Création d'une configuration de sécurité - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une configuration de sécurité

Cette rubrique couvre les procédures générales pour la création d'une configuration de sécurité à l'aide de la console EMR et de l'AWS CLI. Elle comporte également une référence pour les paramètres qui comprennent le chiffrement, l'authentification et les rôles IAM pour EMRFS. Pour plus d'informations sur ces fonctions, consultez les rubriques suivantes :

Pour créer une configuration de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EMR à l'adresse https://console.aws.amazon.com/elasticmapreduce/.

  2. Dans le volet de navigation, choisissez Security Configurations (Configurations de sécurité), puis Create security configuration (Créer une configuration de sécurité).

  3. Dans Name (Nom), saisissez un nom pour la configuration de sécurité.

  4. Choisissez des options pourChiffrementandAuthentificationcomme décrit dans les sections ci-dessous, puis choisissezCréer.

Pour créer une configuration de sécurité à l'aide de l'AWS CLI

  • Utilisez la commande create-security-configuration, comme illustré dans l'exemple suivant.

    • Pour SecConfigName, spécifiez le nom de la configuration de sécurité. Il s'agit du nom que vous spécifiez lors de la création d'un cluster qui utilise cette configuration de sécurité.

    • Pour SecConfigDef, spécifiez une structure JSON en ligne ou le chemin d'accès à un fichier JSON local, comme file://MySecConfig.json. Les paramètres JSON définissent les options pourChiffrement,Rôles IAM pour l'accès EMRFS à Amazon S3, etAuthentificationcomme indiqué dans les sections ci-dessous.

    aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef

Configuration du chiffrement des données

Avant de configurer le chiffrement dans une configuration de sécurité, créez les clés et certificats utilisés pour le chiffrement. Pour plus d'informations, veuillez consulter Fournir des clés pour chiffrer les données au repos avec Amazon EMR et Fourniture de certificats pour le chiffrement des données en transit avec le chiffrement Amazon EMR.

Lorsque vous créez une configuration de sécurité, vous spécifiez deux jeux d'options de chiffrement : le chiffrement des données au repos et le chiffrement des données en transit. Les options pour un chiffrement de données au repos incluent à la fois Amazon S3 avec EMRFS et le chiffrement de disque local. Les options de chiffrement en transit activent les fonctions de chiffrement open source pour certaines applications qui prennent en charge le protocole TLS (Transport Layer Security). Les options de chiffrement des données au repos et en transit peuvent être activées ensemble ou séparément. Pour plus d'informations, consultez Chiffrement des données au repos et en transit.

Note

Lorsque vous utilisez AWS KMS, des frais s'appliquent pour le stockage et l'utilisation des clés de chiffrement. Pour plus d'informations, consultez AWS KMSTarification.

Spécification des options de chiffrement à l'aide de la console

Choisissez les options sous Encryption (Chiffrement) en fonction des indications suivantes.

  • Choisissez les options sous At rest encryption (Chiffrement au repos) pour chiffrer les données stockées dans le système de fichiers.

    Vous pouvez choisir de chiffrer des données dans Amazon S3, sur des disques locaux ou dans les deux.

  • UNDERChiffrement des données S3, pourMode de chiffrement, choisissez une valeur qui détermine comment Amazon EMR chiffre les données Amazon S3 avec EMRFS.

    L'étape suivante varie selon le mode de chiffrement que vous avez choisi :

  • Sous Local disk encryption (Chiffrement de disque local), choisissez une valeur pour Key provider type (Type de fournisseur de clé).

    • AWS KMS key

      Sélectionnez cette option pour spécifier une clé principale de client (CMK) AWS KMS. PourAWS KMS key, sélectionnez une clé. Cette clé doit être dans la même région que votre cluster EMR. Pour plus d'informations sur les exigences relatives aux clés, consultez Utilisation d’AWS KMSclés principales client (clés CMK) pour le chiffrement.

      Chiffrement EBS

      Lorsque vous spécifiezAWS KMSEn tant que fournisseur de clés, vous pouvez activer le chiffrement EBS pour chiffrer le périphérique racine et les volumes de stockage EBS. Pour activer cette option, vous devez accorder au rôle de service EMR EMR_DefaultRole les autorisations nécessaires pour utiliser la clé CMK que vous spécifiez. Pour plus d'informations sur les exigences relatives aux clés, consultez Activation du chiffrement EBS en fournissant des autorisations supplémentaires pourAWS KMSKms.

    • Personnalisé

      Sélectionnez cette option pour spécifier un fournisseur de clés personnalisé. Pourobjet s3, saisissez l'emplacement dans Amazon S3 ou l'ARN Amazon S3 de votre fichier JAR de fournisseur de clés personnalisé. Pour Key provider class (Classe de fournisseur de clé), saisissez le nom complet d'une classe déclarée dans votre application et qui implémente l'interface EncryptionMaterialsProvider. Le nom de classe que vous indiquez ici doit être différent du nom de classe fourni pour CSE-Custom.

  • Choisissez In-transit encryption (Chiffrement en transit) pour activer les fonctionnalités de chiffrement TLS open source pour les données en transit. Dans Certificate provider type (Type de fournisseur de certificat), sélectionnez un type de fournisseur de certificat conformément aux consignes suivantes :

    • PEM

      Sélectionnez cette option pour utiliser les fichiers PEM que vous fournissez au sein d'un fichier zip. Deux objets sont obligatoires dans le fichier zip : privateKey.pem et certificateChain.pem. Un troisième fichier, trustedCertificates.pem, est facultatif. Consultez Fourniture de certificats pour le chiffrement des données en transit avec le chiffrement Amazon EMR pour plus de détails. Pourobjet s3, spécifiez l'emplacement dans Amazon S3 ou l'ARN Amazon S3 du champ du fichier zip.

    • Personnalisé

      Sélectionnez cette option pour spécifier un fournisseur de certificats personnalisé, puis, pourobjet s3, saisissez l'emplacement dans Amazon S3, ou l'ARN Amazon S3, de votre fichier JAR de votre fournisseur de clés personnalisé. Pour Key provider class (Classe de fournisseur de clé), saisissez le nom complet d'une classe déclarée dans votre application et qui implémente l'interface TLSArtifactsProvider.

Spécification des options de chiffrement à l'aide de l'AWS CLI

Les sections suivantes utilisent des exemples de scénarios pour illustrer le code JSON --security-configuration bien formé pour différentes configurations et différents fournisseurs de clés, suivis d'une référence pour les paramètres JSON et les valeurs à utiliser.

Exemples d'options de chiffrement des données en transit

L'exemple suivant illustre le scénario suivant :

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": false, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip" } } } }'

L'exemple suivant illustre le scénario suivant :

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": false, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "Custom", "S3Object": "s3://MyConfig/artifacts/MyCerts.jar", "CertificateProviderClass": "com.mycompany.MyCertProvider" } } } }'

Exemples d'options de chiffrement des données au repos

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est désactivé et le chiffrement des données au repos est activé.

  • SSE-S3 est utilisé pour le chiffrement Amazon S3.

  • Le chiffrement de disque local utilise AWS KMS comme fournisseur de clés.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": false, "EnableAtRestEncryption": true, "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "SSE-S3" }, "LocalDiskEncryptionConfiguration": { "EncryptionKeyProviderType": "AwsKms", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est activé et fait référence à un fichier zip contenant des certificats PEM dans Amazon S3, à l'aide de l'ARN.

  • SSE-KMS est utilisé pour le chiffrement Amazon S3.

  • Le chiffrement de disque local utilise AWS KMS comme fournisseur de clés.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": true, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip" } }, "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "SSE-KMS", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" }, "LocalDiskEncryptionConfiguration": { "EncryptionKeyProviderType": "AwsKms", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est activé et fait référence à un fichier zip contenant des certificats PEM dans Amazon S3.

  • CSE-KMS est utilisé pour le chiffrement Amazon S3.

  • Le chiffrement de disque local utilise un fournisseur de clés personnalisé référencé par son ARN.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": true, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip" } }, "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "CSE-KMS", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" }, "LocalDiskEncryptionConfiguration": { "EncryptionKeyProviderType": "Custom", "S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar", "EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider.jar" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est activé avec un fournisseur de clés personnalisé.

  • CSE-Custom est utilisé pour les données Amazon S3.

  • Le chiffrement de disque local utilise un fournisseur de clés personnalisé.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": "true", "EnableAtRestEncryption": "true", "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "Custom", "S3Object": "s3://MyConfig/artifacts/MyCerts.jar", "CertificateProviderClass": "com.mycompany.MyCertProvider" } }, "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "CSE-Custom", "S3Object": "s3://MyConfig/artifacts/MyCerts.jar", "EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider" }, "LocalDiskEncryptionConfiguration": { "EncryptionKeyProviderType": "Custom", "S3Object": "s3://MyConfig/artifacts/MyCerts.jar", "EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est désactivé et le chiffrement des données au repos est activé.

  • Le chiffrement Amazon S3 est activé avec SSE-KMS.

  • PlusieursAWS KMSLes clés sont utilisées, une par compartiment S3 et des exceptions de chiffrement sont appliquées à ces compartiments S3 individuels.

  • Le chiffrement de disque local est désactivé.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{ "EncryptionConfiguration": { "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "SSE-KMS", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012", "Overrides": [ { "BucketName": "sse-s3-bucket-name", "EncryptionMode": "SSE-S3" }, { "BucketName": "cse-kms-bucket-name", "EncryptionMode": "CSE-KMS", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" }, { "BucketName": "sse-kms-bucket-name", "EncryptionMode": "SSE-KMS", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" } ] } }, "EnableInTransitEncryption": false, "EnableAtRestEncryption": true } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est désactivé et le chiffrement des données au repos est activé.

  • Le chiffrement Amazon S3 est activé avec SSE-S3 et le chiffrement de disque local est désactivé.

aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": false, "EnableAtRestEncryption": true, "AtRestEncryptionConfiguration": { "S3EncryptionConfiguration": { "EncryptionMode": "SSE-S3" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est désactivé et le chiffrement des données au repos est activé.

  • Le chiffrement de disque local est activé avecAWS KMScar le fournisseur de clés et le chiffrement Amazon S3 sont désactivés.

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": false, "EnableAtRestEncryption": true, "AtRestEncryptionConfiguration": { "LocalDiskEncryptionConfiguration": { "EncryptionKeyProviderType": "AwsKms", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" } } } }'

L'exemple suivant illustre le scénario suivant :

  • Le chiffrement des données en transit est désactivé et le chiffrement des données au repos est activé.

  • Le chiffrement de disque local est activé avecAWS KMScar le fournisseur de clés et le chiffrement Amazon S3 sont désactivés.

  • Le chiffrement EBS est activé.

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{ "EncryptionConfiguration": { "EnableInTransitEncryption": false, "EnableAtRestEncryption": true, "AtRestEncryptionConfiguration": { "LocalDiskEncryptionConfiguration": { "EnableEbsEncryption": true, "EncryptionKeyProviderType": "AwsKms", "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012" } } } }'

Référence JSON pour les paramètres de chiffrement

Le tableau suivant répertorie les paramètres JSON à définir pour le chiffrement et décrit les valeurs acceptables pour chacun d'eux.

Paramètre Description
« Activer le chiffrement en transit » : vrai | false Specify vrai to enable in-transit encryption and false to disable it. If omitted, false is assumed, and in-transit encryption is disabled.
« Activer Atrest Encryption » : true | false Specify vrai to enable at-rest encryption and false to disable it. If omitted, false is assumed and at-rest encryption is disabled.
Paramètres de chiffrement en transit
« Configuration de chiffrement en transit » : Specifies a collection of values used to configure in-transit encryption when Activer le chiffrement en transit is true.
« Type de fournisseur de certificats » : « PEM » | « personnalisé » Specifies whether to use PEM certificates referenced with a zipped file, or a Personnalisé certificate provider. If PEM is specified, Objet S3 must be a reference to the location in Amazon S3 of a zip file containing the certificates. If Custom is specified, Objet S3 must be a reference to the location in Amazon S3 of a JAR file, followed by a Classe de fournisseur de certificats entry.
« Objet S3 » : "Emplacement ZIP" | "Emplacement du Jar" Provides the location in Amazon S3 to a zip file when PEM is specified, or to a JAR file when Personnalisé is specified. The format can be a path (for example, s3 : //MyConfig/artifacts/CertFiles.zip) or an ARN (for example, arn:aws:s3። :code/mycertProvider.jar). If a zip file is specified, it must contain files named exactly privateKey.pem and certificateChain.pem. A file named trustedCertificates.pem is optional.
« Classe de fournisseur de certificats » : "Mon Classid" Required only if Personnalisé is specified for Type de fournisseur de certificats. Mon Classid specifies a full class name declared in the JAR file, which implements the TLSArtifactsProvider interface. For example, com.mycompany.mycertProvider.
Paramètres de chiffrement au repos
« Configuration de chiffrement ATREST » : Specifies a collection of values for at-rest encryption when Activer le chiffrement ATREST is true, including Amazon S3 encryption and local disk encryption.
Paramètres de chiffrement Amazon S3
« Configuration du chiffrement S3 » : Specifies a collection of values used for Amazon S3 encryption with the EMR File System (EMRFS).
« Mode de chiffrement »: « SSE-S3 » | « SE-KMS » | « CSE-KMS » | « CSE-Custom » Specifies the type of Amazon S3 encryption to use. If SSE-S3 is specified, no further Amazon S3 encryption values are required. If either SSE-KMS or CSE-KMS is specified, an AWS KMS customer master key (CMK) ARN must be specified as the AwsKmsKey value. If CSE-Custom is specified, Objet S3 and Classe de fournisseur de clés de chiffrement values must be specified.
« AwsKmsKey » : "Mon porte-clés" Required only when either SSE-KMS or CSE-KMS is specified for EncryptionMode. Mon porte-clés must be a fully specified ARN to a key (for example, arn:aws:kms:us-east- 1:123456789012:key/1234-1234-1234-1234-1234-1234-1234-1234-1234-1234-123456789012).
« Objet S3 » : "Emplacement du Jar" Required only when CSE-Custom is specified for Type de fournisseur de certificats. Emplacement du Jar provides the location in Amazon S3 to a JAR file. The format can be a path (for example, s3 : //MyConfig/artifacts/MyKeyProvider.jar) or an ARN (for example, arn:aws:s3። :code/mykeyprovider.jar).
« EncryptionKeyProviderClass » : "Identifiant Classique MyS3" Required only when CSE-Custom is specified for EncryptionMode. Identifiant Classique MyS3 specifies a full class name of a class declared in the application that implements the EncryptionMaterialsProvider interface; for example, com.mycompany.mys3KeyProvider.
Paramètres de chiffrement de disque local
« Configuration du chiffrement sur disque local » Specifies the key provider and corresponding values to be used for local disk encryption.
« Activer le chiffrement EBS » :true|false Specify true to enable EBS encryption. EBS encryption encrypts the EBS root device volume and attached storage volumes. To use EBS encryption, you must specify AWSMS as your Type de fournisseur de clés de chiffrement.
« Type de fournisseur de clés de chiffrement » : « AWSMS » | « personnalisé » Specifies the key provider. If AWSMS is specified, an AWS KMS CMK ARN must be specified as the AwsKmsKey value. If Personnalisé is specified, Objet S3 and Classe de fournisseur de clés de chiffrement values must be specified.
« AwsKmsKey : "Mon porte-clés" Required only when AWSMS is specified for Type. Mon porte-clés must be a fully specified ARN to a key (for example, arn:aws:kms:us-east- 1:123456789012:key/1234-1234-1234-1234-1234-1234-1234-1234-456789012123).
« Objet S3 » : "Emplacement du Jar" Required only when CSE-Custom is specified for Type de fournisseur de certificats. Emplacement du Jar provides the location in Amazon S3 to a JAR file. The format can be a path (for example, s3 : //MyConfig/artifacts/MyKeyProvider.jar) or an ARN (for example, arn:aws:s3። :code/mykeyprovider.jar).

"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"

Required only when Personnalisé is specified for Type. ID Classique de ma clé de disque local specifies a full class name of a class declared in the application that implements the EncryptionMaterialsProvider interface; for example, com.myCompany.MyLocalDiskKeyProvider.

Configuration de l'authentification Kerberos

Une configuration de sécurité avec les paramètres Kerberos ne peut être utilisée que par un cluster créé avec des attributs Kerberos. Sinon, une erreur se produit. Pour plus d'informations, consultez Utilisation de l'authentification Kerberos. Kerberos est uniquement disponible dans Amazon EMR version 5.10.0 et versions ultérieures.

Spécification des paramètres Kerberos à l'aide de la console

Choisissez les options sous Kerberos authentication (Authentification Kerberos) en suivant les indications suivantes.

Paramètre Description

Kerberos

Spécifie que Kerberos est activé pour les clusters qui utilisent cette configuration de sécurité. Si un cluster utilise cette configuration de sécurité, les paramètres Kerberos doivent également être spécifiés dans le cluster, sinon une erreur se produit.

Fournisseur

KDC dédié du cluster

Spécifie qu'Amazon EMR crée un KDC sur le nœud maître de n'importe quel cluster utilisant cette configuration de sécurité. Vous spécifiez le nom du domaine et le mot de passe administrateur KDC lorsque vous créez le cluster.

Vous pouvez référencer ce KDC à partir d'autres clusters, si nécessaire. Créez ces clusters à l'aide d'une configuration de sécurité différente, spécifiez un KDC externe et utilisez le nom de domaine et le mot de passe administrateur KDC que vous spécifiez pour le KDC dédié au cluster.

KDC externe

Disponible uniquement avec Amazon EMR 5.20.0 ou version suivante. Spécifie que les clusters utilisant cette configuration de sécurité authentifient les principaux Kerberos à l'aide d'un serveur KDC en dehors du cluster. Un KDC n'est pas créé sur le cluster. Lorsque vous créez le cluster, vous spécifiez le nom du domaine et le mot de passe administrateur KDC pour le KDC externe.

Tifetime ticket

Facultatif. Définit la période pendant laquelle un ticket Kerberos émis par le KDC est valide sur les clusters utilisant cette configuration de sécurité.

La durée de vie des tickets est limitée pour des raisons de sécurité. Les applications et services de cluster renouvellent automatiquement les tickets après leur expiration. Les utilisateurs qui se connectent au cluster via SSH à l'aide d'informations d'identification Kerberos doivent exécuter.kinità partir de la ligne de commande du nœud principal pour renouveler un ticket après son expiration.

Représentation d'approbation inter-domaines

Spécifie une approbation inter-domaines entre un KDC dédié au cluster sur les clusters qui utilisent cette configuration de sécurité et un KDC dans un autre domaine Kerberos.

Les principaux (généralement les utilisateurs) d'un autre domaine sont authentifiés auprès des clusters qui utilisent cette configuration. Une configuration supplémentaire dans l'autre domaine Kerberos est requise. Pour plus d'informations, consultez Didacticiel : Configurez une approbation inter-domaines avec un domaine Active Directory.

Propriétés de confiance inter-domaines

Domaine

Spécifie le nom de domaine Kerberos de l'autre domaine inclus dans la relation d'approbation. Par convention, les noms de domaine Kerberos sont identiques au nom de domaine mais en majuscules.

Domaine

Spécifie le nom de domaine de l'autre domaine de la relation d'approbation.

Serveur administrateur

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur d'administration de l'autre domaine inclus dans la relation d'approbation. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le même poste avec le même FQDN, mais communiquent sur différents ports.

Si aucun port n'est spécifié, le port 749 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:749).

Serveur KDC

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur KDC de l'autre domaine inclus dans la relation d'approbation. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le poste avec le même FQDN, mais utilisent différents ports.

Si aucun port n'est spécifié, le port 88 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:88).

KDC externe

Spécifie que le KDC externe des clusters est utilisé par le cluster.

Propriétés KDC externes

Serveur administrateur

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur d'administration externe. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le même poste avec le même FQDN, mais communiquent sur différents ports.

Si aucun port n'est spécifié, le port 749 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:749).

Serveur KDC

Spécifie le FQDN (nom de domaine complet) du serveur KDC externe. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le poste avec le même FQDN, mais utilisent différents ports.

Si aucun port n'est spécifié, le port 88 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:88).

Intégration d'Active Directory

Spécifie que l'authentification principale Kerberos est intégrée à un domaine Microsoft Active Directory.

Propriétés d'intégration d'Active Directory

Domaine Active Directory

Spécifie le nom de domaine Kerberos du domaine Active Directory. Par convention, les noms de domaine Kerberos sont généralement identiques à ceux du domaine mais en majuscules.

Domaine Active Directory

Spécifie le nom de domaine Active Directory.

Serveur Active Directory

Spécifie le FQDN (nom de domaine complet) du contrôleur de domaine Microsoft Active Directory.

Spécifier les paramètres Kerberos à l'aide de laAWS CLI

Le tableau suivant montre les paramètres JSON de référence pour les paramètres Kerberos dans une configuration de sécurité. Pour des exemples de configurations, consultez Exemples de configuration.

Paramètre Description

"AuthenticationConfiguration": {

Obligatoire pour Kerberos. Spécifie qu'une configuration d'authentification fait partie de cette configuration de sécurité.

"KerberosConfiguration": {

Obligatoire pour Kerberos. Spécifie les propriétés de configuration Kerberos.

"Provider": "ClusterDedicatedKdc",

ou

"Provider: "ExternalKdc",

ClusterDedicatedKdcspécifie qu'Amazon EMR crée un KDC sur le nœud maître de n'importe quel cluster utilisant cette configuration de sécurité. Vous spécifiez le nom du domaine et le mot de passe administrateur KDC lorsque vous créez le cluster. Vous pouvez référencer ce KDC à partir d'autres clusters, si nécessaire. Créez ces clusters à l'aide d'une configuration de sécurité différente, spécifiez un KDC externe et utilisez le nom de domaine et le mot de passe administrateur KDC que vous avez spécifiés lorsque vous avez créé le cluster avec le KDC dédié au cluster.

ExternalKdcspécifie que le cluster utilise un KDC externe. Amazon EMR ne crée pas de KDC sur le nœud principal. Un cluster qui utilise cette configuration de sécurité doit spécifier le nom du domaine et le mot de passe administrateur KDC du KDC externe.

"ClusterDedicatedKdcConfiguration": {

Obligatoire lorsque ClusterDedicatedKdc est spécifié.

"TicketLifetimeInHours": 24,

Facultatif. Définit la période pendant laquelle un ticket Kerberos émis par le KDC est valide sur les clusters utilisant cette configuration de sécurité.

La durée de vie des tickets est limitée pour des raisons de sécurité. Les applications et services de cluster renouvellent automatiquement les tickets après leur expiration. Les utilisateurs qui se connectent au cluster via SSH à l'aide d'informations d'identification Kerberos doivent exécuter.kinità partir de la ligne de commande du nœud principal pour renouveler un ticket après son expiration.

"CrossRealmTrustConfiguration": {

Spécifie une approbation inter-domaines entre un KDC dédié au cluster sur les clusters qui utilisent cette configuration de sécurité et un KDC dans un autre domaine Kerberos.

Les principaux (généralement les utilisateurs) d'un autre domaine sont authentifiés auprès des clusters qui utilisent cette configuration. Une configuration supplémentaire dans l'autre domaine Kerberos est requise. Pour plus d'informations, consultez Didacticiel : Configurez une approbation inter-domaines avec un domaine Active Directory.

"Realm": "KDC2.COM",

Spécifie le nom de domaine Kerberos de l'autre domaine inclus dans la relation d'approbation. Par convention, les noms de domaine Kerberos sont identiques au nom de domaine mais en majuscules.

"Domain": "kdc2.com",

Spécifie le nom de domaine de l'autre domaine de la relation d'approbation.

"AdminServer": "kdc.com:749",

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur d'administration de l'autre domaine inclus dans la relation d'approbation. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le même poste avec le même FQDN, mais communiquent sur différents ports.

Si aucun port n'est spécifié, le port 749 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:749).

"KdcServer": "kdc.com:88"

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur KDC de l'autre domaine inclus dans la relation d'approbation. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le poste avec le même FQDN, mais utilisent différents ports.

Si aucun port n'est spécifié, le port 88 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:88).

}

}

« Configuration KDC externe » : {

Obligatoire lorsque ExternalKdc est spécifié.

"TicketLifetimeInHours": 24,

Facultatif. Définit la période pendant laquelle un ticket Kerberos émis par le KDC est valide sur les clusters utilisant cette configuration de sécurité.

La durée de vie des tickets est limitée pour des raisons de sécurité. Les applications et services de cluster renouvellent automatiquement les tickets après leur expiration. Les utilisateurs qui se connectent au cluster via SSH à l'aide d'informations d'identification Kerberos doivent exécuterkinità partir de la ligne de commande du nœud principal pour renouveler un ticket après son expiration.

"KdcServerType": "Single",

Spécifie qu'un seul serveur KDC est référencé.Singleest actuellement la seule valeur prise en charge.

« AdminServer » : »kdc.com : 749«,

Spécifie le FQDN (nom de domaine complet) ou l'adresse IP du serveur d'administration externe. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le même poste avec le même FQDN, mais communiquent sur différents ports.

Si aucun port n'est spécifié, le port 749 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:749).

« KDC Server » : »kdc.com : 88«,

Spécifie le FQDN (nom de domaine complet) du serveur KDC externe. Le serveur d'administration et le serveur KDC s'exécutent généralement sur le poste avec le même FQDN, mais utilisent différents ports.

Si aucun port n'est spécifié, le port 88 est utilisé (port Kerberos par défaut). Le cas échéant, vous pouvez spécifier le port (par exemple, domain.example.com:88).

"AdIntegrationConfiguration": {

Spécifie que l'authentification principale Kerberos est intégrée à un domaine Microsoft Active Directory.

"AdRealm": "AD.DOMAIN.COM",

Spécifie le nom de domaine Kerberos du domaine Active Directory. Par convention, les noms de domaine Kerberos sont généralement identiques à ceux du domaine mais en majuscules.

"AdDomain": "ad.domain.com"

Spécifie le nom de domaine Active Directory.

}

}

}

}

Configuration des rôles IAM pour les demandes EMRFS à Amazon S3

Les rôles IAM pour EMRFS vous permettent de fournir différentes autorisations pour les données EMRFS dans Amazon S3. Vous créez des mappages qui spécifient un rôle IAM utilisé pour les autorisations lorsqu'une demande d'accès contient un identificateur que vous spécifiez. L'identificateur peut être un utilisateur ou un rôle Hadoop, ou bien un préfixe Amazon S3.

Pour plus d'informations, consultez Configuration des rôles IAM pour les demandes EMRFS à Amazon S3.

Spécifier les rôles IAM pour EMRFS à l'aide de l'outilAWS CLI

Voici un exemple d'extrait JSON permettant de spécifier des rôles IAM personnalisés pour EMRFS dans une configuration de sécurité. Il présente les mappages de rôles pour les trois types d'identifiants différents, suivis d'une référence de paramètre.

{ "AuthorizationConfiguration": { "EmrFsConfiguration": { "RoleMappings": [{ "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1", "IdentifierType": "User", "Identifiers": [ "user1" ] },{ "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_MyBuckets", "IdentifierType": "Prefix", "Identifiers": [ "s3://MyBucket/","s3://MyOtherBucket/" ] },{ "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup", "IdentifierType": "Group", "Identifiers": [ "AdminGroup" ] }] } } }
Paramètre Description

"AuthorizationConfiguration":

Obligatoire.

"EmrFsConfiguration":

Obligatoire. Contient des mappages de rôles.

  "RoleMappings":

Obligatoire. Contient une ou plusieurs définitions de mappage de rôles. Les mappages de rôle sont évalués dans l'ordre descendant dans lequel ils s'affichent. Si un mappage de rôles est évalué comme vrai pour un appel de données EMRFS dans Amazon S3, aucun autre mappage de rôles n'est évalué et EMRFS utilise le rôle IAM spécifié pour la demande. Les mappages de rôles comprennent les paramètres requis suivants :

   "Role":

Spécifie l'identificateur ARN d'un rôle IAM au formatarn:aws:iam::account-id:role/role-name. Il s'agit du rôle IAM que prend Amazon EMR si la demande EMRFS envoyée à Amazon S3 correspond à l'un des paramètresIdentifiersspécifié.

   "IdentifierType":

Il peut avoir l'une des parties suivantes :

  • "User"spécifie que les identifiants sont un ou plusieurs utilisateurs Hadoop, qui peuvent être des utilisateurs de comptes Linux ou des principaux Kerberos. Lorsque la demande EMRFS provient de l'utilisateur ou des utilisateurs spécifiés, le rôle IAM est assumé.

  • "Prefix"spécifie que l'identifiant est un emplacement Amazon S3. Le rôle IAM est supposé pour les appels vers l'emplacement ou les emplacements avec les préfixes spécifiés. Par exemple, le préfixe s3://mybucket/matches s3://mybucket/mydir ands3://mybucket/yetanotherdir.

  • "Group"spécifie que les identifiants sont un ou plusieursGroupes Hadoop. Le rôle IAM est assumé si la demande provient d'un utilisateur du ou des groupes spécifiés.

   "Identifiers":

Spécifie un ou plusieurs identifiants du type d'identifiant approprié. Séparez plusieurs identificateurs par des virgules sans espaces.

Configurez les demandes de service de métadonnées vers les instances Amazon EC2

Les métadonnées d'instance sont des données portant sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution. Vous pouvez accéder aux métadonnées d'instance à partir d'une instance en cours d'exécution en utilisant l'une des méthodes suivantes :

  • Service des métadonnées d'instance Version 1 (IMDSv1) - méthode de demande/réponse

  • Service des métadonnées d'instance Version 2 (IMDSv2) - méthode orientée session

Bien qu'Amazon EC2 prend en charge à la fois IMDSv1 et IMDSv2, Amazon EMR prend en charge IMDSv2 dans Amazon EMR 5.23.1, 5.27.1, 5.32 ou version ultérieure et 6.2 ou version ultérieure. Dans ces versions, les composants Amazon EMR utilisent IMDSv2 pour tous les appels IMDS. Pour les appels IMDS dans le code de votre application, vous pouvez utiliser IMDSv1 et IMDSv2, ou configurer l'IMDS pour utiliser uniquement IMDSv2 pour plus de sécurité. Lorsque vous spécifiez que IMDSv2 doit être utilisé, IMDSv1 ne fonctionne plus.

Pour de plus amples informations, veuillez consulterConfigurer le service des métadonnées d'instancedans leManuel de l'utilisateur Amazon EC2 pour les instances Linux.

Note

Dans les versions précédentes d'Amazon EMR 5.x ou 6.x, la désactivation d'IMDSv1 entraîne un échec du démarrage du cluster car les composants Amazon EMR utilisent IMDSv1 pour tous les appels IMDS. Lorsque vous désactivez IMDSv1, assurez-vous que tout logiciel personnalisé utilisant IMDSv1 est mis à jour vers IMDSv2.

Spécification de la configuration du service de métadonnées d'instance à l'aide duAWS CLI

L'exemple suivant est un extrait de code JSON permettant de spécifier le service de métadonnées d'instance Amazon EC2 (IMDS) dans une configuration de sécurité.

{ "InstanceMetadataServiceConfiguration" : { "MinimumInstanceMetadataServiceVersion": integer, "HttpPutResponseHopLimit": integer } }
Paramètre Description

"InstanceMetadataServiceConfiguration":

Obligatoire.

"MinimumInstanceMetadataServiceVersion":

Obligatoire. Spécifiez 1 ou 2. Une valeur de1autorise IMDsv1 et IMDsv2. Une valeur de2autorise uniquement IMDSv2.

"HttpPutResponseHopLimit":

Obligatoire. Limite de saut de réponse HTTP PUT souhaitée pour les requêtes de métadonnées d'instance. Plus le nombre est élevé, plus les demandes de métadonnées d'instance peuvent être envoyées. Par défaut: 1. Spécifie un nombre entier de1sur64.

Spécification de la configuration du service de métadonnées d'instance à l'aide de la console

Vous pouvez configurer l'utilisation d'IMDS pour un cluster lorsque vous le lancez à partir de la console Amazon EMR.


        					Contrôles des configurations de sécurité IMDS dans la console Amazon EMR

Pour configurer l'utilisation d'IMDS à l'aide de la console :

  1. Lors de la création d'une nouvelle configuration de sécurité sur leConfigurations de la sécuritépage, sélectionnezConfigurer le service des métadonnées d'instance EC2UNDERService de métadonnées d'instance EC2réglage. Cette configuration est prise en charge uniquement dans Amazon EMR 5.23.1, 5.27.1, 5.32 ou version ultérieure, et 6.2 ou version ultérieure.

  2. PourVersion minimale du service des métadonnées d'instance, sélectionnez l'une des options suivantes :

  3. Pour IMDSV2, vous pouvez également configurer le nombre autorisé de sauts réseau pour le jeton de métadonnées en définissant l'HTTP put response hop limità un nombre entier compris dans la plage1and64.

Pour de plus amples informations, veuillez consulterConfigurer le service des métadonnées d'instancedans leManuel de l'utilisateur Amazon EC2 pour les instances Linux.

VoirConfiguration des détails de l'instanceandConfigurer le service des métadonnées d'instancedans leManuel de l'utilisateur Amazon EC2 pour les instances Linux.