Certificat TLS - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Certificat TLS

L'intégration d'Apache Ranger à Amazon EMR nécessite que le trafic entre les nœuds Amazon EMR et le serveur d'administration Ranger soit chiffré à l'aide du protocole TLS, et que les plug-ins Ranger s'authentifient auprès du serveur Apache Ranger à l'aide d'une authentification TLS mutuelle bidirectionnelle. Le service Amazon EMR a besoin du certificat public de votre serveur d'administration Ranger (spécifié dans l'exemple précédent) et du certificat privé.

Certificats du plug-in Apache Ranger

Les certificats TLS publics du plug-in Apache Ranger doivent être accessibles au serveur d'administration Apache Ranger pour valider la connexion des plug-ins. Il existe trois méthodes différentes pour ce faire.

Méthode 1 : configurer un magasin de confiance sur le serveur d'administration Apache Ranger

Renseignez les configurations suivantes dans le ranger-admin-site fichier .xml pour configurer un truststore.

<property>
    <name>ranger.truststore.file</name>
    <value><LOCATION TO TRUSTSTORE></value>
</property>

<property>
    <name>ranger.truststore.password</name>
    <value><PASSWORD FOR TRUSTSTORE></value>
</property>

Méthode 2 : charger le certificat dans le magasin de confiance cacerts de Java

Si votre serveur d'administration Ranger ne spécifie pas de magasin de confiance dans ses options JVM, vous pouvez placer les certificats publics du plug-in dans le magasin cacerts par défaut.

Méthode 3 : créer un magasin de confiance et le spécifier dans le cadre des options JVM

Dans {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh, modifiez JAVA_OPTS pour inclure "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>" et "-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>". Par exemple, ajoutez la ligne suivante après le JAVA_OPTS existant.

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
Note

Cette spécification peut exposer le mot de passe du magasin de confiance si un utilisateur parvient à se connecter au serveur d'administration Apache Ranger et à voir les processus en cours, par exemple lors de l'utilisation de la commande ps.

Utilisation des certificats auto-signés

Les certificats auto-signés ne sont pas recommandés en tant que certificats. Les certificats auto-signés ne peuvent pas être révoqués et peuvent ne pas être conformes aux exigences de sécurité internes.