Creación de la configuración de seguridad de EMR

Creación de una configuración de seguridad de Amazon EMR para Apache Ranger

Antes de lanzar un clúster de Amazon EMR integrado con Apache Ranger, cree una configuración de seguridad.

Console

Para crear una configuración de seguridad que especifique la opción de integración con AWS Ranger

En la consola de Amazon EMR, seleccione Configuraciones de seguridad y, a continuación, Crear.
Escriba un nombre para la configuración de seguridad en el campo Name (Nombre). Este nombre se utiliza para especificar la configuración de seguridad cuando crea un clúster.
En Integración con AWS Ranger, seleccione Habilitar un control de acceso detallado administrado por Apache Ranger.
Seleccione un rol de IAM para que Apache Ranger lo aplique. Para obtener más información, consulte Roles de IAM para la integración nativa con Apache Ranger.
Seleccione un rol de IAM para que otros servicios de AWS lo apliquen.
Configure los complementos para que se conecten al servidor de Ranger Admin ingresando el ARN de Secrets Manager del servidor de Admin y la dirección.
Seleccione las aplicaciones para configurar los complementos de Ranger. Complete el ARN de Secrets Manager que contiene el certificado TLS privado del complemento.

Si no configura Apache Spark ni Apache Hive y los selecciona como aplicaciones para su clúster, la solicitud fallará.
Defina otras opciones de configuración de seguridad según corresponda y elija Create (Crear). Debe habilitar la autenticación de Kerberos mediante el KDC dedicado del clúster o un KDC externo.

nota

Actualmente, no puede utilizar la consola para crear una configuración de seguridad que especifique la opción de integración de AWS Ranger en el AWS GovCloud (US) Region. La configuración de seguridad se puede llevar a cabo con la CLI.

CLI

Para crear una configuración de seguridad para la integración de Apache Ranger

<ACCOUNT ID>Sustitúyala por tu ID AWS de cuenta.
Sustituya <REGION> por la región en la que se encuentra el recurso.
Especifique un valor para TicketLifetimeInHours para determinar el periodo para el que un vale de Kerberos generado por el KDC es válido.
Especifique la dirección del servidor de Ranger Admin de AdminServerURL.


{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}

Estos PolicyRespositoryNames son los nombres de los servicios que se especifican en su administrador de Apache Ranger.

Cree una configuración de seguridad de Amazon EMR con el siguiente contenido. Sustituya la configuración de seguridad por el nombre de su elección. Seleccione esta configuración por el nombre al crear el clúster.


aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration

Configuración de características de seguridad adicionales

Para integrar Amazon EMR de forma segura con Apache Range, configure las siguientes características de seguridad de EMR:

Habilite la autenticación de Kerberos mediante el KDC dedicado del clúster o un KDC externo. Para ver instrucciones, consulte Uso de Kerberos para la autenticación con Amazon EMR.
(Opcional) Habilite el cifrado en tránsito o en reposo. Para obtener más información, consulte Opciones de cifrado.

Para obtener más información, consulte Seguridad en Amazon EMR.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Validación de permisos

Almacenamiento de certificados TLS en AWS Secrets Manager