Menggunakan SSL/TLS dan mengkonfigurasi LDAPS dengan Presto on Amazon EMR - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan SSL/TLS dan mengkonfigurasi LDAPS dengan Presto on Amazon EMR

Dengan rilis Amazon EMR versi 5.6.0 dan yang lebih baru, Anda dapat mengaktifkan SSL/TLS untuk membantu komunikasi internal yang aman antara node Presto. Anda melakukannya dengan menyiapkan konfigurasi keamanan untuk enkripsi dalam transit. Untuk informasi selengkapnya, lihat Opsi enkripsi dan Menggunakan konfigurasi keamanan untuk mengatur keamanan cluster dalam Amazon EMR.

Ketika Anda menggunakan konfigurasi keamanan dengan di-transit enkripsi, Amazon EMR melakukan hal berikut untuk Presto:

  • Mendistribusikan artefak enkripsi, atau sertifikat, yang Anda tentukan untuk di-transit enkripsi di seluruh cluster Presto. Untuk informasi selengkapnya, lihat Menyediakan sertifikat untuk enkripsi data in-transit.

  • Menetapkan properti berikut menggunakan klasifikasi konfigurasi presto-config, yang sesuai dengan file config.properties untuk Presto:

    • Sets http-server.http.enabled ke false pada semua node, yang menonaktifkan HTTP mendukung HTTPS. Hal ini mengharuskan Anda untuk memberikan sertifikat yang berfungsi untuk DNS publik dan pribadi saat menyiapkan konfigurasi keamanan untuk enkripsi dalam transit. Salah satu cara untuk melakukannya adalah dengan menggunakan SAN (nama alternatif subjek) sertifikat yang mendukung beberapa domain.

    • Sets http-server.https.* nilai. Untuk detail konfigurasi, lihat Autentikasi LDAP dalam dokumentasi Presto.

  • Untuk PrestoSQL (Trino) pada EMR versi 6.1.0 dan kemudian, Amazon EMR secara otomatis mengkonfigurasi kunci rahasia bersama untuk komunikasi internal yang aman antara node klaster. Anda tidak perlu melakukan konfigurasi tambahan untuk mengaktifkan fitur keamanan ini, dan Anda dapat mengganti konfigurasi dengan kunci rahasia Anda sendiri. Untuk informasi tentang otentikasi internal Trino, lihat Dokumentasi Trino 353: Komunikasi internal yang aman.

Selain itu, dengan rilis Amazon EMR versi 5.10.0 dan yang lebih baru, Anda dapat mengatur Autentikasi LDAP untuk koneksi klien ke koordinator Presto menggunakan HTTPS. Penataan ini menggunakan LDAP aman (LDAPS). TLS harus diaktifkan pada server LDAP Anda, dan gugus Presto harus menggunakan konfigurasi keamanan dengan enkripsi data di-transit diaktifkan. Konfigurasi tambahan diperlukan. Pilihan konfigurasi berbeda tergantung pada versi rilis Amazon EMR yang Anda gunakan. Untuk informasi selengkapnya, lihat Menggunakan otentikasi LDAP untuk Presto on Amazon EMR.

Presto on Amazon EMR menggunakan port 8446 untuk HTTPS internal secara default. Port yang digunakan untuk komunikasi internal harus port yang sama digunakan untuk klien HTTPS akses ke koordinator Presto. Parameter http-server.https.port Properti di properti presto-config klasifikasi konfigurasi menentukan port.