选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

TLSApache Ranger 与亚马逊集成的证书 EMR

聚焦模式
TLSApache Ranger 与亚马逊集成的证书 EMR - Amazon EMR

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Apache Ranger 与亚马逊的集成EMR要求使用对从亚马逊EMR节点到 Ranger 管理服务器的流量进行加密TLS,并且 Ranger 插件使用双向相互身份验证向 Apache Ranger 服务器进行身份验证。TLSAmazon EMR 服务需要您的 Ranger 管理服务器的公共证书(在前面的示例中指定)和私有证书。

Apache Ranger 插件证书

Apache Ranger 插件的公共TLS证书必须可以访问 Apache Ranger 管理服务器才能验证插件何时连接。执行此操作共有三种方式。

方法 1: 在 Apache Ranger Admin 服务器中配置信任库

在 ranger-admin-site .xml 中填写以下配置以配置信任库。

<property> <name>ranger.truststore.file</name> <value><LOCATION TO TRUSTSTORE></value> </property> <property> <name>ranger.truststore.password</name> <value><PASSWORD FOR TRUSTSTORE></value> </property>

方法 2: 将证书加载到 Java cacerts 信任库

如果你的 Ranger Admin 服务器没有在其JVM选项中指定信任库,那么你可以将插件的公共证书放在默认 cacerts 存储中。

方法 3:创建信任库并指定为选项的一部分 JVM

{RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh 中,修改 JAVA_OPTS,使其包含 "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>""-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>"。例如,在现有的 JAVA _ 之后添加以下行OPTS。

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
注意

如果任何用户能够登录 Apache Ranger Admin 服务器并查看正在运行的进程,例如使用 ps 命令时,此规范可能会公开信任库密码。

使用自签名证书

不建议使用自签名凭证作为凭证。自签名凭证不得撤销,自签名凭证可能不符合内部安全要求。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。