化を使用して強力な認証を提供するネットワーク認証プロトコルであり、パスワードやその他の認証情報が暗号化されていない形式でネットワーク経由で送信されることはありません。
Kerberos では、認証を必要とするサービスやユーザーはプリンシパルと呼ばれます。プリンシパルは Kerberos 領域内に存在します。キー配布センター (KDC) として知られる Kerberos サーバーは、この領域内で、プリンシパルを認証する手段を提供します。KDC はチケットを発行してこの認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。KDC は、他の領域からプリンシパルの認証情報を受け入れることもできます。これは、クロス領域信頼と呼ばれます。また、EMR クラスターはプリンシパルを認証するために外部の KDC を使用できます。
クロス領域信頼を確立するため、あるいは外部の KDC を使用するためによくあるシナリオは、Active Directory ドメインからユーザーを認証することです。これにより、ユーザーは SSH を使用してクラスターに接続する場合やビッグデータアプリケーションで作業する場合に、ドメインアカウントを使用して EMR クラスターにアクセスできます。
Kerberos 認証を使用する場合、Amazon EMR はクラスターにインストールされているアプリケーションやコンポーネント、サブシステムに Kerberos を設定し、相互に認証できるようにします。
重要
Amazon EMR は、クロス領域信頼あるいは外部 KDC において AWS Directory Service for Microsoft Active Directory をサポートしていません。
Amazon EMR を使用して Kerberos を設定する前に、KDC で実行される Kerberos サービスの概念、および Kerberos サービスの管理ツールに慣れておくことをお勧めします。詳細については、Kerberos Consortium
トピック
