As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie a configuração EMR de segurança da Amazon para LDAP integração
Antes de iniciar um EMR cluster com LDAP integração, use as etapas Crie uma configuração de segurança com o EMR console da Amazon ou com o AWS CLI para criar uma configuração de EMR segurança da Amazon para o cluster. Complete as seguintes configurações no LDAPConfiguration
bloco abaixo AuthenticationConfiguration
ou nos campos correspondentes na seção Configurações de segurança do EMR console Amazon:
EnableLDAPAuthentication
-
Opção de console: Protocolo de autenticação: LDAP
Para usar a LDAP integração, defina essa opção
true
ou selecione-a como seu protocolo de autenticação ao criar um cluster no console. Por padrão,EnableLDAPAuthentication
étrue
quando você cria uma configuração de segurança no EMR console da Amazon. LDAPServerURL
-
Opção de console: localização LDAP do servidor
A localização do LDAP servidor, incluindo o prefixo:
ldaps://
.location_of_server
BindCertificateARN
-
Opção de console: LDAPSSLcertificado
O AWS Secrets Manager ARN que contém o certificado para assinar o SSL certificado que o LDAP servidor usa. Se seu LDAP servidor for assinado por uma Autoridade Certificadora (CA) pública, você poderá fornecer um AWS Secrets Manager ARN com um arquivo em branco. Para obter mais informações sobre como armazenar seu certificado no Secrets Manager, consulte Armazene TLS certificados em AWS Secrets Manager.
BindCredentialsARN
-
Opção de console: LDAPcredenciais de vinculação ao servidor
E AWS Secrets Manager ARN que contém as credenciais vinculadas do usuário LDAP administrador. As credenciais são armazenadas como um JSON objeto. Há somente um par de chave-valor nesse segredo; a chave no par é o nome de usuário e o valor é a senha. Por exemplo,
{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}
. Esse é um campo opcional, a menos que você habilite o SSH login para seu EMR cluster. Em muitas configurações, as instâncias do Active Directory exigem credenciais de associação para permitir SSSD a sincronização dos usuários. LDAPAccessFilter
-
Opção de console: filtro de LDAP acesso
Especifica o subconjunto de objetos em seu LDAP servidor que podem ser autenticados. Por exemplo, se você quiser conceder acesso a todos os usuários com a classe de
posixAccount
objeto em seu LDAP servidor, defina o filtro de acesso como(objectClass=posixAccount)
. LDAPUserSearchBase
-
Opção de console: base LDAP de pesquisa de usuários
A base de pesquisa à qual seus usuários pertencem em seu LDAP servidor. Por exemplo,
cn=People,dc=example,dc=com
. LDAPGroupSearchBase
-
Opção de console: base LDAP de pesquisa de grupos
A base de pesquisa à qual seus grupos pertencem em seu LDAP servidor. Por exemplo,
cn=Groups,dc=example,dc=com
. EnableSSHLogin
-
Opção de console: SSHlogin
Especifica se a autenticação por senha com LDAP credenciais deve ou não ser permitida. Não é recomendável habilitar essa opção. Os pares de chaves são uma rota mais segura para permitir o acesso aos EMR clusters. Esse campo é opcional e usa o padrão
false
. LDAPServerType
-
Opção de console: tipo de LDAP servidor
Especifica o tipo de LDAP servidor ao qual a Amazon EMR se conecta. As opções suportadas são Active Directory e OpenLDAP. Outros tipos de LDAP servidor podem funcionar, mas a Amazon EMR não oferece suporte oficial a outros tipos de servidor. Para obter mais informações, consulte LDAPcomponentes para Amazon EMR.
ActiveDirectoryConfigurations
-
Um sub-bloco necessário para configurações de segurança que utilizam o tipo de servidor Active Directory.
ADDomain
-
Opção do console: domínio do Active Directory
O nome de domínio usado para criar o Nome Principal do Usuário (UPN) para autenticação do usuário com configurações de segurança que usam o tipo de servidor Active Directory.
Considerações sobre configurações de segurança com LDAP a Amazon EMR
-
Para criar uma configuração de segurança com a EMR LDAP integração com a Amazon, você deve usar criptografia em trânsito. Para obter informações sobre criptografia em trânsito, consulte Criptografe dados em repouso e em trânsito com a Amazon EMR.
-
Não é possível definir a configuração do Kerberos na mesma configuração de segurança. A Amazon EMR provisiona um KDC thar dedicado automaticamente e gerencia a senha do administrador para issoKDC. Os usuários não poderão acessar essa senha de administrador.
-
Você não pode definir funções IAM de tempo de execução e AWS Lake Formation na mesma configuração de segurança.
-
LDAPServerURL
deve ter o protocololdaps://
em seu valor. -
LDAPAccessFilter
não pode estar vazio.
Use LDAP com a integração do Apache Ranger para a Amazon EMR
Com a LDAP integração com a AmazonEMR, você pode se integrar ainda mais com o Apache Ranger. Ao inserir .your LDAP users no Ranger, você pode então associar esses usuários a um servidor de políticas Apache Ranger para integração com a Amazon EMR e outros aplicativos. Para fazer isso, defina o RangerConfiguration
campo AuthorizationConfiguration
na configuração de segurança que você usa com seu LDAP cluster. Para obter mais informações sobre como definir a configuração de segurança, consulte Crie a configuração EMR de segurança.
Ao usar LDAP com a AmazonEMR, você não precisa fornecer uma EMR integração KerberosConfiguration
com a Amazon para o Apache Ranger.