使用 Kerberos 與 Amazon 進行身分驗證 EMR

Amazon EMR5.10.0 版和更新版本支援 Kerberos。Kerberos 是一種網路驗證協定，使用私密金鑰加密來提供強式身分驗證，因此密碼或其他憑證不會以未加密的格式透過網路傳送。

Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在 領域中，名為金鑰分發中心的 Kerberos 伺服器 （KDC） 為主體提供了驗證的方法。會透過發出驗證票證KDC來執行此操作。會在其領域內KDC維護主體的資料庫、其密碼，以及有關每個主體的其他管理資訊。KDC 也可以接受來自其他領域主體的身分驗證憑證，稱為跨領域信任 。此外，EMR叢集可以使用外部 KDC來驗證主體。

建立跨領域信任或使用外部的常見案例KDC是驗證來自 Active Directory 網域的使用者。這允許使用者在使用 SSH連線到EMR叢集或使用大數據應用程式時，使用其網域帳戶存取叢集。

當您使用 Kerberos 身分驗證時，Amazon 會為其安裝在叢集上的應用程式、元件和子系統EMR設定 Kerberos，以便彼此進行身分驗證。

重要

Amazon EMR 不支援 AWS Directory Service for Microsoft Active Directory 跨領域信任或外部 KDC。

使用 Amazon 設定 Kerberos 之前EMR，建議您先熟悉 Kerberos 概念、在 上執行的服務KDC，以及管理 Kerberos 服務的工具。如需詳細資訊，請參閱 MIT Kerberos 聯盟發佈的 Kerberos 文件 。

主題

• 支援 Amazon 的應用程式 EMR
• 搭配 Amazon 的 Kerberos 架構選項 EMR
• 在 Amazon 上設定 Kerberos EMR
• 使用 SSH 連線至使用 Amazon 的 Kerberized 叢集 EMR
• 教學課程：KDC使用 Amazon 設定專用叢集 EMR
• 教學課程：使用 Active Directory 域設定跨領域信任