Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de Kerberos sur Amazon EMR
Cette section fournit des détails de configuration et des exemples pour configurer Kerberos avec des architectures courantes. Quelle que soit l'architecture que vous choisissez, les configurations de base sont identiques et effectuées en trois étapes. Si vous utilisez une connexion externe KDC ou si vous configurez une approbation entre domaines, vous devez vous assurer que chaque nœud d'un cluster possède une route réseau vers l'externeKDC, y compris la configuration des groupes de sécurité applicables pour autoriser le trafic Kerberos entrant et sortant.
Étape 1 : Créer une configuration de sécurité avec des propriétés Kerberos
La configuration de sécurité précise les détails du Kerberos KDC et permet de réutiliser la configuration Kerberos à chaque fois que vous créez un cluster. Vous pouvez créer une configuration de sécurité à l'aide de la EMR console Amazon, du AWS CLI, ou le EMRAPI. La configuration de sécurité peut également contenir d'autres options de sécurité, telles que le chiffrement. Pour plus d'informations sur la création de configurations de sécurité et la spécification d'une configuration de sécurité lorsque vous créez un cluster, consultez Utilisation de configurations de sécurité pour configurer la sécurité du cluster. Pour plus d'informations sur les propriétés Kerberos dans une configuration de sécurité, consultez Paramètres Kerberos pour les configurations de sécurité.
Étape 2 : Créer un cluster et spécifier les attributs Kerberos propres au cluster
Lorsque vous créez un cluster, spécifiez une configuration de sécurité Kerberos ainsi que des options Kerberos spécifiques au cluster. Lorsque vous utilisez la EMR console Amazon, seules les options Kerberos compatibles avec la configuration de sécurité spécifiée sont disponibles. Lorsque vous utilisez le AWS CLI ou Amazon EMRAPI, assurez-vous de spécifier des options Kerberos compatibles avec la configuration de sécurité spécifiée. Par exemple, si vous spécifiez un mot de passe principal pour une approbation entre domaines lorsque vous créez un cluster à l'aide deCLI, et que la configuration de sécurité spécifiée n'est pas configurée avec des paramètres d'approbation entre domaines, une erreur se produit. Pour de plus amples informations, veuillez consulter Paramètres de Kerberos pour les clusters.
Étape 3 : Configurer le nœud primaire de cluster
Selon les exigences de votre architecture et l'implémentation, une configuration supplémentaire sur le cluster peut être requise. Vous pouvez effectuer cette opération après l'avoir créée ou en utilisant les étapes ou les actions d'amorçage pendant le processus de création.
Pour chaque utilisateur authentifié par Kerberos qui se connecte au cluster en utilisantSSH, vous devez vous assurer que des comptes Linux correspondant à l'utilisateur Kerberos sont créés. Si les principaux utilisateurs sont fournis par un contrôleur de domaine Active Directory, que ce soit en tant que contrôleur externe KDC ou via une approbation inter-domaines, Amazon EMR crée automatiquement des comptes Linux. Si Active Directory n'est pas utilisé, vous devez créer des mandataires pour chaque utilisateur qui correspondent à leur utilisateur Linux. Pour de plus amples informations, veuillez consulter Configuration d'un cluster pour les utilisateurs et les connexions authentifiés par Kerberos HDFS SSH.
Chaque utilisateur doit également posséder un annuaire HDFS d'utilisateurs, que vous devez créer. En outre, SSH il doit être configuré avec GSSAPI activé pour autoriser les connexions provenant d'utilisateurs authentifiés par Kerberos. GSSAPIdoit être activé sur le nœud principal et l'SSHapplication cliente doit être configurée pour être utiliséeGSSAPI. Pour de plus amples informations, veuillez consulter Configuration d'un cluster pour les utilisateurs et les connexions authentifiés par Kerberos HDFS SSH.
