UsandoSSL/TLSe configurando LDAPS com o Presto na Amazon EMR - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

UsandoSSL/TLSe configurando LDAPS com o Presto na Amazon EMR

Com a EMR versão 5.6.0 e posterior da Amazon, você pode habilitarSSL/TLSpara ajudar a proteger a comunicação interna entre os nós do Presto. Você pode fazer isso definindo uma configuração de segurança para criptografia em trânsito. Para obter mais informações, consulte Opções de criptografia e Usar configurações de segurança para configurar a segurança do cluster no Amazon EMR Management Guide.

Quando você usa uma configuração de segurança com criptografia em trânsito, a Amazon EMR faz o seguinte para o Presto:

  • Distribui os artefatos ou certificados de criptografia que você especifica para a criptografia em trânsito em todo o cluster do Presto. Para obter mais informações, consulte Fornecer certificados para criptografia de dados em trânsito.

  • Define as seguintes propriedades usando a classificação de configuração presto-config, que corresponde ao arquivo config.properties para o Presto:

    • Define http-server.http.enabled como false em todos os nós, o que desativa HTTP em favor deHTTPS. Isso exige que você forneça certificados que funcionem para públicos e privados DNS ao definir a configuração de segurança para criptografia em trânsito. Uma maneira de fazer isso é usar certificados SAN (Nome alternativo do assunto) que suportam vários domínios.

    • Define os valores http-server.https.*. Para obter detalhes de configuração, consulte a LDAPautenticação na documentação do Presto.

  • Para o Presto SQL (Trino) na EMR versão 6.1.0 e posterior, a Amazon configura EMR automaticamente uma chave secreta compartilhada para comunicação interna segura entre os nós do cluster. Você não precisa fazer qualquer configuração adicional para habilitar esse atributo de segurança e pode substituir a configuração com sua própria chave secreta. Para obter informações sobre a autenticação interna do Trino, consulte a documentação do Trino 353: Proteger a comunicação interna.

Além disso, com a EMR versão 5.10.0 e posterior da Amazon, você pode configurar a LDAPautenticação para conexões de clientes com o coordenador do Presto usando. HTTPS Essa configuração usa secure LDAP (LDAPS). TLSdeve estar habilitado em seu LDAP servidor, e o cluster Presto deve usar uma configuração de segurança com criptografia de dados em trânsito ativada. Configurações adicionais são necessárias. As opções de configuração são diferentes dependendo da versão de lançamento da Amazon EMR que você usa. Para obter mais informações, consulte Usando a LDAP autenticação para o Presto na Amazon EMR.

O Presto na Amazon EMR usa a porta 8446 como interna HTTPS por padrão. A porta usada para comunicação interna deve ser a mesma usada para HTTPS acesso do cliente ao coordenador do Presto. A propriedade http-server.https.port na classificação de configuração presto-config especifica a porta.