Amazon EMR을 통한 인증에 Kerberos 사용
Amazon EMR 릴리스 5.10.0 이상에서는 Kerberos를 지원합니다. Kerberos는 네트워크에서 암호화되지 않은 형식으로 암호나 다른 보안 인증이 전송되지 않도록 비밀 키 암호화를 사용하여 강력한 인증을 제공하는 네트워크 인증 프로토콜입니다.
Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 KDC(키 배포 센터)라는 Kerberos 서버는 보안 주체가 인증을 수행할 수 있는 수단을 제공합니다. KDC는 보안 주체 인증을 위해 티켓을 발급합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. 또한 KDC는 다른 영역의 보안 주체로부터 인증 자격 증명을 수락할 수 있는데, 이를 교차 영역 신뢰라고 합니다. 또한 EMR 클러스터는 외부 KDC를 사용하여 보안 주체를 인증할 수 있습니다.
교차 영역 신뢰를 구축하거나 외부 KDC를 사용하는 일반적인 시나리오는 Active Directory 도메인에서 사용자를 인증하는 것입니다. 이를 통해 사용자는 SSH를 사용하여 클러스터에 연결하거나 빅 데이터 애플리케이션으로 작업할 때 도메인 계정으로 EMR 클러스터에 액세스할 수 있습니다.
Kerberos 인증을 사용할 때 Amazon EMR은 상호 인증이 가능하도록 클러스터의 애플리케이션, 구성 요소 및 서브시스템에 대해 Kerberos를 구성합니다.
중요
Amazon EMR은 교차 영역 신뢰에서 AWS Directory Service for Microsoft Active Directory를 지원하거나 외부 KDC로 지원하지 않습니다.
Amazon EMR을 사용해 Kerberos를 구성하기 앞서 Kerberos 개념과 KDC에서 실행되는 서비스 및 Kerberos 서비스를 관리하는 도구에 대해 숙지하는 것이 좋습니다. 자세한 내용은 Kerberos 컨소시엄
주제
