SSLTLSMenggunakan/dan mengonfigurasi LDAPS dengan Presto di Amazon EMR - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SSLTLSMenggunakan/dan mengonfigurasi LDAPS dengan Presto di Amazon EMR

Dengan Amazon versi EMR rilis 5.6.0 dan yang lebih baru, Anda dapat mengaktifkanSSL/TLSuntuk membantu mengamankan komunikasi internal antara node Presto. Anda melakukannya dengan menyiapkan konfigurasi keamanan untuk enkripsi dalam transit. Untuk informasi selengkapnya, lihat Opsi enkripsi dan Gunakan konfigurasi keamanan untuk menyiapkan keamanan klaster di Panduan EMR Manajemen Amazon.

Saat Anda menggunakan konfigurasi keamanan dengan enkripsi dalam perjalanan, Amazon EMR melakukan hal berikut untuk Presto:

  • Mendistribusikan artefak enkripsi, atau sertifikat, yang Anda tentukan untuk di-transit enkripsi di seluruh cluster Presto. Untuk informasi selengkapnya, lihat Menyediakan sertifikat untuk enkripsi data in-transit.

  • Menetapkan properti berikut menggunakan klasifikasi konfigurasi presto-config, yang sesuai dengan file config.properties untuk Presto:

    • Set http-server.http.enabled ke false pada semua node, yang menonaktifkan HTTP mendukung. HTTPS Ini mengharuskan Anda untuk memberikan sertifikat yang berfungsi untuk publik dan pribadi DNS saat menyiapkan konfigurasi keamanan untuk enkripsi dalam perjalanan. Salah satu cara untuk melakukannya adalah dengan menggunakan sertifikat SAN (Nama Alternatif Subjek) yang mendukung banyak domain.

    • Sets http-server.https.* nilai. Untuk detail konfigurasi, lihat LDAPotentikasi di dokumentasi Presto.

  • Untuk Presto SQL (Trino) pada EMR versi 6.1.0 dan yang lebih baru, Amazon EMR secara otomatis mengonfigurasi kunci rahasia bersama untuk komunikasi internal yang aman antara node cluster. Anda tidak perlu melakukan konfigurasi tambahan untuk mengaktifkan fitur keamanan ini, dan Anda dapat mengganti konfigurasi dengan kunci rahasia Anda sendiri. Untuk informasi tentang otentikasi internal Trino, lihat Dokumentasi Trino 353: Komunikasi internal yang aman.

Selain itu, dengan Amazon versi EMR rilis 5.10.0 dan yang lebih baru, Anda dapat mengatur LDAPotentikasi untuk koneksi klien ke koordinator Presto menggunakan. HTTPS Pengaturan ini menggunakan secure LDAP (LDAPS). TLSharus diaktifkan di LDAP server Anda, dan klaster Presto harus menggunakan konfigurasi keamanan dengan enkripsi data dalam transit diaktifkan. Konfigurasi tambahan diperlukan. Opsi konfigurasi berbeda tergantung pada versi rilis Amazon EMR yang Anda gunakan. Untuk informasi selengkapnya, lihat Menggunakan LDAP otentikasi untuk Presto di Amazon EMR.

Presto di Amazon EMR menggunakan port 8446 untuk internal HTTPS secara default. Port yang digunakan untuk komunikasi internal harus port yang sama yang digunakan untuk HTTPS akses klien ke koordinator Presto. Parameter http-server.https.port Properti di properti presto-config klasifikasi konfigurasi menentukan port.