Amazon での Kerberos の設定 EMR

このセクションでは、一般的なアーキテクチャを使用して Kerberos を設定する詳細と例を示します。選択するアーキテクチャに関係なく設定の基本は同じであり、3 つのステップで行います。外部 を使用するKDCか、クロス領域信頼を設定する場合は、クラスター内のすべてのノードに外部 へのネットワークルートがあることを確認する必要があります。これにはKDC、インバウンドおよびアウトバウンドの Kerberos トラフィックを許可する該当するセキュリティグループの設定が含まれます。

ステップ 1: Kerberos プロパティでセキュリティ設定を作成する

セキュリティ設定は Kerberos の詳細を指定しKDC、クラスターを作成するたびに Kerberos 設定を再使用することを許可します。Amazon EMRコンソール、 を使用してセキュリティ設定を作成できます。 AWS CLI、または EMR API。セキュリティ設定には、他にも暗号化などのセキュリティオプションがあります。セキュリティ設定の作成、およびクラスター作成時のセキュリティ設定の指定に関する詳細については、「セキュリティ設定を使用してクラスターセキュリティをセットアップする」を参照してください。セキュリティ設定の Kerberos プロパティに関する詳細は、「セキュリティ設定における Kerberos セキュリティ」を参照してください。

ステップ 2: クラスターを作成し、クラスター固有の Kerberos 属性を指定する

クラスター作成時に、クラスター固有の Kerberos オプションと Kerberos セキュリティ設定を指定します。Amazon EMRコンソールを使用する場合、指定されたセキュリティ設定と互換性のある Kerberos オプションのみを使用できます。を使用する場合 AWS CLI または Amazon EMR ではAPI、指定したセキュリティ設定と互換性のある Kerberos オプションを必ず指定してください。例えば、 を使用してクラスターを作成するときにクロス領域信頼のプリンシパルパスワードを指定しCLI、指定されたセキュリティ設定にクロス領域信頼パラメータが設定されていない場合、エラーが発生します。詳細については、「クラスターの Kerberos 設定」を参照してください。

ステップ 3: クラスターのプライマリノードを設定する

アーキテクチャと実装の要件に応じて、クラスターで追加の設定が必要になることがあります。これは、クラスターの作成後、あるいは作成プロセス中にステップまたはブートストラップを使用して行うことができます。

を使用してクラスターに接続する Kerberos 認証ユーザーごとにSSH、Kerberos ユーザーに対応する Linux アカウントが作成されていることを確認する必要があります。ユーザープリンシパルが、外部として、KDCまたはクロス領域信頼を介して Active Directory ドメインコントローラーによって提供される場合、Amazon は Linux アカウントを自動的にEMR作成します。Active Directory が使用されていない場合は、各ユーザーに Linux ユーザーに対応するプリンシパルを作成する必要があります。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用のクラスターの設定」を参照してください。

各ユーザーには、ユーザーが所有しているHDFSユーザーディレクトリも必要です。このディレクトリはユーザーが作成する必要があります。さらに、Kerberos 認証ユーザーからの接続を許可するには、 GSSAPIを有効にして を設定SSHする必要があります。GSSAPI はプライマリノードで有効にする必要があり、クライアントSSHアプリケーションは を使用するように設定する必要がありますGSSAPI。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用のクラスターの設定」を参照してください。