Enkripsi in-transit di HiveServer 2 - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi in-transit di HiveServer 2

Dimulai dengan rilis Amazon EMR 6.9.0, HiveServer 2 (HS2) diaktifkan TLS/SSL sebagai bagian dari konfigurasiEnkripsi in-transit di HiveServer 2 keamanan. Hal ini memengaruhi cara Anda terhubung ke HS2 yang berjalan di klaster Amazon EMR dengan enkripsi in-transit diaktifkan. Untuk terhubung ke HS2, Anda harus memodifikasi nilaiTRUSTSTORE_PATH danTRUSTSTORE_PASSWORD parameter dalam URL JDBC. URL berikut adalah contoh koneksi JDBC untuk HS2 dengan parameter yang diperlukan: 

jdbc:hive2://HOST_NAME:10000/default;ssl=true;sslTrustStore=TRUSTSTORE_PATH;trustStorePassword=TRUSTSTORE_PASSWORD

Gunakan instuctions yang sesuai untuk enkripsi on-cluster atau off-cluster HiveServer 2 di bawah ini.

On-cluster HS2 access

Jika Anda mengakses HiveServer 2 menggunakan klien Beeline setelah Anda SSH ke node utama, maka referensi/etc/hadoop/conf/ssl-server.xml untuk menemukanTRUSTSTORE_PATH dan nilaiTRUSTSTORE_PASSWORD parameter menggunakan konfigurasissl.server.truststore.location danssl.server.truststore.password.

Contoh perintah berikut dapat membantu Anda mengambil konfigurasi ini:

TRUSTSTORE_PATH=$(sed -n '/ssl.server.truststore.location/,+2p' /etc/hadoop/conf/ssl-server.xml | awk -F "[><]" '/value/{print $3}')
TRUSTSTORE_PASSWORD=$(sed -n '/ssl.server.truststore.password/,+2p' /etc/hadoop/conf/ssl-server.xml | awk -F "[><]" '/value/{print $3}')
Off-cluster HS2 access

Jika Anda mengakses HiveServer 2 dari klien di luar klaster Amazon EMR. Anda dapat menggunakan salah satu pendekatan berikut untuk mendapatkanTRUSTSTORE_PATH danTRUSTSTORE_PASSWORD:

  • Konversi file PEM yang dibuat selama konfigurasi keamanan (https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html) ke file JKS dan gunakan yang sama di URL koneksi JDBC. Misalnya, menggunakan openssl dan keytool, gunakan perintah berikut:

    openssl pkcs12 -export -in trustedCertificates.pem -inkey privateKey.pem -out trustedCertificates.p12 -name "certificate"
                    keytool -importkeystore -srckeystore trustedCertificates.p12 -srcstoretype pkcs12 -destkeystore trustedCertificates.jks

  • Atau, referensi/etc/hadoop/conf/ssl-server.xml untuk menemukanTRUSTSTORE_PATH dan nilaiTRUSTSTORE_PASSWORD parameter menggunakan konfigurasissl.server.truststore.location danssl.server.truststore.password. Unduh file truststore ke mesin klien dan gunakan jalur pada mesin klien sebagai fileTRUSTSTORE_PATH.

    Untuk informasi selengkapnya tentang mengakses aplikasi dari klien di luar klaster Amazon EMR, lihat Menggunakan driver Hive JDBC.