建立用於LDAP整合的 Amazon EMR 安全組態 - Amazon EMR
考量事項使用LDAP和遊俠

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立用於LDAP整合的 Amazon EMR 安全組態

在啟動具有LDAP整合功能的EMR叢集之前,請先使用中建立安全組態的步驟為叢集建立 Amazon EMR 安全組態。完成下列區LDAPConfiguration塊中的組態AuthenticationConfiguration,或 Amazon EMR 主控台安全組態區段中對應欄位中的組態

EnableLDAPAuthentication

主控台選項:驗證通訊協定:LDAP

若要使用LDAP整合,請在主控台中建立叢集時將此選項設定為true或選取該選項作為驗證通訊協定。預設情況下,EnableLDAPAuthenticationtrue當您在 Amazon EMR 主控台中建立安全組態時。

LDAPServerURL

主控台選項:LDAP伺服器位置

包含前置詞的LDAP伺服器位置:ldaps://location_of_server

BindCertificateARN

主控台選項:LDAPSSL憑證

包 AWS Secrets Manager ARN含用來簽署LDAP伺服器使用之SSL憑證的憑證的。如果您的LDAP伺服器是由公用憑證授權單位 (CA) 簽署,您可以 AWS Secrets Manager ARN提供空白檔案。如需有關如何將憑證儲存在 Secrets Manager 中的詳細資訊,請參閱 將憑TLS證儲存於 AWS Secrets Manager

BindCredentialsARN

主控台選項:LDAP伺服器繫結認證

包 AWS Secrets Manager ARN含LDAP管理員使用者繫結認證的。認證會儲存為JSON物件。此機密中只有一個金鑰值對;配對中的金鑰是使用者名稱,而值則是密碼。例如:{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}。除非您為EMR叢集啟用SSH登入功能,否則這是選擇性欄位。在許多組態中,Active Directory 執行個體需要繫結認證才能允許SSSD同步處理使用者。

LDAPAccessFilter

控制台選項:LDAP訪問過濾器

指定LDAP伺服器內可進行驗證的物件子集。例如,如果您要將存取權授與所有在伺服器中具有posixAccount物件類別的使用者,請將存取篩選LDAP器定義為(objectClass=posixAccount)

LDAPUserSearchBase

主控台選項:LDAP使用者搜尋庫

您的使用者在LDAP伺服器中所屬的搜尋庫。例如:cn=People,dc=example,dc=com

LDAPGroupSearchBase

主控台選項:LDAP群組搜尋基礎

您的群組屬於LDAP伺服器內的搜尋庫。例如:cn=Groups,dc=example,dc=com

EnableSSHLogin

控制台選項:SSH登錄

指定是否允許使用認證進行密碼驗LDAP證。不建議您啟用此選項。金鑰配對是允許存取EMR叢集的更安全的路由。此欄位為選用,預設值為 false

LDAPServerType

主控台選項:LDAP伺服器類型

指定 Amazon EMR 連線到的LDAP伺服器類型。支援的選項有使用中目錄和開啟LDAP。其他LDAP伺服器類型可能有效,但 Amazon EMR 不支援其他伺服器類型。如需詳細資訊,請參閱LDAPAmazon 組件 EMR

ActiveDirectoryConfigurations

使用 Active Directory 伺服器類型的安全組態的必要子區塊。

ADDomain

主控台選項:Active Directory 域

使用使用 Active Directory 伺服器類型的安全性組態,用來建立使用者主要名稱 (UPN) 以進行使用者驗證的網域名稱。

使用LDAP和 Amazon 進行安全組態的注意事項 EMR

  • 若要使用 Amazon EMR LDAP 整合建立安全組態,您必須使用傳輸中加密。如需有關傳輸中加密的資訊,請參閱 加密靜態和傳輸中的資料

  • 您無法在相同的安全組態中定義 Kerberos 組態。Amazon EMR 規定了一個 KDC thar 專用於自動,並為此KDC管理員密碼管理員。使用者無法存取此管理員密碼。

  • 您無法在相同的安全配置 AWS Lake Formation 中定義IAM運行時角色。

  • LDAPServerURL 的值中必須包含 ldaps:// 協定。

  • LDAPAccessFilter 不能為空。

LDAP與 Amazon 的阿帕奇遊俠集成一起使用 EMR

通過 Amazon 的LDAP集成EMR,您可以進一步與 Apache 遊俠集成。當您將 .您的使用LDAP者拉到Ranger 時,您可以將這些使用者與 Apache Ranger 政策伺服器建立關聯,以便與 Amazon EMR 和其他應用程式整合。若要執行此操作,請AuthorizationConfiguration在與LDAP叢集搭配使用的安全性組態中定義RangerConfiguration欄位。如需如何設定安全組態的詳細資訊,請參閱 建立安EMR全性組態

當你LDAP與 Amazon 使用EMR,你不需要提供一個KerberosConfiguration與阿帕奇遊俠 Amazon EMR 集成。