Uso deSSL/TLSy configuración LDAPS con Presto en Amazon EMR - Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso deSSL/TLSy configuración LDAPS con Presto en Amazon EMR

Con la EMR versión 5.6.0 y posteriores de Amazon, puedes habilitarSSL/TLSpara ayudar a proteger la comunicación interna entre los nodos de Presto. Para ello, se establece una configuración de seguridad para el cifrado en tránsito. Para obtener más información, consulte Opciones de cifrado y Uso de configuraciones de seguridad para configurar la seguridad de los clústeres en la Amazon EMR Management Guide.

Cuando utilizas una configuración de seguridad con cifrado en tránsito, Amazon EMR hace lo siguiente con Presto:

  • Distribuye los artefactos de cifrado o los certificados que especifique para el cifrado en tránsito a lo largo del clúster de Presto. Para obtener más información, consulte Proporcionar certificados para cifrado de datos en tránsito.

  • Establece las siguientes propiedades utilizando la clasificación de configuración presto-config, que se corresponde con el archivo config.properties de Presto:

    • Se establece http-server.http.enabled false en todos los nodos, lo que se desactiva HTTP en favor de. HTTPS Esto requiere que proporcione certificados que funcionen para el sector público y el privado DNS al configurar la configuración de seguridad para el cifrado en tránsito. Una forma de hacerlo es utilizar certificados SAN (nombre alternativo del sujeto) que admitan varios dominios.

    • Establece los valores de http-server.https.*. Para obtener detalles de configuración, consulte la LDAPautenticación en la documentación de Presto.

  • Para Presto SQL (Trino) en la EMR versión 6.1.0 y posteriores, Amazon configura EMR automáticamente una clave secreta compartida para una comunicación interna segura entre los nodos del clúster. No necesita llevar a cabo ninguna configuración adicional para habilitar esta característica de seguridad y puede anular la configuración con su propia clave secreta. Para obtener información sobre la autenticación interna de Trino, consulte la documentación de Trino 353: Comunicación interna segura.

Además, con la EMR versión 5.10.0 y posteriores de Amazon, puede configurar la LDAPautenticación para las conexiones de los clientes con el coordinador de Presto mediante. HTTPS Esta configuración usa secure LDAP (). LDAPS TLSdebe estar habilitado en el LDAP servidor y el clúster de Presto debe usar una configuración de seguridad con el cifrado de datos en tránsito activado. Se requiere configuración adicional. Las opciones de configuración varían en función de la versión de lanzamiento de Amazon EMR que utilices. Para obtener más información, consulte Uso de LDAP la autenticación para Presto en Amazon EMR.

Presto en Amazon EMR usa el puerto 8446 como interno de forma HTTPS predeterminada. El puerto utilizado para la comunicación interna debe ser el mismo puerto utilizado para el HTTPS acceso del cliente al coordinador de Presto. La propiedad http-server.https.port de la configuración de clasificación presto-config especifica el puerto.