Creazione di una configurazione di sicurezza EMR - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una configurazione di sicurezza EMR

Creazione di una configurazione di sicurezza di Amazon EMR per Apache Ranger

Prima di lanciare un cluster Amazon EMR integrato con Apache Ranger, crea una configurazione di sicurezza.

Console
Creazione di una configurazione di sicurezza che specifichi l'opzione di integrazione AWS Ranger
  1. Nella console di Amazon EMR, seleziona Security configurations (Configurazioni di sicurezza) e in seguito Create (Crea).

  2. Digitare un nome in Name (Nome) per la configurazione di sicurezza. Questo nome è utilizzato per specificare la configurazione di sicurezza al momento della creazione di un cluster.

  3. In AWS Ranger Integration (Integrazione Ranger), seleziona Enable fine-grained access control managed by Apache Ranger (Abilita controllo granulare degli accessi gestito da Apache Ranger).

  4. Seleziona lo IAM role for Apache Ranger (Ruolo IAM per Apache Ranger) da applicare. Per ulteriori informazioni, consulta Ruoli IAM per l'integrazione nativa con Apache Ranger.

  5. Seleziona il ruolo IAM per altri servizi AWS da applicare.

  6. Configura i plug-in per connetterti al server Admin Ranger immettendo l'ARN di Secrets Manager per il server Admin e l'indirizzo.

  7. Seleziona le applicazioni per configurare i plug-in Ranger. Compila l'ARN di Secrets Manager che contiene il certificato TLS privato per il plug-in.

    Se Apache Spark o Apache Hive non vengono configurati e vengono selezionati come applicazione per il cluster, la richiesta ha esito negativo.

  8. Configurare altre opzioni per la configurazione di sicurezza come appropriato e scegliere Create (Crea). È necessario abilitare l'autenticazione Kerberos utilizzando il KDC dedicato al cluster o esterno.

Nota

Al momento non è possibile utilizzare la console per creare una configurazione di sicurezza che specifichi l'opzione di integrazione AWS Ranger in. AWS GovCloud (US) Region La configurazione della sicurezza può essere eseguita utilizzando la CLI.

CLI
Creazione di una configurazione di sicurezza per l'integrazione di Apache Ranger
  1. Sostituiscila <ACCOUNT ID> con l'ID del tuo AWS account.

  2. Sostituisci <REGION> con la Regione in cui si trova la risorsa.

  3. Specifica un valore per TicketLifetimeInHours per determinare il periodo di validità di un ticket Kerberos emesso dal KDC.

  4. Specifica l'indirizzo del server Admin Ranger per AdminServerURL.

{ "AuthenticationConfiguration": { "KerberosConfiguration": { "Provider": "ClusterDedicatedKdc", "ClusterDedicatedKdcConfiguration": { "TicketLifetimeInHours": 24 } } }, "AuthorizationConfiguration":{ "RangerConfiguration":{ "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182", "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_", "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_", "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_", "RangerPluginConfigurations":[ { "App":"Spark", "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_", "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>" }, { "App":"Hive", "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_", "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>" }, { "App":"EMRFS-S3", "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_", "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>" }, { "App":"Trino", "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_", "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>" } ], "AuditConfiguration":{ "Destinations":{ "AmazonCloudWatchLogs":{ "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_" } } } } } }

PolicyRespositoryNames Sono i nomi dei servizi specificati nell'amministratore di Apache Ranger.

Crea una configurazione di sicurezza Amazon EMR con il seguente comando. Sostituisci security-configuration con un nome a tua scelta. Seleziona questa configurazione per nome quando crei il cluster.

aws emr create-security-configuration \ --security-configuration file://./security-configuration.json \ --name security-configuration

Configurazione di caratteristiche di sicurezza aggiuntive

Per integrare Amazon EMR con Apache Ranger in modo sicuro, configura le seguenti caratteristiche di sicurezza di EMR:

Per ulteriori informazioni, consultare Sicurezza in Amazon EMR.