As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando o Kerberos na Amazon EMR
Esta seção fornece detalhes da configuração e exemplos para configurar o Kerberos com arquiteturas comuns. Independentemente da arquitetura escolhida, as noções básicas de configuração são as mesmas e a configuração é feita em três etapas. Se você usa uma relação de confiança externa KDC ou configura uma relação de confiança entre regiões, deve garantir que cada nó em um cluster tenha uma rota de rede para o externoKDC, incluindo a configuração de grupos de segurança aplicáveis para permitir tráfego Kerberos de entrada e saída.
Etapa 1: Criar uma configuração de segurança com propriedades do Kerberos
A configuração de segurança especifica detalhes sobre o Kerberos KDC e permite que a configuração do Kerberos seja reutilizada sempre que você cria um cluster. Você pode criar uma configuração de segurança usando o EMR console da Amazon, o AWS CLI, ou EMR API o. A configuração de segurança também pode conter outras opções de segurança, como criptografia. Para obter mais informações sobre como criar configurações de segurança e especificar uma configuração de segurança ao criar um cluster, consulte Usar configurações de segurança para definir a segurança do cluster. Para obter informações sobre as propriedades do Kerberos em uma configuração de segurança, consulte Configurações do Kerberos para configurações de segurança.
Etapa 2: Criar um cluster e especificar os atributos do Kerberos específicos do cluster
Ao criar um cluster, você especifica uma configuração de segurança do Kerberos juntamente com e as opções do Kerberos específicas do cluster. Quando você usa o EMR console da Amazon, somente as opções Kerberos compatíveis com a configuração de segurança especificada estão disponíveis. Quando você usa o AWS CLI ou Amazon EMRAPI, certifique-se de especificar as opções do Kerberos compatíveis com a configuração de segurança especificada. Por exemplo, se você especificar uma senha principal para uma relação de confiança entre regiões ao criar um cluster usando o. e a CLI configuração de segurança especificada não estiver configurada com parâmetros de confiança entre regiões, ocorrerá um erro. Para obter mais informações, consulte Configurações do Kerberos para clusters.
Etapa 3: configurar o nó primário do cluster
Dependendo dos requisitos de sua arquitetura e implantação, configuração adicional no cluster pode ser necessária. Você pode fazer isso depois de criá-lo ou usando etapas ou ações de bootstrap durante o processo de criação.
Para cada usuário autenticado pelo Kerberos que se conecta ao cluster usandoSSH, você deve garantir que sejam criadas contas Linux que correspondam ao usuário Kerberos. Se os principais usuários forem fornecidos por um controlador de domínio do Active Directory, seja como externo KDC ou por meio de uma relação de confiança entre regiões, a Amazon EMR cria contas Linux automaticamente. Se o Active Directory não for usado, você deverá criar principais para cada usuário que correspondam ao usuário do Linux. Para obter mais informações, consulte Configurando um cluster para usuários e conexões autenticados pelo Kerberos HDFS SSH.
Cada usuário também deve ter um diretório de HDFS usuários de sua propriedade, que você deve criar. Além disso, SSH deve ser configurado com GSSAPI enabled para permitir conexões de usuários autenticados pelo Kerberos. GSSAPIdeve estar habilitado no nó primário e o SSH aplicativo cliente deve estar configurado para usoGSSAPI. Para obter mais informações, consulte Configurando um cluster para usuários e conexões autenticados pelo Kerberos HDFS SSH.
