在 Amazon 上使用SSL/TLS並使LDAPS用普雷斯托進行配置 EMR - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon 上使用SSL/TLS並使LDAPS用普雷斯托進行配置 EMR

使用 Amazon EMR 版本 5.6.0 及更新版本,您可以啟用SSL/TLS來協助保護 Presto 節點之間的內部通訊安全。您可以為傳輸中加密設定安全組態,達成這個目的。如需詳細資訊,請參閱 Amazon EMR 管理指南中的加密選項使用安全組態設定叢集安全性

當您使用具有傳輸中加密的安全組態時,Amazon EMR 會對 Presto 執行以下操作:

  • 將您針對傳輸中加密指定的加密成品或憑證,分配到整個 Presto 叢集。如需詳細資訊,請參閱提供傳輸中資料加密的憑證

  • 設定下列屬性,這些屬性會使用對應至 Presto 所使用 presto-config 檔案的 config.properties 組態分類:

    • 設定http-server.http.enabledfalse在所有節點上,此選項會停用HTTPHTTPS。這需要您在設定傳輸中加密的安全性組態DNS時,提供適用於公用和私有的憑證。執行此操作的一種方法是使用支持多個域的SAN(主體替代名稱)證書。

    • 設定 http-server.https.* 值。有關配置的詳細信息,請參閱 Presto 文檔中的LDAP認證

  • 對於 6.1.0 及更新EMR版本的 Presto SQL (Trino),Amazon EMR 會自動設定共用密鑰,以便在叢集節點之間進行安全的內部通訊。您不需要任何其他組態來啟用此安全功能,而且可以使用您自己的密鑰來覆寫組態。如需有關 Trino 內部身分驗證的資訊,請參閱 Trino 353 文件:安全內部通訊

此外,在 Amazon EMR 發行版本 5.10.0 及更新版本中,您可以使用設定用戶端與 Presto 協調器連線的LDAP身份驗證。HTTPS此設置使用安全LDAP(LDAPS)。TLS必須在您的LDAP服務器上啟用,並且 Presto 集群必須使用啟用傳輸中數據加密的安全配置。需要設定其他組態。根據您使用的 Amazon EMR 發行版本,組態選項會有所不同。如需詳細資訊,請參閱在 Amazon 上使用普雷斯托LDAP身份驗證 EMR

默HTTPS認情況下,Amazon 上的普雷斯托EMR使用端口 8446 作為內部。用於內部通信的端口必須與用於客戶端HTTPS訪問普雷斯托協調器的端口相同。http-server.https.port 組態分類內的 presto-config 屬性會指定連接埠。