SSLPresto auf Amazon verwenden TLS und LDAPS mit Presto konfigurieren EMR - Amazon EMR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SSLPresto auf Amazon verwenden TLS und LDAPS mit Presto konfigurieren EMR

Mit der EMR Amazon-Version 5.6.0 und höher können SieSSL/aktivieren, TLS um die interne Kommunikation zwischen Presto-Knoten zu sichern. Zu diesem Zweck richten Sie eine Sicherheitskonfiguration für die Verschlüsselung der Daten während der Übertragung ein. Weitere Informationen finden Sie unter Verschlüsselungsoptionen und Verwenden von Sicherheitskonfigurationen zur Einrichtung der Clustersicherheit im Amazon EMR Management Guide.

Wenn Sie eine Sicherheitskonfiguration mit Verschlüsselung während der Übertragung verwenden, EMR geht Amazon für Presto wie folgt vor:

  • Der Service verteilt die von Ihnen angegebenen Verschlüsselungsartefakte oder Zertifikate über den Presto-Cluster. Weitere Informationen finden Sie unter Bereitstellen von Zertifikaten für die Datenverschlüsselung während der Übertragung.

  • Legt die folgenden Eigenschaften mit der Konfigurationsklassifizierung presto-config fest, die der config.properties-Datei für Presto entspricht:

    • Legt http-server.http.enabled false auf allen Knoten fest, was zu Gunsten von deaktiviert wirdHTTP. HTTPS Dazu müssen Sie bei der Einrichtung der Sicherheitskonfiguration für die Verschlüsselung DNS während der Übertragung Zertifikate angeben, die für öffentlich und privat funktionieren. Eine Möglichkeit, dies zu tun, besteht darin, Zertifikate SAN (Subject Alternative Name) zu verwenden, die mehrere Domänen unterstützen.

    • Legt http-server.https.*-Werte fest. Einzelheiten zur Konfiguration finden Sie in der Presto-Dokumentation unter LDAPAuthentifizierung.

  • Für Presto SQL (Trino) auf EMR Version 6.1.0 und höher konfiguriert Amazon EMR automatisch einen gemeinsamen geheimen Schlüssel für die sichere interne Kommunikation zwischen Clusterknoten. Sie müssen keine zusätzliche Konfiguration vornehmen, um dieses Sicherheitsfeature zu aktivieren, und Sie können die Konfiguration mit Ihrem eigenen geheimen Schlüssel überschreiben. Informationen zur internen Authentifizierung von Trino finden Sie in der Trino-353-Dokumentation: Sichere interne Kommunikation.

Darüber hinaus können Sie mit der EMR Amazon-Release-Version 5.10.0 und höher die LDAPAuthentifizierung für Client-Verbindungen zum Presto-Koordinator mithilfe von einrichten. HTTPS Dieses Setup verwendet secure LDAP ()LDAPS. TLSmuss auf Ihrem LDAP Server aktiviert sein und der Presto-Cluster muss eine Sicherheitskonfiguration mit aktivierter Datenverschlüsselung bei der Übertragung verwenden. Zusätzliche Konfigurationsschritte sind erforderlich. Die Konfigurationsoptionen unterscheiden sich je nach der von Ihnen verwendeten Release-Version von AmazonEMR. Weitere Informationen finden Sie unter LDAPAuthentifizierung für Presto bei Amazon verwenden EMR.

Presto bei Amazon EMR verwendet standardmäßig Port 8446 für interne HTTPS Zwecke. Der für die interne Kommunikation verwendete Port muss derselbe Port sein, der für den HTTPS Client-Zugriff auf den Presto-Koordinator verwendet wird. Die Eigenschaft http-server.https.port in der Konfigurationsklassifizierung presto-config gibt den Port an.