Crie a configuração EMR de segurança da Amazon para LDAP integração - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie a configuração EMR de segurança da Amazon para LDAP integração

Antes de iniciar um EMR cluster com LDAP integração, use as etapas Crie uma configuração de segurança com o EMR console da Amazon ou com o AWS CLI para criar uma configuração de EMR segurança da Amazon para o cluster. Complete as seguintes configurações no LDAPConfiguration bloco abaixo AuthenticationConfiguration ou nos campos correspondentes na seção Configurações de segurança do EMR console Amazon:

EnableLDAPAuthentication

Opção de console: Protocolo de autenticação: LDAP

Para usar a LDAP integração, defina essa opção true ou selecione-a como seu protocolo de autenticação ao criar um cluster no console. Por padrão, EnableLDAPAuthentication é true quando você cria uma configuração de segurança no EMR console da Amazon.

LDAPServerURL

Opção de console: localização LDAP do servidor

A localização do LDAP servidor, incluindo o prefixo:ldaps://location_of_server.

BindCertificateARN

Opção de console: LDAPSSLcertificado

O AWS Secrets Manager ARN que contém o certificado para assinar o SSL certificado que o LDAP servidor usa. Se seu LDAP servidor for assinado por uma Autoridade Certificadora (CA) pública, você poderá fornecer um AWS Secrets Manager ARN com um arquivo em branco. Para obter mais informações sobre como armazenar seu certificado no Secrets Manager, consulte Armazene TLS certificados em AWS Secrets Manager.

BindCredentialsARN

Opção de console: LDAPcredenciais de vinculação ao servidor

E AWS Secrets Manager ARN que contém as credenciais vinculadas do usuário LDAP administrador. As credenciais são armazenadas como um JSON objeto. Há somente um par de chave-valor nesse segredo; a chave no par é o nome de usuário e o valor é a senha. Por exemplo, {"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}. Esse é um campo opcional, a menos que você habilite o SSH login para seu EMR cluster. Em muitas configurações, as instâncias do Active Directory exigem credenciais de associação para permitir SSSD a sincronização dos usuários.

LDAPAccessFilter

Opção de console: filtro de LDAP acesso

Especifica o subconjunto de objetos em seu LDAP servidor que podem ser autenticados. Por exemplo, se você quiser conceder acesso a todos os usuários com a classe de posixAccount objeto em seu LDAP servidor, defina o filtro de acesso como(objectClass=posixAccount).

LDAPUserSearchBase

Opção de console: base LDAP de pesquisa de usuários

A base de pesquisa à qual seus usuários pertencem em seu LDAP servidor. Por exemplo, cn=People,dc=example,dc=com.

LDAPGroupSearchBase

Opção de console: base LDAP de pesquisa de grupos

A base de pesquisa à qual seus grupos pertencem em seu LDAP servidor. Por exemplo, cn=Groups,dc=example,dc=com.

EnableSSHLogin

Opção de console: SSHlogin

Especifica se a autenticação por senha com LDAP credenciais deve ou não ser permitida. Não é recomendável habilitar essa opção. Os pares de chaves são uma rota mais segura para permitir o acesso aos EMR clusters. Esse campo é opcional e usa o padrão false.

LDAPServerType

Opção de console: tipo de LDAP servidor

Especifica o tipo de LDAP servidor ao qual a Amazon EMR se conecta. As opções suportadas são Active Directory e OpenLDAP. Outros tipos de LDAP servidor podem funcionar, mas a Amazon EMR não oferece suporte oficial a outros tipos de servidor. Para obter mais informações, consulte LDAPcomponentes para Amazon EMR.

ActiveDirectoryConfigurations

Um sub-bloco necessário para configurações de segurança que utilizam o tipo de servidor Active Directory.

ADDomain

Opção do console: domínio do Active Directory

O nome de domínio usado para criar o Nome Principal do Usuário (UPN) para autenticação do usuário com configurações de segurança que usam o tipo de servidor Active Directory.

Considerações sobre configurações de segurança com LDAP a Amazon EMR

  • Para criar uma configuração de segurança com a EMR LDAP integração com a Amazon, você deve usar criptografia em trânsito. Para obter informações sobre criptografia em trânsito, consulte Criptografe dados em repouso e em trânsito com a Amazon EMR.

  • Não é possível definir a configuração do Kerberos na mesma configuração de segurança. A Amazon EMR provisiona um KDC thar dedicado automaticamente e gerencia a senha do administrador para issoKDC. Os usuários não poderão acessar essa senha de administrador.

  • Você não pode definir funções IAM de tempo de execução e AWS Lake Formation na mesma configuração de segurança.

  • LDAPServerURL deve ter o protocolo ldaps:// em seu valor.

  • LDAPAccessFilter não pode estar vazio.

Use LDAP com a integração do Apache Ranger para a Amazon EMR

Com a LDAP integração com a AmazonEMR, você pode se integrar ainda mais com o Apache Ranger. Ao inserir .your LDAP users no Ranger, você pode então associar esses usuários a um servidor de políticas Apache Ranger para integração com a Amazon EMR e outros aplicativos. Para fazer isso, defina o RangerConfiguration campo AuthorizationConfiguration na configuração de segurança que você usa com seu LDAP cluster. Para obter mais informações sobre como definir a configuração de segurança, consulte Crie a configuração EMR de segurança.

Ao usar LDAP com a AmazonEMR, você não precisa fornecer uma EMR integração KerberosConfiguration com a Amazon para o Apache Ranger.