Amazon EMR 上の Kerberos のセキュリティ設定およびクラスター設定
Kerberos 認証済みのクラスターを作成する場合、セキュリティ設定と合わせて、クラスター固有の Kerberos 属性を指定します。必ず、他の属性と一緒に指定します。それ以外の場合はエラーが発生します。
このトピックでは、セキュリティ設定およびクラスターを作成するときに、Kerberos で利用できる設定パラメータの概要を示します。また、互換性のあるセキュリティ設定およびクラスター作成用の CLI 例は、一般的なアーキテクチャ向けに提供されています。
セキュリティ設定における Kerberos セキュリティ
Kerberos 属性を指定するセキュリティ設定は、Amazon EMR コンソール、AWS CLI、または EMR API を使用して作成できます。セキュリティ設定には、他にも暗号化などのセキュリティオプションがあります。詳細については、「セキュリティ設定を作成する」を参照してください。
次のリファレンスを使用して、選択する Kerberos アーキテクチャで利用できるセキュリティ構成の設定を理解します。Amazon EMR コンソールの設定が表示されます。対応する CLI オプションについては、「AWS CLI を使用して Kerberos 設定を指定する」または「設定例」を参照してください。
| パラメータ | 説明 | ||
|---|---|---|---|
|
Kerberos |
このセキュリティ設定を使用するクラスターで Kerberos を有効にすることを指定します。クラスターがこのセキュリティ設定を使用する場合、クラスターで Kerberos 設定も指定する必要があります。そうしないと、エラーが発生します。 |
||
|
プロバイダー |
クラスター専用 KDC |
Amazon EMR が、このセキュリティ設定を使用するクラスターのプライマリノードに KDC を作成することを指定します。領域名と KDC 管理者パスワードは、クラスターの作成時に指定します。 必要に応じて、この KDC を他のクラスターから参照できます。異なるセキュリティ設定を使用してこれらのクラスターを作成し、外部 KDC を指定し、クラスター専用 KDC に指定した領域名と KDC 管理者パスワードを使用します。 |
|
|
外部 KDC |
Amazon EMR 5.20.0 以降でのみ利用できます。このセキュリティ設定を使用するクラスターが、クラスター外の KDC サーバーを使用して Kerberos プリンシパルを認証するように指定します。KDC はクラスター上に作成されません。クラスターの作成時に、外部 KDC の領域名と KDC 管理者パスワードを指定します。 |
||
|
チケットのライフタイム |
オプション。このセキュリティ設定を使用するクラスターで KDC によって発行された Kerberos チケットが有効である期間を指定します。 チケットの有効期間は、セキュリティ上の理由により制限されます。クラスターアプリケーションとサービスでは、期限が切れるとチケットを自動更新します。Kerberos 認証情報を使用して SSH 経由でクラスターに接続する場合は、チケットの有効期限が切れたら、プライマリノードのコマンドラインから |
||
|
クロス領域信頼 |
このセキュリティ設定を使用するクラスター上のクラスター専用 KDC と、異なる Kerberos 領域内の KDC との間のクロス領域信頼を指定します。 別の領域のプリンシパル (通常はユーザー) は、この設定を使用するクラスターに対して認証されます。他の Kerberos 領域での追加設定が必要です。詳細については、「チュートリアル: Active Directory ドメインを使用したクロス領域信頼の設定」を参照してください。 |
||
| クロス領域信頼プロパティ |
領域 |
信頼関係の他の領域の Kerberos 領域名を指定します。慣例により、Kerberos 領域名はドメイン名と同じにします。ただし、すべて大文字にします。 |
|
|
ドメイン |
信頼関係の他の領域のドメイン名を指定します。 |
||
|
[Admin server] (管理者サーバー) |
信頼関係の他の領域の管理サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、管理サーバーと KDC サーバーは同じ FQDN を持つ同じマシン上で実行されますが、通信には別のポートを使用します。 ポートを指定しない場合、Kerberos のデフォルトであるポート 749 が使用されます。オプションで、ポート ( |
||
|
[KDC server] (KDC サーバー) |
信頼関係の他の領域の KDC サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、KDC サーバーと管理サーバーは同じ FQDN を持つ同じマシン上で実行されますが、別のポートを使用します。 ポートを指定しない場合、Kerberos のデフォルトであるポート 88 が使用されます。オプションで、ポート ( |
||
|
外部 KDC |
クラスター外部 KDC がクラスターで使用されることを指定します。 |
||
| 外部 KDC プロパティ |
[Admin server] (管理者サーバー) |
外部管理サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、管理サーバーと KDC サーバーは同じ FQDN を持つ同じマシン上で実行されますが、通信には別のポートを使用します。 ポートを指定しない場合、Kerberos のデフォルトであるポート 749 が使用されます。オプションで、ポート ( |
|
|
[KDC server] (KDC サーバー) |
外部 KDC サーバーの完全修飾ドメイン名 (FQDN) を指定します。通常、KDC サーバーと管理サーバーは同じ FQDN を持つ同じマシン上で実行されますが、別のポートを使用します。 ポートを指定しない場合、Kerberos のデフォルトであるポート 88 が使用されます。オプションで、ポート ( |
||
|
[Active Directory Integration] (Active Directory の統合) |
Kerberos プリンシパル認証が Microsoft Active Directory ドメインに統合されることを指定します。 |
||
|
Active Directory 統合プロパティ |
[Active Directory realm] (Active Directory 領域) |
Active Directory ドメインの Kerberos 領域名を指定します。慣例により、Kerberos 領域名は通常、ドメイン名と同じにします。ただし、すべて大文字にします。 |
|
|
[Active Directory domain] (Active Directory ドメイン) |
Active Directory ドメイン名を指定します。 |
||
|
[Active Directory server] (Active Directory サーバー) |
Microsoft Active Directory ドメインコントローラーの完全修飾ドメイン名 (FQDN) を指定します。 |
||
クラスターの Kerberos 設定
クラスターの作成時に Amazon EMR コンソール、AWS CLI、あるいは EMR API を使用して Kerberos 設定を指定できます。
次のリファレンスを使用して、選択する Kerberos アーキテクチャで利用できるクラスター構成の設定を理解します。Amazon EMR コンソールの設定が表示されます。対応する CLI オプションについては、「設定例」を参照してください。
| パラメータ | 説明 |
|---|---|
|
Realm |
クラスターの Kerberos 領域名。Kerberos の規則では、ドメイン名と同じ名前に設定する必要がありますが、大文字にします。たとえば、ドメイン ( |
|
KDC 管理者パスワード |
|
|
クロス領域信頼プリンシパルのパスワード (オプション) |
クロス領域信頼の確立時に必要。クロス領域プリンシパルのパスワード。領域内では同一である必要があります。強力なパスワードを選択します。 |
|
Active Directory ドメイン結合ユーザー (オプション) |
クロス領域信頼で Active Directory を使用するときに必要です。これは、コンピュータをドメインに結合するアクセス許可がある Active Directory アカウントのユーザーログオン名です。Amazon EMR は、この識別子を使用して、クラスターをドメインに結合します。詳細については、「ステップ 3: EMR クラスターのドメインにアカウントを追加する」を参照してください。 |
|
Active Directory ドメイン結合パスワード (オプション) |
Active Directory ドメイン結合ユーザーのパスワード。詳細については、「ステップ 3: EMR クラスターのドメインにアカウントを追加する」を参照してください。 |
