Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de la configuración de seguridad de Amazon EMR para la integración con el LDAP
Antes de lanzar un clúster de EMR con integración del LDAP, siga los pasos de Creación de una configuración de seguridad para crear una configuración de seguridad de Amazon EMR para el clúster. Complete las siguientes configuraciones en el bloque LDAPConfiguration
en AuthenticationConfiguration
o en los campos correspondientes de la sección Configuraciones de seguridad de la consola de Amazon EMR:
EnableLDAPAuthentication
-
Opción de consola: Protocolo de autenticación: LDAP
Para usar la integración del LDAP, establezca esta opción en
true
o selecciónela como protocolo de autenticación al crear un clúster en la consola. De forma predeterminada,EnableLDAPAuthentication
estrue
cuando crea una configuración de seguridad en la consola de Amazon EMR. LDAPServerURL
-
Opción de consola: ubicación del servidor LDAP
La ubicación del servidor LDAP, incluido el prefijo:
ldaps://
.location_of_server
BindCertificateARN
-
Opción de consola: Certificado SSL del LDAP
El AWS Secrets Manager ARN que contiene el certificado para firmar el certificado SSL que utiliza el servidor LDAP. Si su servidor LDAP está firmado por una autoridad de certificación (CA) pública, puede proporcionar un AWS Secrets Manager ARN con un archivo en blanco. Para obtener más información sobre cómo almacenar el certificado en Secrets Manager, consulte Almacenamiento de certificados TLS en AWS Secrets Manager.
BindCredentialsARN
-
Opción de consola: credenciales de vinculación del servidor LDAP
Un AWS Secrets Manager ARN que contiene las credenciales de enlace de usuario administrador de LDAP. Las credenciales se almacenan como un objeto JSON. Solo hay un par clave-valor en este secreto; la clave del par es el nombre de usuario y el valor es la contraseña. Por ejemplo,
{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}
. Este campo es opcional, a menos que habilite el inicio de sesión SSH para su clúster de EMR. En muchas configuraciones, las instancias de Active Directory requieren credenciales de vinculación para permitir que SSSD sincronice los usuarios. LDAPAccessFilter
-
Opción de consola: filtro de acceso del LDAP
Especifica el subconjunto de objetos del servidor LDAP que pueden autenticarse. Por ejemplo, si desea conceder acceso a todos los usuarios con la clase de objeto
posixAccount
de su servidor LDAP, defina el filtro de acceso como(objectClass=posixAccount)
. LDAPUserSearchBase
-
Opción de consola: base de búsqueda de usuarios de LDAP
La base de búsqueda a la que pertenecen sus usuarios en su servidor LDAP. Por ejemplo,
cn=People,dc=example,dc=com
. LDAPGroupSearchBase
-
Opción de consola: base de búsqueda de grupos LDAP
La base de búsqueda a la que pertenecen sus grupos dentro de su servidor LDAP. Por ejemplo,
cn=Groups,dc=example,dc=com
. EnableSSHLogin
-
Opción de consola: inicio de sesión SSH
Especifica si se permite o no la autenticación por contraseña con credenciales del LDAP. No le recomendamos habilitar esta opción. Los pares de claves son una ruta más segura para permitir el acceso a los clústeres de EMR. Este campo es opcional y de forma predeterminada es
false
. LDAPServerType
-
Opción de consola: tipo de servidor LDAP
Especifica el tipo de servidor LDAP al que se conecta Amazon EMR. Las opciones compatibles son Active Directory y OpenLDAP. Es posible que otros tipos de servidores LDAP funcionen, pero Amazon EMR no admite oficialmente otros tipos de servidores. Para obtener más información, consulte Componentes del LDAP para Amazon EMR.
ActiveDirectoryConfigurations
-
Un subbloque obligatorio para las configuraciones de seguridad que utilizan el tipo de servidor Active Directory.
ADDomain
-
Opción de consola: dominio de Active Directory
El nombre de dominio utilizado para crear el nombre principal de usuario (UPN) para la autenticación del usuario con configuraciones de seguridad que utilizan el tipo de servidor Active Directory.
Aspectos que hay que tener en cuenta para realizar las configuraciones de seguridad con el LDAP y Amazon EMR
-
Para crear una configuración de seguridad con la integración del LDAP de Amazon EMR, debe utilizar el cifrado en tránsito. Para obtener información sobre el cifrado en tránsito, consulte Cifrado de datos en reposo y en tránsito.
-
No puede definir la configuración de Kerberos en la misma configuración de seguridad. Amazon EMR aprovisiona un KDC dedicado al KDC de forma automática y administra la contraseña de administrador de este KDC. Los usuarios no pueden acceder a esta contraseña de administrador.
-
No puede definir las funciones de tiempo de ejecución de IAM ni AWS Lake Formation en la misma configuración de seguridad.
-
La
LDAPServerURL
debe tener el protocololdaps://
en su valor. -
El
LDAPAccessFilter
no puede estar vacío.
Uso del LDAP con la integración de Apache Ranger para Amazon EMR
Con la integración del LDAP para Amazon EMR, puede ampliar su integración con Apache Ranger. Cuando extraiga sus usuarios del LDAP en Ranger, podrá asociarlos a un servidor de políticas de Apache Ranger para integrarlos con Amazon EMR y otras aplicaciones. Para ello, defina el campo RangerConfiguration
de la configuración de seguridad que AuthorizationConfiguration
va a utilizar con el clúster del LDAP. Para obtener más información acerca de cómo definir la configuración de seguridad, consulte Creación de la configuración de seguridad de EMR.
Cuando utilice el LDAP con Amazon EMR, no tendrá que proporcionar una KerberosConfiguration
con la integración de Amazon EMR para Apache Ranger.