Eine Sicherheitskonfiguration erstellen - Amazon EMR
Datenverschlüsselung konfigurierenKonfiguration der Kerberos-AuthentifizierungIAMRollen für EMRFS Anfragen an Amazon S3 konfigurierenMetadaten-Serviceanfragen an EC2 Amazon-Instances konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Sicherheitskonfiguration erstellen

Dieses Thema behandelt allgemeine Verfahren zum Erstellen einer Sicherheitskonfiguration mit der EMR Amazon-Konsole und dem AWS CLI, gefolgt von einer Referenz zu den Parametern, die Verschlüsselung, Authentifizierung und IAM Rollen für umfassenEMRFS. Weitere Informationen zu diesen Funktionen finden Sie in den folgenden Themen:

So erstellen Sie eine Sicherheitskonfiguration mithilfe der Konsole

  1. Öffnen Sie die EMR Amazon-Konsole unter https://console.aws.amazon.com/emr.

  2. Wählen Sie im Navigationsbereich Security Configurations (Sicherheitskonfigurationen), Create security configuration (Sicherheitskonfiguration erstellen) aus.

  3. Geben Sie in Name (Name) einen Namen für die Sicherheitskonfiguration ein.

  4. Wählen Sie Optionen für Verschlüsselung, und Authentifizierung aus wie in den folgenden Abschnitten beschrieben. Wählen Sie anschließend Erstellen aus.

Um eine Sicherheitskonfiguration mit dem zu erstellen AWS CLI

  • Verwenden Sie den Befehl create-security-configuration wie im folgenden Beispiel gezeigt.

    • Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. SecConfigName, geben Sie den Namen der Sicherheitskonfiguration an. Dies ist der Name, den Sie angeben, wenn Sie einen Cluster erstellen, der diese Sicherheitskonfiguration verwendet.

    • Geben Sie für SecConfigDef eine JSON Inline-Struktur oder den Pfad zu einer lokalen JSON Datei an, z. file://MySecConfig.json B. Die JSON Parameter definieren Optionen für Verschlüsselung, IAMRollen für EMRFS den Zugriff auf Amazon S3 und Authentifizierung, wie in den folgenden Abschnitten beschrieben.

    aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef

Datenverschlüsselung konfigurieren

Bevor Sie die Verschlüsselung in einer Sicherheitskonfiguration konfigurieren, erstellen Sie die Schlüssel und Zertifikate, die für die Verschlüsselung verwendet werden. Weitere Informationen erhalten Sie unter Bereitstellung von Schlüsseln für die Verschlüsselung ruhender Daten bei Amazon EMR und Bereitstellung von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit EMR Amazon-Verschlüsselung.

Beim Erstellen einer Sicherheits-Konfiguration legen Sie zwei Verschlüsselungsoptionen fest: Verschlüsselung von Daten während der Übertragung und im Ruhezustand. Zu den Optionen für die Verschlüsselung von Daten im Ruhezustand gehören sowohl Amazon S3 mit EMRFS Verschlüsselung als auch Verschlüsselung auf lokalen Festplatten. Verschlüsselungsoptionen bei der Übertragung aktivieren die Open-Source-Verschlüsselungsfunktionen für bestimmte Anwendungen, die Transport Layer Security () unterstützen. TLS Die Optionen für die Verschlüsselung während der Übertragung und im Ruhezustand können gemeinsam oder einzeln aktiviert werden. Weitere Informationen finden Sie unter Verschlüsseln von Daten im Ruhezustand und im Transit.

Anmerkung

Bei der Nutzung AWS KMS fallen Gebühren für die Speicherung und Verwendung von Verschlüsselungsschlüsseln an. Weitere Informationen finden Sie unter AWS KMS -Preisgestaltung.

Angeben von Verschlüsselungsoptionen mit der Konsole

Wählen Sie Optionen unter Encryption (Verschlüsselung) entsprechend den folgenden Anleitungen aus.

  • Wählen Sie Optionen unter At rest encryption (Verschlüsselung im Ruhezustand) aus, um innerhalb des Dateisystems gespeicherte Daten zu verschlüsseln.

    Sie können Daten in Amazon S3, auf lokalen Datenträgern oder in beiden Speichern verschlüsseln.

  • Wählen Sie unter S3-Datenverschlüsselung für den Verschlüsselungsmodus einen Wert aus, um festzulegen, mit EMRFS welcher Methode Amazon S3-Daten EMR verschlüsselt werden.

    Der nächste Schritt hängt von dem von Ihnen gewählten Verschlüsselungsmodus ab:

  • Wählen Sie unter Local disk encryption (Lokale Laufwerksverschlüsselung) einen Wert für Key provider type (Schlüsselanbietertyp) aus.

    • AWS KMS key

      Wählen Sie diese Option, um eine AWS KMS key anzugeben. Wählen Sie für AWS KMS key einen Schlüssel aus. Der Schlüssel muss in derselben Region wie Ihr EMR Cluster existieren. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter AWS KMS keys Für die Verschlüsselung verwenden.

      EBSVerschlüsselung

      Wenn Sie dies AWS KMS als Ihren Schlüsselanbieter angeben, können Sie die EBS Verschlüsselung aktivieren, um EBS Root-Geräte und Speichervolumes zu verschlüsseln. Um diese Option zu aktivieren, müssen Sie der EMR Amazon-Servicerolle die von EMR_DefaultRole Ihnen angegebenen Berechtigungen zur Verwendung der von AWS KMS key Ihnen angegebenen Berechtigungen erteilen. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter Aktivierung der EBS Verschlüsselung durch Bereitstellung zusätzlicher Berechtigungen für KMS Schlüssel.

    • Custom (Benutzerdefiniert)

      Wählen Sie diese Option aus, um einen benutzerdefinierten Schlüsselanbieter festzulegen. Geben Sie für das S3-Objekt den Speicherort Ihrer benutzerdefinierten JAR Key-Provider-Datei in Amazon S3 ARN oder Amazon S3 ein. Geben Sie für Key Provider Class den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert. Der Klassenname, den Sie hier angeben, muss sich von dem für CSE -Custom angegebenen Klassennamen unterscheiden.

  • Wählen Sie Verschlüsselung bei der Übertragung, um die TLS Open-Source-Verschlüsselungsfunktionen für Daten während der Übertragung zu aktivieren. Wählen Sie anhand der folgenden Anleitungen einen Certificate provider type (Zertifikatanbietertyp) aus:

    • PEM

      Wählen Sie diese Option, um PEM Dateien zu verwenden, die Sie in einer ZIP-Datei bereitstellen. In der ZIP-Datei sind zwei Artefakte erforderlich: privateKey .pem und certificateChain .pem. Eine dritte Datei, trustedCertificates .pem, ist optional. Details dazu finden Sie unter Bereitstellung von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit EMR Amazon-Verschlüsselung. Geben Sie für das S3-Objekt den Speicherort des Zip-Felds in Amazon S3 ARN oder Amazon S3 an.

    • Custom (Benutzerdefiniert)

      Wählen Sie diese Option, um einen benutzerdefinierten Zertifikatsanbieter anzugeben, und geben Sie dann für S3-Objekt den Speicherort Ihrer benutzerdefinierten JAR Zertifikatsanbieterdatei in Amazon S3 ARN oder Amazon S3 ein. Geben Sie für Key Provider Class den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die TLSArtifactsProvider Schnittstelle implementiert.

Angeben von Verschlüsselungsoptionen mit dem AWS CLI

In den folgenden Abschnitten werden Beispielszenarien zur Veranschaulichung von Wohlgeformten --security-configuration JSON für verschiedene Konfigurationen und Schlüsselanbieter verwendet, gefolgt von einer Referenz für die JSON Parameter und die entsprechenden Werte.

Beispiel der Datenverschlüsselungsoptionen während der Übertragung

Das nachstehende Beispiel veranschaulicht das folgende Szenario:


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		}
	}
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		}
 	}
}'

Beispiel der Datenverschlüsselungsoptionen im Ruhezustand

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.

  • SSE-S3 wird für die Amazon S3 S3-Verschlüsselung verwendet.

  • Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": false,
		"EnableAtRestEncryption": true,
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-S3"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
 	}
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist aktiviert und verweist auf eine Zip-Datei mit PEM Zertifikaten in Amazon S3 unter Verwendung von. ARN

  • SSE- KMS wird für die Amazon S3 S3-Verschlüsselung verwendet.

  • Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
	}
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist aktiviert und verweist auf eine ZIP-Datei mit PEM Zertifikaten in Amazon S3.

  • CSE- KMS wird für die Amazon S3 S3-Verschlüsselung verwendet.

  • Die lokale Festplattenverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter, auf den von its verwiesen wirdARN.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung anhand eines benutzerdefinierten Schlüsselanbieters ist aktiviert.

  • CSE-Custom wird für Amazon S3 S3-Daten verwendet.

  • Die lokale Laufwerksverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": "true",
		"EnableAtRestEncryption": "true",
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
				},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.

  • Die Amazon S3 S3-Verschlüsselung ist mit SSE - aktiviertKMS.

  • Es werden mehrere AWS KMS Schlüssel verwendet, einer für jeden S3-Bucket, und Verschlüsselungsausnahmen werden auf diese einzelnen S3-Buckets angewendet.

  • Die lokale Laufwerksverschlüsselung ist deaktiviert.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
  	"EncryptionConfiguration": {
   		"AtRestEncryptionConfiguration": {
      	     	"S3EncryptionConfiguration": {
        			"EncryptionMode": "SSE-KMS",
        			"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
        			"Overrides": [
         				 {
           				 "BucketName": "sse-s3-bucket-name",
            				"EncryptionMode": "SSE-S3"
          				},
          				{
            				"BucketName": "cse-kms-bucket-name",
           				 "EncryptionMode": "CSE-KMS",
            				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
         				 },
         				 {
           				 "BucketName": "sse-kms-bucket-name",
          				  "EncryptionMode": "SSE-KMS",
           				 "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
          				}
        					]
      							}
   						 	},
   		"EnableInTransitEncryption": false,
    		"EnableAtRestEncryption": true
  }
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.

  • Die Amazon S3 S3-Verschlüsselung ist mit SSE -S3 aktiviert und die lokale Festplattenverschlüsselung ist deaktiviert.

aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "S3EncryptionConfiguration": {
                "EncryptionMode": "SSE-S3"
            }
        }
     }
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.

  • Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.

  • Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.

  • EBSVerschlüsselung ist aktiviert. 

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EnableEbsEncryption": true,
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

SSE-EMR-WAL wird für die EMR WAL Verschlüsselung verwendet

aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{ },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'

EnableInTransitEncryptionund könnte EnableAtRestEncryption immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

  • SSE-KMS-WAL wird für die EMR WAL Verschlüsselung verwendet

  • Serverseitige Verschlüsselung wird AWS Key Management Service als Schlüsselanbieter verwendet

aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{
                "AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
                },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'

EnableInTransitEncryptionund könnte EnableAtRestEncryption immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

JSONReferenz für Verschlüsselungseinstellungen

In der folgenden Tabelle sind die JSON Parameter für die Verschlüsselungseinstellungen aufgeführt und die akzeptablen Werte für jeden Parameter beschrieben.

Parameter Beschreibung
"EnableInTransitEncryption" : true | false Geben Sie true an, um die Verschlüsselung der Daten während der Übertragung zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten während der Übertragung ist deaktiviert.
"EnableAtRestEncryption": true | false Geben Sie true an, um die Verschlüsselung der Daten im Ruhezustand zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
Parameter für die Verschlüsselung während der Übertragung
"InTransitEncryptionConfiguration" : Gibt eine Sammlung von Werten für die Verschlüsselung von Daten während der Übertragung an, wenn EnableInTransitEncryption true ist.
"CertificateProviderType": "PEM" | "Custom" Gibt an, ob PEM-Zertifikate verwendet werden sollen, auf die über eine ZIP-Datei oder über einen Custom Zertifikatsanbieter verwiesen wird. Wenn angegeben, S3Object muss PEM es sich um einen Verweis auf den Speicherort einer ZIP-Datei mit den Zertifikaten in Amazon S3 handeln. Wenn Benutzerdefiniert angegeben ist, S3Object muss es sich um einen Verweis auf den Speicherort einer JAR Datei in Amazon S3 handeln, gefolgt von einem CertificateProviderClass Eintrag.
"S3Object" : "ZipLocation" | "JarLocation" Stellt den Speicherort in Amazon S3 für eine ZIP-Datei bereit, wenn PEM angegeben, oder für eine JAR Datei, wenn Custom angegeben. Das Format kann ein Pfad (zum Beispiels3://MyConfig/artifacts/CertFiles.zip) oder ein ARN (zum Beispiel,) seinarn:aws:s3:::Code/MyCertProvider.jar). Wenn eine ZIP-Datei ausgewählt wurde, muss sie Dateien enthalten, deren Namen privateKey.pem und certificateChain.pem sind. Eine Datei mit dem Namen trustedCertificates.pem ist optional.
"CertificateProviderClass" : "MyClassID" Nur erforderlich, wenn für angegeben Custom istCertificateProviderType. MyClassIDgibt einen vollständigen Klassennamen an, der in der JAR Datei deklariert ist, die die TLSArtifactsProvider Schnittstelle implementiert. Beispiel, com.mycompany.MyCertProvider.
Parameter für die Verschlüsselung im Ruhezustand
"AtRestEncryptionConfiguration" : Gibt eine Sammlung von Werten für die Verschlüsselung im Ruhezustand an, wenn dies der EnableAtRestEncryption Fall isttrue, einschließlich Amazon S3 S3-Verschlüsselung und Verschlüsselung lokaler Festplatten.
Amazon S3 S3-Verschlüsselungsparameter
"S3EncryptionConfiguration" : Gibt eine Sammlung von Werten an, die für die Amazon S3 S3-Verschlüsselung mit dem Amazon EMR File System (EMRFS) verwendet werden.
"EncryptionMode": "SSE-S3" | "SSE-KMS" | "CSE-KMS" | "CSE-Custom" Gibt den Typ der zu verwendenden Amazon S3 S3-Verschlüsselung an. Wenn SSE-S3 angegeben, sind keine weiteren Amazon S3 S3-Verschlüsselungswerte erforderlich. Wenn entweder SSE-KMS oder angegeben CSE-KMS ist, AWS KMS key ARN muss an als AwsKmsKey Wert angegeben werden. Wenn CSE-Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden.
"AwsKmsKey" : "MyKeyARN" Nur erforderlich, wenn entweder SSE-KMS oder für angegeben CSE-KMS istEncryptionMode. MyKeyARNmuss ein vollständig ARN spezifizierter Schlüssel sein (z. B.arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012).
"S3Object" : "JarLocation" Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. JarLocationgibt den Speicherort in Amazon S3 für eine JAR Datei an. Das Format kann ein Pfad (zum Beispiels3://MyConfig/artifacts/MyKeyProvider.jar) oder ein ARN (zum Beispiel,) seinarn:aws:s3:::Code/MyKeyProvider.jar).
"EncryptionKeyProviderClass" : "MyS3KeyClassID" Nur erforderlich, wenn für angegeben CSE-Custom istEncryptionMode. MyS3KeyClassIDgibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispielcom.mycompany.MyS3KeyProvider.
Parameter für Verschlüsselung auf dem lokalen Datenträger
"LocalDiskEncryptionConfiguration" Gibt die Schlüsselanbieter und die entsprechenden Werte an, die für die lokale Laufwerksverschlüsselung verwendet werden müssen.
"EnableEbsEncryption": true | false Geben Sie true an, ob die EBS Verschlüsselung aktiviert werden soll. EBSDurch die Verschlüsselung werden das EBS Root-Geräte-Volume und die angeschlossenen Speichervolumes verschlüsselt. Um die EBS Verschlüsselung zu verwenden, müssen Sie AwsKms als Ihr EncryptionKeyProviderType angeben.
"EncryptionKeyProviderType": "AwsKms" | "Custom" Gibt den Schlüsselanbieter an. Wenn AwsKms angegeben, ARN muss ein KMS Schlüssel als AwsKmsKey Wert angegeben werden. Wenn Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden.
"AwsKmsKey : "MyKeyARN" Nur erforderlich, wenn für angegeben AwsKms istType. MyKeyARNmuss ein vollständig ARN spezifizierter Schlüssel sein (z. B.arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123).
"S3Object" : "JarLocation" Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. JarLocationgibt den Speicherort in Amazon S3 für eine JAR Datei an. Das Format kann ein Pfad (zum Beispiels3://MyConfig/artifacts/MyKeyProvider.jar) oder ein ARN (zum Beispiel,) seinarn:aws:s3:::Code/MyKeyProvider.jar).

"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"

 Nur erforderlich, wenn für angegeben Custom istType. MyLocalDiskKeyClassIDgibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispielcom.mycompany.MyLocalDiskKeyProvider.
EMRWALVerschlüsselungsparameter
"EMRWALEncryptionConfiguration" Gibt den Wert für die EMR WAL Verschlüsselung an.
"AwsKmsKey" Gibt die CMK Schlüssel-ID Arn an.

Konfiguration der Kerberos-Authentifizierung

Eine Sicherheitskonfiguration mit Kerberos-Einstellungen kann nur von einem Cluster verwendet werden, das mit Kerberos-Attributen erstellt wurde, andernfalls tritt ein Fehler auf. Weitere Informationen finden Sie unter Verwenden Sie Kerberos für die Authentifizierung bei Amazon EMR. Kerberos ist nur in der EMR Amazon-Release-Version 5.10.0 und höher verfügbar.

Kerberos-Einstellungen unter Verwendung der Konsole angeben

Wählen Sie anhand der folgenden Anleitungen Optionen in Kerberos authentication (Kerberos-Authentifizierung) aus.

Parameter Beschreibung

Kerberos

Gibt an, dass Kerberos für Cluster aktiviert ist, die diese Sicherheitskonfiguration verwenden. Wenn ein Cluster diese Sicherheitskonfiguration verwendet, müssen für den Cluster auch Kerberos-Einstellungen angegeben sein, andernfalls tritt ein Fehler auf.

Anbieter

Cluster-spezifisch KDC

Gibt an, dass Amazon KDC auf dem primären Knoten eines Clusters, der diese Sicherheitskonfiguration verwendet, eine EMR erstellt. Sie geben den Realm-Namen und das KDC Admin-Passwort an, wenn Sie den Cluster erstellen.

Sie können bei Bedarf KDC von anderen Clustern aus darauf verweisen. Erstellen Sie diese Cluster mit einer anderen Sicherheitskonfiguration, geben Sie eine externe KDC Konfiguration an und verwenden Sie den Bereichsnamen und das KDC Administratorkennwort, die Sie für den dedizierten Cluster angeben. KDC

Extern KDC

Nur mit Amazon EMR 5.20.0 und höher verfügbar. Gibt an, dass Cluster, die diese Sicherheitskonfiguration verwenden, Kerberos-Prinzipale mithilfe eines Servers außerhalb des Clusters authentifizieren. KDC A KDC wird auf dem Cluster nicht erstellt. Wenn Sie den Cluster erstellen, geben Sie den Bereichsnamen und das KDC Administratorkennwort für den externen Cluster anKDC.

Gültigkeitsdauer des Tickets

Optional. Gibt den Zeitraum an, für den ein von der ausgestelltes Kerberos-Ticket auf Clustern gültig KDC ist, die diese Sicherheitskonfiguration verwenden.

Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die SSH mithilfe von Kerberos-Anmeldeinformationen eine Verbindung zum Cluster herstellen, müssen von der Befehlszeile des primären Knotens kinit aus starten, um das Ticket zu verlängern, nachdem ein Ticket abgelaufen ist.

Bereichsübergreifende Vertrauensstellung

Gibt eine bereichsübergreifende Vertrauensstellung zwischen einem Cluster, der ausschließlich Clustern zugeordnet KDC ist, die diese Sicherheitskonfiguration verwenden, und einem Cluster KDC in einem anderen Kerberos-Bereich an.

Prinzipale (in der Regel Benutzer) aus einem anderen Bereich werden gegenüber Clustern authentifiziert, die diese Konfiguration verwenden. Eine zusätzliche Konfiguration im anderen Kerberos-Bereich ist erforderlich. Weitere Informationen finden Sie unter Tutorial: Konfigurieren einer bereichsübergreifenden Vertrauensstellung mit einer Active-Directory-Domain.
Realitätsübergreifende Vertrauenseigenschaften

Bereich

Gibt den Kerberos-Bereichsnamen des anderen Bereichs in der Vertrauensstellung an. Gemäß der Konvention sind Kerberos-Bereichsnamen mit dem Domainnamen identisch, jedoch ausschließlich in Großbuchstaben.

Domain

Gibt den Domain-Namen des anderen Bereichs in der Vertrauensstellung an.

Admin-Server

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des Admin-Servers im anderen Bereich der Vertrauensstellung an. Der KDC Admin-Server und der Server laufen normalerweise auf demselben Computer mit demselbenFQDN, kommunizieren aber über unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:749).

KDCServer

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des KDC Servers im anderen Bereich der Vertrauensstellung an. Der KDC Server und der Admin-Server laufen normalerweise auf demselben Computer mit denselbenFQDN, verwenden jedoch unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:88).

Extern KDC

Gibt an, dass externe KDC Cluster vom Cluster verwendet werden.

Externe KDC Eigenschaften

Admin-Server

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des externen Admin-Servers an. Der Admin-Server und der KDC Server laufen in der Regel auf demselben Computer mit denselben AnschlüssenFQDN, kommunizieren aber über unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:749).

KDCServer

Gibt den vollqualifizierten Domänennamen (FQDN) des externen KDC Servers an. Der KDC Server und der Admin-Server laufen normalerweise auf demselben Computer mit denselbenFQDN, verwenden jedoch unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:88).

Active-Directory-Integration

Gibt an, dass die Kerberos-Prinzipalauthentifizierung in eine Microsoft-Active-Directory-Domain integriert ist.

Active-Directory-Integrationseigenschaften

Active-Directory-Bereich

Gibt den Kerberos-Bereichsnamen der Active-Directory-Domain an. Gemäß der Konvention sind Kerberos-Bereichsnamen in der Regel identisch mit dem Domainnamen, jedoch ausschließlich in Großbuchstaben.

Active-Directory-Domain

Gibt den Active-Directory-Domainnamen an.

Active-Directory-Server

Gibt den vollqualifizierten Domänennamen (FQDN) des Microsoft Active Directory-Domänencontrollers an.

Angeben von Kerberos-Einstellungen mit dem AWS CLI

Die folgende Referenztabelle zeigt JSON Parameter für Kerberos-Einstellungen in einer Sicherheitskonfiguration. Beispielkonfigurationen finden Sie unter Beispiele für Konfigurationen.

Parameter Beschreibung

"AuthenticationConfiguration": {

Erforderlich für Kerberos. Gibt an, dass eine Authentifizierungskonfiguration Teil dieser Sicherheitskonfiguration ist.

"KerberosConfiguration": {

Erforderlich für Kerberos. Gibt die Kerberos-Konfigurationseigenschaften an.

"Provider": "ClusterDedicatedKdc",

oder

"Provider: "ExternalKdc",

ClusterDedicatedKdcgibt an, dass Amazon KDC auf dem primären Knoten eines Clusters, der diese Sicherheitskonfiguration verwendet, eine EMR erstellt. Sie geben den Realm-Namen und das KDC Admin-Passwort an, wenn Sie den Cluster erstellen. Sie können bei Bedarf KDC von anderen Clustern aus darauf verweisen. Erstellen Sie diese Cluster mit einer anderen Sicherheitskonfiguration, geben Sie eine externe KDC Konfiguration an und verwenden Sie den Bereichsnamen und das KDC Administratorkennwort, die Sie bei der Erstellung des Clusters mit dem dedizierten Cluster angegeben haben. KDC

ExternalKdcgibt an, dass der Cluster ein externes System verwendet. KDC Amazon erstellt EMR keine KDC auf dem primären Knoten. Ein Cluster, der diese Sicherheitskonfiguration verwendet, muss den Realm-Namen und das KDC Admin-Passwort des externen Clusters angebenKDC.

"ClusterDedicatedKdcConfiguration": {

Erforderlich, wenn ClusterDedicatedKdc angegeben ist.

"TicketLifetimeInHours": 24,

Optional. Gibt den Zeitraum an, für den ein von der ausgestelltes Kerberos-Ticket auf Clustern gültig KDC ist, die diese Sicherheitskonfiguration verwenden.

Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die SSH mithilfe von Kerberos-Anmeldeinformationen eine Verbindung zum Cluster herstellen, müssen von der Befehlszeile des primären Knotens kinit aus starten, um das Ticket zu verlängern, nachdem ein Ticket abgelaufen ist.

"CrossRealmTrustConfiguration": {

Gibt eine bereichsübergreifende Vertrauensstellung zwischen einem Cluster, der ausschließlich Clustern zugeordnet KDC ist, die diese Sicherheitskonfiguration verwenden, und einem Cluster KDC in einem anderen Kerberos-Bereich an.

Prinzipale (in der Regel Benutzer) aus einem anderen Bereich werden gegenüber Clustern authentifiziert, die diese Konfiguration verwenden. Eine zusätzliche Konfiguration im anderen Kerberos-Bereich ist erforderlich. Weitere Informationen finden Sie unter Tutorial: Konfigurieren einer bereichsübergreifenden Vertrauensstellung mit einer Active-Directory-Domain.

"Realm": "KDC2.COM",

Gibt den Kerberos-Bereichsnamen des anderen Bereichs in der Vertrauensstellung an. Gemäß der Konvention sind Kerberos-Bereichsnamen mit dem Domainnamen identisch, jedoch ausschließlich in Großbuchstaben.

"Domain": "kdc2.com",

Gibt den Domain-Namen des anderen Bereichs in der Vertrauensstellung an.

"AdminServer": "kdc.com:749",

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des Admin-Servers im anderen Bereich der Vertrauensstellung an. Der KDC Admin-Server und der Server laufen normalerweise auf demselben Computer mit demselbenFQDN, kommunizieren aber über unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:749).

"KdcServer": "kdc.com:88"

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des KDC Servers im anderen Bereich der Vertrauensstellung an. Der KDC Server und der Admin-Server laufen normalerweise auf demselben Computer mit denselbenFQDN, verwenden jedoch unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:88).

}

}

"ExternalKdcConfiguration": {

Erforderlich, wenn ExternalKdc angegeben ist.

"TicketLifetimeInHours": 24,

Optional. Gibt den Zeitraum an, für den ein von der ausgestelltes Kerberos-Ticket auf Clustern gültig KDC ist, die diese Sicherheitskonfiguration verwenden.

Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die SSH mithilfe von Kerberos-Anmeldeinformationen eine Verbindung zum Cluster herstellen, müssen von der Befehlszeile des primären Knotens kinit aus starten, um das Ticket zu verlängern, nachdem ein Ticket abgelaufen ist.

"KdcServerType": "Single",

Gibt an, dass auf einen einzelnen KDC Server verwiesen wird. Singleist derzeit der einzige unterstützte Wert.

"AdminServer": "kdc.com:749",

Gibt den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des externen Admin-Servers an. Der Admin-Server und der KDC Server laufen in der Regel auf demselben Computer mit denselben AnschlüssenFQDN, kommunizieren aber über unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:749).

"KdcServer": "kdc.com:88",

Gibt den vollqualifizierten Domänennamen (FQDN) des externen KDC Servers an. Der KDC Server und der Admin-Server laufen normalerweise auf demselben Computer mit denselbenFQDN, verwenden jedoch unterschiedliche Ports.

Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise domain.example.com:88).

"AdIntegrationConfiguration": {

Gibt an, dass die Kerberos-Prinzipalauthentifizierung in eine Microsoft-Active-Directory-Domain integriert ist.

"AdRealm": "AD.DOMAIN.COM",

Gibt den Kerberos-Bereichsnamen der Active-Directory-Domain an. Gemäß der Konvention sind Kerberos-Bereichsnamen in der Regel identisch mit dem Domainnamen, jedoch ausschließlich in Großbuchstaben.

"AdDomain": "ad.domain.com"

Gibt den Active-Directory-Domainnamen an.

"AdServer": "ad.domain.com"

Gibt den vollqualifizierten Domänennamen (FQDN) des Microsoft Active Directory-Domänencontrollers an.

}

}

}

}

IAMRollen für EMRFS Anfragen an Amazon S3 konfigurieren

IAMRollen für EMRFS ermöglichen es Ihnen, verschiedene Berechtigungen für EMRFS Daten in Amazon S3 bereitzustellen. Sie erstellen Zuordnungen, die eine IAM Rolle angeben, die für Berechtigungen verwendet wird, wenn eine Zugriffsanfrage eine von Ihnen angegebene Kennung enthält. Bei der ID kann es sich um einen Hadoop-Benutzer oder eine Hadoop-Rolle oder ein Amazon-S3-Präfix handeln.

Weitere Informationen finden Sie unter IAMRollen für EMRFS Anfragen an Amazon S3 konfigurieren.

Angeben von IAM Rollen für die Verwendung von EMRFS AWS CLI

Im Folgenden finden Sie einen JSON Beispielausschnitt für die Angabe benutzerdefinierter IAM Rollen EMRFS innerhalb einer Sicherheitskonfiguration. Es zeigt Rollenzuordnungen für die drei verschiedenen Identifier-Typen, gefolgt von einer Parameterreferenz. 

{
  "AuthorizationConfiguration": {
    "EmrFsConfiguration": {
      "RoleMappings": [{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
        "IdentifierType": "User",
        "Identifiers": [ "user1" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_MyBuckets",
        "IdentifierType": "Prefix",
        "Identifiers": [ "s3://MyBucket/","s3://MyOtherBucket/" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
        "IdentifierType": "Group",
        "Identifiers": [ "AdminGroup" ]
      }]
    }
  }
}
Parameter Beschreibung

"AuthorizationConfiguration":

Erforderlich

"EmrFsConfiguration":

Erforderlich Enthält Rollenzuordnungen.

  "RoleMappings":

Erforderlich Enthält eine oder mehrere Rollenzuordnungsdefinitionen. Rollenzuordnungen werden in der Reihenfolge bewertet, in der sie von oben nach unten angezeigt werden. Wenn eine Rollenzuweisung für einen EMRFS Datenaufruf in Amazon S3 als wahr bewertet wird, werden keine weiteren Rollenzuordnungen ausgewertet und die angegebene IAM Rolle wird für die Anfrage EMRFS verwendet. Rollenzuordnungen bestehen aus den folgenden erforderlichen Parametern:

   "Role":

Gibt den ARN Bezeichner einer IAM Rolle im Format an. arn:aws:iam::account-id:role/role-name Dies ist die IAM Rolle, die Amazon EMR übernimmt, wenn die EMRFS Anfrage an Amazon S3 mit einer der Identifiers angegebenen Anforderungen übereinstimmt.

   "IdentifierType":

Kann einer der folgenden sein:

  • "User" gibt an, dass es sich bei den Kennungen um einen oder mehrere Hadoop-Benutzer handelt, bei denen es sich um Linux-Kontobenutzer oder Kerberos-Prinzipale handeln kann. Wenn die EMRFS Anfrage von dem oder den angegebenen Benutzern stammt, wird die IAM Rolle übernommen.

  • "Prefix" gibt an, dass der Identifier ein Amazon-S3-Speicherort ist. Die IAM Rolle wird für Anrufe an den Standort oder die Standorte mit den angegebenen Präfixen übernommen. Das Präfix s3://mybucket/ entspricht beispielsweise s3://mybucket/mydir und s3://mybucket/yetanotherdir.

  • "Group" gibt an, dass es sich bei den Identifikatoren um eine oder mehrere Hadoop-Gruppen handelt. Die IAM Rolle wird übernommen, wenn die Anfrage von einem Benutzer in der oder den angegebenen Gruppen stammt.

   "Identifiers":

Gibt einen oder mehrere Kennungen des entsprechenden Kennungstyps an. Trennen Sie mehrere Bezeichner durch Kommas ohne Leerzeichen.

Metadaten-Serviceanfragen an EC2 Amazon-Instances konfigurieren

Instance-Metadaten sind Daten über eine Instance, mit denen Sie die ausgeführte Instance konfigurieren und verwalten können. Sie können mit einer der folgenden Methoden auf Instance-Metadaten aus einer laufenden Instance zugreifen:

  • Instance Metadata Service Version 1 (IMDSv1) — eine Anforderungs-/Antwortmethode

  • Instanz-Metadatendienst Version 2 (IMDSv2) — eine sitzungsorientierte Methode

Während Amazon IMDSv1 sowohl als auch EC2 unterstütztIMDSv2, EMR unterstützt Amazon IMDSv2 in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher. In diesen Versionen werden EMR Amazon-Komponenten IMDSv2 für alle IMDS Aufrufe verwendet. Für IMDS Aufrufe in Ihrem Anwendungscode können Sie IMDSv1 sowohl als auch verwenden oder das so konfigurierenIMDSv2, IMDS dass es nur aus IMDSv2 Sicherheitsgründen verwendet wird. Wenn Sie angeben, dass dies verwendet werden IMDSv2 muss, funktioniert IMDSv1 es nicht mehr.

Weitere Informationen finden Sie unter Konfiguration des Instance-Metadaten-Service im EC2Amazon-Benutzerhandbuch.

Anmerkung

In früheren Amazon EMR 5.x- oder 6.x-Versionen IMDSv1 führt das Ausschalten zu einem Fehler beim Starten des Clusters, da EMR Amazon-Komponenten IMDSv1 für alle IMDS Aufrufe verwendet werden. Stellen Sie beim Ausschalten sicherIMDSv1, dass jede benutzerdefinierte Software, die verwendet wird, auf aktualisiert IMDSv1 ist. IMDSv2

Spezifizieren Sie die Konfiguration des Instance Metadata Services mit dem AWS CLI

Das Folgende ist ein JSON Beispielausschnitt für die Angabe des Amazon EC2 Instance Metadata Service (IMDS) innerhalb einer Sicherheitskonfiguration. Die Verwendung einer benutzerdefinierten Sicherheitskonfiguration ist optional.

{
  "InstanceMetadataServiceConfiguration" : {
      "MinimumInstanceMetadataServiceVersion": integer,
      "HttpPutResponseHopLimit": integer
   }
}
Parameter Beschreibung

"InstanceMetadataServiceConfiguration":

Wenn Sie dies nicht IMDS innerhalb einer Sicherheitskonfiguration angeben und eine EMR Amazon-Version verwenden, die dies erfordertIMDSv1, verwendet Amazon EMR standardmäßig IMDSv1 als Mindestversion des Instance-Metadatendienstes. Wenn Sie Ihre eigene Konfiguration verwenden möchten, sind die beiden folgenden Parameter erforderlich.

"MinimumInstanceMetadataServiceVersion":

Erforderlich Geben Sie 1 oder 2 an. Der Wert 1 erlaubt IMDSv1 undIMDSv2. Der Wert 2 erlaubt nurIMDSv2.

"HttpPutResponseHopLimit":

Erforderlich Das gewünschte HTTP PUT Response-Hop-Limit für Instance-Metadatenanfragen. Je größer die Zahl ist, desto weiter können sich die Instance-Metadatenanfragen bewegen. Standard: 1. Einen Ganzzahlwert von 1 bis 64 angeben.

Die Konfiguration des Instance Metadata Services mit der Konsole angeben

Sie können die Verwendung von IMDS für einen Cluster konfigurieren, wenn Sie ihn von der EMR Amazon-Konsole aus starten.

So konfigurieren Sie die IMDS Verwendung der Konsole:

  1. Wenn Sie auf der Seite Sicherheitskonfigurationen eine neue Sicherheitskonfiguration erstellen, wählen Sie unter der Einstellung EC2Instanz-Metadatendienst die Option EC2Instanz-Metadatendienst konfigurieren aus. Diese Konfiguration wird nur in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher unterstützt.

  2. Für Minimum Instance Metadata Service Version wählen Sie eine der folgenden Optionen aus:

    • Schalten Sie die Option aus IMDSv1 und lassen Sie sie nur zuIMDSv2, wenn Sie nur auf diesem Cluster zulassen möchten. IMDSv2 Weitere Informationen finden Sie unter Umstellung auf die Nutzung des Instance-Metadaten-Service Version 2 im EC2Amazon-Benutzerhandbuch.

    • Erlauben Sie beides IMDSv1 und IMDSv2 auf dem Cluster, wenn Sie IMDSv2 auf diesem Cluster sitzungsorientiert sein möchten. IMDSv1

  3. Denn IMDSv2 Sie können auch die zulässige Anzahl von Netzwerk-Hops für das Metadaten-Token konfigurieren, indem Sie das Put-Response-Hop-Limit auf eine Ganzzahl zwischen und festlegen. HTTP 1 64

Weitere Informationen finden Sie unter Konfiguration des Instance-Metadaten-Service im EC2Amazon-Benutzerhandbuch.

Weitere Informationen finden Sie unter Instance-Details konfigurieren und Instance-Metadaten-Service konfigurieren im EC2Amazon-Benutzerhandbuch.