Create la configurazione di EMR sicurezza

Creazione di una configurazione EMR di sicurezza Amazon per Apache Ranger

Prima di avviare un EMR cluster Amazon integrato con Apache Ranger, crea una configurazione di sicurezza.

Console

Creazione di una configurazione di sicurezza che specifichi l'opzione di integrazione AWS Ranger

Nella EMR console Amazon, seleziona Configurazioni di sicurezza, quindi Crea.
Digitare un nome in Name (Nome) per la configurazione di sicurezza. Questo nome è utilizzato per specificare la configurazione di sicurezza al momento della creazione di un cluster.
In AWS Ranger Integration (Integrazione Ranger), seleziona Enable fine-grained access control managed by Apache Ranger (Abilita controllo granulare degli accessi gestito da Apache Ranger).
Seleziona il tuo IAMruolo per Apache Ranger da candidarti. Per ulteriori informazioni, consulta IAMruoli per l'integrazione nativa con Apache Ranger.
Seleziona il tuo IAMruolo per altri AWS servizi da candidarti.
Configura i plugin per connetterti al server di amministrazione Ranger inserendo il Secrets Manager ARN per il server di amministrazione e l'indirizzo.
Seleziona le applicazioni per configurare i plug-in Ranger. Inserisci il Secrets Manager ARN che contiene il TLS certificato privato per il plugin.

Se Apache Spark o Apache Hive non vengono configurati e vengono selezionati come applicazione per il cluster, la richiesta ha esito negativo.
Configurare altre opzioni per la configurazione di sicurezza come appropriato e scegliere Create (Crea). È necessario abilitare l'autenticazione Kerberos utilizzando l'autenticazione dedicata al cluster o esterna. KDC

Nota

Al momento non è possibile utilizzare la console per creare una configurazione di sicurezza che specifichi l'opzione di integrazione AWS Ranger in. AWS GovCloud (US) Region La configurazione della sicurezza può essere eseguita utilizzando. CLI

CLI

Creazione di una configurazione di sicurezza per l'integrazione di Apache Ranger

<ACCOUNT ID>Sostituiscilo con l'ID AWS del tuo account.
Sostituisci <REGION> con la Regione in cui si trova la risorsa.
Specificate un valore TicketLifetimeInHours per determinare il periodo di validità di un ticket Kerberos emesso da. KDC
Specifica l'indirizzo del server Admin Ranger per AdminServerURL.


{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}

PolicyRespositoryNames Sono i nomi dei servizi specificati nell'amministratore di Apache Ranger.

Crea una configurazione EMR di sicurezza Amazon con il seguente comando. Sostituisci security-configuration con un nome a tua scelta. Seleziona questa configurazione per nome quando crei il cluster.


aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration

Configurazione di caratteristiche di sicurezza aggiuntive

Per integrare in modo sicuro Amazon EMR con Apache Ranger, configura le seguenti EMR funzionalità di sicurezza:

Abilita l'autenticazione Kerberos utilizzando l'autenticazione dedicata al cluster o esterna. KDC Per istruzioni, consulta Usa Kerberos per l'autenticazione con Amazon EMR.
(Facoltativo) Abilita la crittografia in transito o inattiva. Per ulteriori informazioni, consulta Opzioni di crittografia.

Per ulteriori informazioni, consulta Sicurezza in Amazon EMR.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Convalida delle autorizzazioni

TLSArchivia i certificati in AWS Secrets Manager