Cree la configuración de EMR seguridad

Creación de una configuración EMR de seguridad de Amazon para Apache Ranger

Antes de lanzar un EMR clúster de Amazon integrado con Apache Ranger, cree una configuración de seguridad.

Console

Para crear una configuración de seguridad que especifique la opción de integración con AWS Ranger

En la EMR consola de Amazon, selecciona Configuraciones de seguridad y, a continuación, Crear.
Escriba un nombre para la configuración de seguridad en el campo Name (Nombre). Este nombre se utiliza para especificar la configuración de seguridad cuando crea un clúster.
En Integración con AWS Ranger, seleccione Habilitar un control de acceso detallado administrado por Apache Ranger.
Selecciona tu IAMpuesto para que Apache Ranger lo postule. Para obtener más información, consulte IAMfunciones para la integración nativa con Apache Ranger.
Seleccione su IAMfunción para solicitar otros AWS servicios.
Configure los complementos para que se conecten al servidor Ranger Admin introduciendo el Secrets Manager ARN del servidor de administración y la dirección.
Seleccione las aplicaciones para configurar los complementos de Ranger. Introduzca el Secrets Manager ARN que contiene el TLS certificado privado del complemento.

Si no configura Apache Spark ni Apache Hive y los selecciona como aplicaciones para su clúster, la solicitud fallará.
Defina otras opciones de configuración de seguridad según corresponda y elija Create (Crear). Debe habilitar la autenticación Kerberos mediante el clúster dedicado o externo. KDC

nota

Actualmente, no puede utilizar la consola para crear una configuración de seguridad que especifique la opción de integración de AWS Ranger en el. AWS GovCloud (US) Region La configuración de seguridad se puede realizar mediante. CLI

CLI

Para crear una configuración de seguridad para la integración de Apache Ranger

<ACCOUNT ID>Reemplácelo por su ID de AWS cuenta.
Sustituya <REGION> por la región en la que se encuentra el recurso.
Especifique un valor TicketLifetimeInHours para determinar el período de validez de un KDC vale de Kerberos emitido por el.
Especifique la dirección del servidor de Ranger Admin de AdminServerURL.


{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}

Estos PolicyRespositoryNames son los nombres de servicio que se especifican en su administrador de Apache Ranger.

Cree una configuración EMR de seguridad de Amazon con el siguiente comando. Sustituya la configuración de seguridad por el nombre de su elección. Seleccione esta configuración por el nombre al crear el clúster.


aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration

Configuración de características de seguridad adicionales

Para integrar Amazon EMR con Apache Ranger de forma segura, configure las siguientes funciones EMR de seguridad:

Habilite la autenticación Kerberos mediante el clúster dedicado o externo. KDC Para obtener instrucciones, consulte Utilice Kerberos para la autenticación con Amazon EMR.
(Opcional) Habilite el cifrado en tránsito o en reposo. Para obtener más información, consulte Opciones de cifrado para Amazon EMR.

Para obtener más información, consulte Seguridad en Amazon EMR.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Valide sus permisos para la EMR integración de Amazon con Apache Ranger

TLSGuarde los certificados en AWS Secrets Manager