Configuration de Kerberos sur Amazon EMR - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de Kerberos sur Amazon EMR

Cette section fournit des détails de configuration et des exemples pour configurer Kerberos avec des architectures courantes. Quelle que soit l'architecture que vous choisissez, les configurations de base sont identiques et effectuées en trois étapes. Si vous utilisez un KDC externe ou si vous configurez une approbation inter-domaines, vous devez vous assurer que tous les nœuds d'un cluster disposent d'un routage de réseau vers le KDC externe, y compris la configuration des groupes de sécurité pertinents pour autoriser le trafic Kerberos entrant et sortant.

Étape 1 : Création d'une configuration de sécurité avec les propriétés Kerberos

La configuration de sécurité spécifie les détails sur le KDC Kerberos et autorise la réutilisation de la configuration de Kerberos chaque fois que vous créez un cluster. Vous pouvez créer une configuration de sécurité à l'aide de la console Amazon EMR,AWS CLI, ou l'API EMR. La configuration de sécurité peut également contenir d'autres options de sécurité, telles que le chiffrement. Pour plus d'informations sur la création de configurations de sécurité et la spécification d'une configuration de sécurité lorsque vous créez un cluster, consultez Utiliser des configurations de sécurité pour configurer la sécurité du cluster. Pour plus d'informations sur les propriétés Kerberos dans une configuration de sécurité, consultez Paramètres Kerberos pour les configurations de sécurité.

Étape 2 : Créez un cluster et spécifiez des attributs Kerberos spécifiques au cluster

Lorsque vous créez un cluster, spécifiez une configuration de sécurité Kerberos ainsi que des options Kerberos spécifiques au cluster. Lorsque vous utilisez la console Amazon EMR, seules les options Kerberos compatibles avec la configuration de sécurité spécifiée sont disponibles. Lorsque vous utilisez leAWS CLIou l'API Amazon EMR, assurez-vous de spécifier des options Kerberos compatibles avec la configuration de sécurité spécifiée. Par exemple, si vous spécifiez un mot de passe de mandataire pour une approbation inter-domaines lorsque vous créez un cluster à l'aide de l'interface de ligne de commande, et la configuration de sécurité spécifiée n'est pas configurée avec les paramètres d'approbation inter-domaines, une erreur se produit. Pour plus d'informations, consultez Paramètres Kerberos pour les clusters.

Étape 3 : Configuration du nœud maître du cluster

Selon les exigences de votre architecture et l'implémentation, une configuration supplémentaire sur le cluster peut être requise. Vous pouvez effectuer cette opération après l'avoir créée ou en utilisant les étapes ou les actions d'amorçage pendant le processus de création.

Pour chaque utilisateur authentifié par Kerberos qui se connecte au cluster à l'aide de SSH, vous devez vous assurer que les comptes d'utilisateur Linux qui correspondent à l'utilisateur Kerberos sont créés. Si les principaux utilisateurs sont fournis par un contrôleur de domaine Active Directory, soit en tant que KDC externe, soit par le biais d'un trust inter-domaines, Amazon EMR crée automatiquement des comptes utilisateur Linux. Si Active Directory n'est pas utilisé, vous devez créer des mandataires pour chaque utilisateur qui correspondent à leur utilisateur Linux. Pour plus d'informations, consultez Configuration d'un cluster pour les utilisateurs HDFS authentifiés par Kerberos et les connexions SSH.

Chaque utilisateur doit également disposer d'un répertoire d'utilisateurs HDFS qui leur appartient et que vous devez créer. En outre, SSH doit être configuré avec la GSSAPI activée afin d'autoriser les connexions à partir des utilisateurs authentifiés par Kerberos. GSSAPI doit être activée sur le nœud principal et l'application SSH cliente doit être configurée pour utiliser la GSSAPI. Pour plus d'informations, consultez Configuration d'un cluster pour les utilisateurs HDFS authentifiés par Kerberos et les connexions SSH.