Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie eine Sicherheitskonfiguration mit der Amazon EMR-Konsole oder mit AWS CLI
<a name="emr-create-security-configuration"></a>

Dieses Thema behandelt allgemeine Verfahren zum Erstellen einer Sicherheitskonfiguration mit der Amazon EMR-Konsole und der AWS CLI, gefolgt von einer Referenz zu den Parametern, die Verschlüsselung, Authentifizierung und IAM-Rollen für EMRFS umfassen. Weitere Informationen zu diesen Funktionen finden Sie in den folgenden Themen:
+ [Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung mit Amazon EMR](emr-data-encryption.md)
+ [Verwenden Sie Kerberos für die Authentifizierung mit Amazon EMR](emr-kerberos.md)
+ [Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3](emr-emrfs-iam-roles.md)

**So erstellen Sie eine Sicherheitskonfiguration mithilfe der Konsole**

1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr/).

1. Wählen Sie im Navigationsbereich **Security Configurations (Sicherheitskonfigurationen)**, **Create security configuration (Sicherheitskonfiguration erstellen)** aus. 

1. Geben Sie in **Name (Name)** einen Namen für die Sicherheitskonfiguration ein.

1. Wählen Sie Optionen für **Verschlüsselung**, und **Authentifizierung** aus wie in den folgenden Abschnitten beschrieben. Wählen Sie anschließend **Erstellen** aus.

**Um eine Sicherheitskonfiguration mit dem zu erstellen AWS CLI**
+ Verwenden Sie den Befehl `create-security-configuration` wie im folgenden Beispiel gezeigt.
  + Geben Sie für *SecConfigName* den Namen der Sicherheitskonfiguration an. Dies ist der Name, den Sie angeben, wenn Sie einen Cluster erstellen, der diese Sicherheitskonfiguration verwendet.
  + Geben Sie in `SecConfigDef` eine Inline-JSON-Struktur oder den Pfad zu einer lokalen JSON-Datei an, z. B. `file://MySecConfig.json`. Die JSON-Parameter definieren Optionen für **Verschlüsselung**, **IAM Rollen für EMRFS-Zugriff auf Amazon S3** und **Authentifizierung**, wie in den folgenden Abschnitten beschrieben.

  ```
  aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef
  ```

## Datenverschlüsselung konfigurieren
<a name="emr-security-configuration-encryption"></a>

Bevor Sie die Verschlüsselung in einer Sicherheitskonfiguration konfigurieren, erstellen Sie die Schlüssel und Zertifikate, die für die Verschlüsselung verwendet werden. Weitere Informationen erhalten Sie unter [Bereitstellung von Schlüsseln für die Verschlüsselung von Daten im Ruhezustand](emr-encryption-enable.md#emr-encryption-create-keys) und [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates).

Beim Erstellen einer Sicherheits-Konfiguration legen Sie zwei Verschlüsselungsoptionen fest: Verschlüsselung von Daten während der Übertragung und im Ruhezustand. Die Optionen für die Datenverschlüsselung im Ruhezustand umfassen sowohl die Amazon S3-Verschlüsselung mit EMRFS und die lokale Laufwerksverschlüsselung. Die Optionen für die Verschlüsselung von Daten während der Übertragung aktivieren die Open-Source-Verschlüsselungsfunktionen für bestimmte Anwendungen, die Transport Layer Security (TLS) unterstützen. Die Optionen für die Verschlüsselung während der Übertragung und im Ruhezustand können gemeinsam oder einzeln aktiviert werden. Weitere Informationen finden Sie unter [Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung mit Amazon EMR](emr-data-encryption.md).

**Anmerkung**  
Bei der Nutzung AWS KMS fallen Gebühren für die Speicherung und Verwendung von Verschlüsselungsschlüsseln an. Weitere Informationen finden Sie unter [AWS KMS  – Preise](https://aws.amazon.com/kms/pricing/).

### Angeben von Verschlüsselungsoptionen mit der Konsole
<a name="emr-security-configuration-encryption-console"></a>

Wählen Sie Optionen unter **Encryption (Verschlüsselung)** entsprechend den folgenden Anleitungen aus.
+ Wählen Sie Optionen unter **At rest encryption (Verschlüsselung im Ruhezustand)** aus, um innerhalb des Dateisystems gespeicherte Daten zu verschlüsseln. 

  Sie können Daten in Amazon S3, auf lokalen Datenträgern oder in beiden Speichern verschlüsseln. 
+ Unter **S3-Datenverschlüsselung**, für die Option **Verschlüsselungsmodus** wählen Sie einen Wert aus, der festlegt, wie Amazon EMR; die Amazon-S3-Daten mit EMRFS verschlüsselt. 

  Der nächste Schritt hängt von dem von Ihnen gewählten Verschlüsselungsmodus ab:
  + **SSE-S3 (SSE-S3)**

    Angaben zur [serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Sie müssen nicht mehr tun, da Amazon S3 die Handhabung der Schlüssel für Sie übernimmt.
  + **SSE-KMS (SSE-KMS)** oder **CSE-KMS (CSE-KMS)**

    Gibt [serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) oder [clientseitige Verschlüsselung mit AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) verwalteten Schlüsseln (CSE-KMS) an. Wählen Sie für **AWS KMS key** einen Schlüssel aus. Der Schlüssel muss sich in derselben Region befinden wie Ihr EMR-Cluster. Schlüsselanforderungen finden Sie unter [AWS KMS keys Für die Verschlüsselung verwenden](emr-encryption-enable.md#emr-awskms-keys).
  + **CSE-Custom (CSE-Custom)**

    Gibt [clientseitige Verschlüsselung mit einem benutzerdefinierten clientseitigen Masterschlüssel (CSE-Custom) an](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-client-side-master-key-intro). Geben Sie für das **S3-Objekt** den Speicherort Ihrer benutzerdefinierten Schlüsselanbieter-JAR-Datei in Amazon S3 oder den Amazon-S3-ARN ein. Geben Sie dann für **Key Provider Class den vollständigen Klassennamen einer Klasse** ein, die in Ihrer Anwendung deklariert ist, die die Schnittstelle implementiert. EncryptionMaterialsProvider 
+ Wählen Sie unter **Local disk encryption (Lokale Laufwerksverschlüsselung)** einen Wert für **Key provider type (Schlüsselanbietertyp)** aus.
  + **AWS KMS key**

    Wählen Sie diese Option, um eine AWS KMS key anzugeben. Wählen Sie für **AWS KMS key** einen Schlüssel aus. Der Schlüssel muss sich in derselben Region befinden wie Ihr EMR-Cluster. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter [AWS KMS keys Für die Verschlüsselung verwenden](emr-encryption-enable.md#emr-awskms-keys).

    **EBS Encryption (EBS-Verschlüsselung)**

    Wenn Sie dies AWS KMS als Ihren Schlüsselanbieter angeben, können Sie die EBS-Verschlüsselung aktivieren, um das EBS-Stammgerät und die Speichervolumes zu verschlüsseln. Um diese Option zu aktivieren, müssen Sie der Amazon-EMR-Servicerolle `EMR_DefaultRole` Berechtigungen zur Verwendung des von Ihnen angegebenen AWS KMS key erteilen. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter [Aktivieren der EBS-Verschlüsselung durch Bereitstellung zusätzlicher Berechtigungen für KMS-Schlüssel](emr-encryption-enable.md#emr-awskms-ebs-encryption).
  + **Custom (Benutzerdefiniert)**

    Wählen Sie diese Option aus, um einen benutzerdefinierten Schlüsselanbieter festzulegen. Geben Sie für das **S3-Objekt** den Speicherort Ihrer benutzerdefinierten Schlüsselanbieter-JAR-Datei in Amazon S3 oder den Amazon-S3-ARN ein. Geben Sie für **Key Provider Class** den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die Schnittstelle implementiert. EncryptionMaterialsProvider Der Klassenname, den Sie hier angeben, muss sich von dem Klassennamen für CSE-Custom unterscheiden.
+ Wählen Sie **In-transit encryption (Verschlüsselung bei Übertragung)** aus, um die Open-Source-TLS-Verschlüsselungsfunktionen für Daten während der Übertragung zu aktivieren. Wählen Sie anhand der folgenden Anleitungen einen **Certificate provider type (Zertifikatanbietertyp)** aus: 
  + **PEM (PEM)**

    Wählen Sie diese Option zur Verwendung von PEM-Dateien aus, die Sie in einer ZIP-Datei bereitstellen. Zwei Artefakte sind innerhalb der ZIP-Datei erforderlich: privateKey.pem und certificateChain.pem. Eine dritte Datei, trustedCertificates.pem, ist optional. Details dazu finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates). Geben Sie in **S3-Objekt** den Speicherort in Amazon S3 oder den Amazon-S3-ARN des ZIP-Datei-Felds an. 
  + **Custom (Benutzerdefiniert)**

    Wählen Sie diese Option aus, um einen benutzerdefinierten Zertifikatanbieter anzugeben. Geben Sie anschließend in **S3-Objekt** den Speicherort in Amazon S3 oder den Amazon-S3-ARN der JAR-Datei Ihres benutzerdefinierten Zertifikatanbieters ein. Geben Sie für **Key Provider Class** den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist und die TLSArtifacts Provider-Schnittstelle implementiert. 

### Angeben von Verschlüsselungsoptionen mit dem AWS CLI
<a name="emr-security-configuration-encryption-cli"></a>

Die folgenden Abschnitte enthalten Beispielszenarien mit ordnungsgemäß formatiertem **--security-configuration** JSON für verschiedene Konfigurationen und Schlüsselanbieter, gefolgt von einer Referenz für JSON-Parameter und geeignete Werte.

#### Beispiel der Datenverschlüsselungsoptionen während der Übertragung
<a name="emr-encryption-intransit-cli"></a>

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist aktiviert und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
+ Eine ZIP-Datei mit Zertifikaten in Amazon S3 wird als Schlüsselanbieter verwendet (die Zertifikatanforderungen finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates)).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist aktiviert und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
+ Ein benutzerdefinierter Schlüsselanbieter wird verwendet (die Zertifikatanforderungen finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates)).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		}
 	}
}'
```

#### Beispiel der Datenverschlüsselungsoptionen im Ruhezustand
<a name="emr-encryption-atrest-cli"></a>

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Für die Amazon-S3-Verschlüsselung wird SSE-S3 verwendet.
+ Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": false,
		"EnableAtRestEncryption": true,
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-S3"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
 	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Datenverschlüsselung während der Übertragung ist aktiviert und verweist unter Verwendung der ARN auf eine ZIP-Datei mit PEM-Zertifikaten in Amazon S3.
+ Für die KMS-Verschlüsselung wird SSE-Amazon S3 verwendet.
+ Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Datenverschlüsselung während der Übertragung ist aktiviert und verweist auf eine ZIP-Datei mit PEM-Zertifikaten in Amazon S3.
+ Für die Amazon-S3-Verschlüsselung wird CSE-KMS verwendet.
+ Die lokale Laufwerksverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter, auf den anhand des ARN verwiesen wird.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung anhand eines benutzerdefinierten Schlüsselanbieters ist aktiviert.
+ CSE-Custom wird für Amazon-S3-Daten verwendet.
+ Die lokale Laufwerksverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": "true",
		"EnableAtRestEncryption": "true",
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
				},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die Amazon S3-Verschlüsselung ist mit SSE-KMS aktiviert.
+ Es werden mehrere AWS KMS Schlüssel verwendet, einer für jeden S3-Bucket, und Verschlüsselungsausnahmen werden auf diese einzelnen S3-Buckets angewendet.
+ Die lokale Laufwerksverschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
  	"EncryptionConfiguration": {
   		"AtRestEncryptionConfiguration": {
      	     	"S3EncryptionConfiguration": {
        			"EncryptionMode": "SSE-KMS",
        			"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
        			"Overrides": [
         				 {
           				 "BucketName": "amzn-s3-demo-bucket1",
            				"EncryptionMode": "SSE-S3"
          				},
          				{
            				"BucketName": "amzn-s3-demo-bucket2",
           				 "EncryptionMode": "CSE-KMS",
            				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
         				 },
         				 {
           				 "BucketName": "amzn-s3-demo-bucket3",
          				  "EncryptionMode": "SSE-KMS",
           				 "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
          				}
        					]
      							}
   						 	},
   		"EnableInTransitEncryption": false,
    		"EnableAtRestEncryption": true
  }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die Amazon S3-Verschlüsselung wird mit SSE-S3 aktiviert und die lokale Laufwerksverschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "S3EncryptionConfiguration": {
                "EncryptionMode": "SSE-S3"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ Die Verschlüsselung von Daten während der Übertragung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.
+ Die EBS-Verschlüsselung ist aktiviert. 

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EnableEbsEncryption": true,
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

SSE-EMR-WAL wird für die EMR-WAL-Verschlüsselung verwendet

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{ },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`und könnte `EnableAtRestEncryption` immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ SSE-KMS-WAL wird für die EMR-WAL-Verschlüsselung verwendet
+ Serverseitige Verschlüsselung wird AWS Key Management Service als Schlüsselanbieter verwendet

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{
                "AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
                },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`und könnte `EnableAtRestEncryption` immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

#### JSON-Referenz für Verschlüsselungseinstellungen
<a name="emr-encryption-cli-parameters"></a>

In der folgenden Tabelle finden Sie die JSON-Parameter für die Verschlüsselungseinstellungen sowie eine Beschreibung der zulässigen Werte für die einzelnen Parameter.


| Parameter | Description | 
| --- |--- |
| "EnableInTransitEncryption" : true \$1 false | Geben Sie true an, um die Verschlüsselung der Daten während der Übertragung zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten während der Übertragung ist deaktiviert. | 
| "EnableAtRestEncryption": true \$1 false | Geben Sie true an, um die Verschlüsselung der Daten im Ruhezustand zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert. | 
| **Parameter für die Verschlüsselung während der Übertragung** | 
| --- |
| "InTransitEncryptionConfiguration" : | Gibt eine Sammlung von Werten für die Verschlüsselung von Daten während der Übertragung an, wenn EnableInTransitEncryption true ist. | 
|  "CertificateProviderType": "PEM" \$1 "Custom" | Gibt an, ob PEM-Zertifikate verwendet werden sollen, auf die über eine ZIP-Datei oder über einen Custom Zertifikatsanbieter verwiesen wird. Wenn angegeben, S3Object muss PEM es sich um einen Verweis auf den Speicherort einer ZIP-Datei mit den Zertifikaten in Amazon S3 handeln. Wenn Custom angegeben ist, S3Object muss es sich um einen Verweis auf den Speicherort einer JAR-Datei in Amazon S3 handeln, gefolgt von einem CertificateProviderClass Eintrag. | 
|  "S3Object" : "ZipLocation" \$1 "JarLocation" | Stellt den Speicherort in Amazon S3 für eine ZIP-Datei bereit, wenn PEM angegeben, oder für eine JAR-Datei, wenn Custom angegeben. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/CertFiles.zip) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyCertProvider.jar) handeln. Wenn eine ZIP-Datei ausgewählt wurde, muss sie Dateien enthalten, deren Namen privateKey.pem und certificateChain.pem sind. Eine Datei mit dem Namen trustedCertificates.pem ist optional. | 
|  "CertificateProviderClass" : "MyClassID" | Nur erforderlich, wenn für angegeben Custom istCertificateProviderType. MyClassIDgibt einen vollständigen Klassennamen an, der in der JAR-Datei deklariert ist, die die TLSArtifacts Provider-Schnittstelle implementiert. Beispiel, com.mycompany.MyCertProvider. | 
| **Parameter für die Verschlüsselung im Ruhezustand** | 
| --- |
| "AtRestEncryptionConfiguration" :  | Gibt eine Sammlung von Werten für die Verschlüsselung im Ruhezustand an, wenn dies der EnableAtRestEncryption Fall isttrue, einschließlich Amazon S3 S3-Verschlüsselung und Verschlüsselung lokaler Festplatten. | 
| Amazon S3 S3-Verschlüsselungsparameter | 
| "S3EncryptionConfiguration" : | Gibt eine Sammlung von Werten an, die für die Amazon S3 S3-Verschlüsselung mit dem Amazon EMR File System (EMRFS) verwendet werden. | 
| "EncryptionMode": "SSE-S3" \$1 "SSE-KMS" \$1 "CSE-KMS" \$1 "CSE-Custom" | Gibt den Typ der zu verwendenden Amazon S3 S3-Verschlüsselung an. Wenn SSE-S3 angegeben, sind keine weiteren Amazon S3 S3-Verschlüsselungswerte erforderlich. Wenn entweder SSE-KMS oder angegeben CSE-KMS ist, muss ein AWS KMS key ARN als AwsKmsKey Wert angegeben werden. Wenn CSE-Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden. | 
| "AwsKmsKey" : "MyKeyARN" | Nur erforderlich, wenn SSE-KMS oder CSE-KMS für EncryptionMode angegeben wurden. MyKeyARN muss ein vollständig angegebener ARN für einen Schlüssel sein (z. B. arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012). | 
|  "S3Object" : "JarLocation" | Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. JarLocationgibt den Speicherort in Amazon S3 für eine JAR-Datei an. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/MyKeyProvider.jar) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyKeyProvider.jar) handeln. | 
| "EncryptionKeyProviderClass" : "MyS3KeyClassID" | Nur erforderlich, wenn für angegeben CSE-Custom istEncryptionMode. MyS3KeyClassIDgibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispielcom.mycompany.MyS3KeyProvider. | 
| Parameter für Verschlüsselung auf dem lokalen Datenträger | 
| "LocalDiskEncryptionConfiguration" | Gibt die Schlüsselanbieter und die entsprechenden Werte an, die für die lokale Laufwerksverschlüsselung verwendet werden müssen. | 
| "EnableEbsEncryption": true \$1 false | Geben Sie true an, ob die EBS-Verschlüsselung aktiviert werden soll. Die EBS-Verschlüsselung verschlüsselt das EBS-Root-Geräte-Volume und die angeschlossenen Speichervolumes. Um die EBS-Verschlüsselung zu verwenden, müssen Sie als Ihr angeben. AwsKms EncryptionKeyProviderType | 
| "EncryptionKeyProviderType": "AwsKms" \$1 "Custom" | Gibt den Schlüsselanbieter an. Wenn AwsKms angegeben, muss ein KMS-Schlüssel-ARN als AwsKmsKey Wert angegeben werden. Wenn Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden. | 
| "AwsKmsKey : "MyKeyARN" | Nur erforderlich, wenn für angegeben AwsKms istType. MyKeyARNmuss ein vollständig spezifizierter ARN für einen Schlüssel sein (z. B.arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123). | 
| "S3Object" : "JarLocation" | Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. JarLocationgibt den Speicherort in Amazon S3 für eine JAR-Datei an. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/MyKeyProvider.jar) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyKeyProvider.jar) handeln. | 
|  `"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"`  | Nur erforderlich, wenn für angegeben Custom istType. MyLocalDiskKeyClassIDgibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispielcom.mycompany.MyLocalDiskKeyProvider. | 
| **EMR WAL-Verschlüsselungsparameter** | 
| --- |
| "EMRWALEncryptionConfiguration"  | Gibt den Wert für die EMR-WAL-Verschlüsselung an. | 
| "AwsKmsKey"  | Gibt die CMK-Schlüssel-ID Arn an. | 

## Konfiguration der Kerberos-Authentifizierung
<a name="emr-security-configuration-kerberos"></a>

Eine Sicherheitskonfiguration mit Kerberos-Einstellungen kann nur von einem Cluster verwendet werden, das mit Kerberos-Attributen erstellt wurde, andernfalls tritt ein Fehler auf. Weitere Informationen finden Sie unter [Verwenden Sie Kerberos für die Authentifizierung mit Amazon EMR](emr-kerberos.md). Kerberos ist nur in Amazon-EMR-Version 5.10.0 und höher verfügbar.

### Kerberos-Einstellungen unter Verwendung der Konsole angeben
<a name="emr-security-configuration-console-kerberos"></a>

Wählen Sie anhand der folgenden Anleitungen Optionen in **Kerberos authentication (Kerberos-Authentifizierung)** aus.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-create-security-configuration.html)

### Angeben von Kerberos-Einstellungen mit dem AWS CLI
<a name="emr-kerberos-cli-parameters"></a>

Die folgende Referenztabelle zeigt JSON-Parameter für Kerberos-Einstellungen in einer Sicherheitskonfiguration. Beispielkonfigurationen finden Sie unter [Beispiele für Konfigurationen](emr-kerberos-config-examples.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-create-security-configuration.html)

## Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3
<a name="emr-security-configuration-emrfs"></a>

Mit IAM-Rollen für EMRFS können Sie unterschiedliche Berechtigungen für EMRFS-Daten in Amazon S3 bereitstellen. Sie erstellen Rollenzuordnungen, die eine IAM-Rolle spezifizieren, die für Berechtigungen verwendet wird, wenn eine Zugriffsanforderung eine von Ihnen angegebene Kennung enthält. Bei der ID kann es sich um einen Hadoop-Benutzer oder eine Hadoop-Rolle oder ein Amazon-S3-Präfix handeln. 

Weitere Informationen finden Sie unter [Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3](emr-emrfs-iam-roles.md).

### Angeben von IAM-Rollen für EMRFS mithilfe von AWS CLI
<a name="w2aac30c17b9c15b7"></a>

Im Folgenden finden Sie ein JSON-Beispiel für die Angabe benutzerdefinierter IAM-Rollen für EMRFS innerhalb einer Sicherheitskonfiguration. Es zeigt Rollenzuordnungen für die drei verschiedenen Identifier-Typen, gefolgt von einer Parameterreferenz. 

```
{
  "AuthorizationConfiguration": {
    "EmrFsConfiguration": {
      "RoleMappings": [{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
        "IdentifierType": "User",
        "Identifiers": [ "user1" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets",
        "IdentifierType": "Prefix",
        "Identifiers": [ "s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
        "IdentifierType": "Group",
        "Identifiers": [ "AdminGroup" ]
      }]
    }
  }
}
```


| Parameter | Description | 
| --- | --- | 
|  `"AuthorizationConfiguration":`  |  Erforderlich  | 
|   `"EmrFsConfiguration":`  |  Erforderlich Enthält Rollenzuordnungen.  | 
|    `"RoleMappings":`  |  Erforderlich Enthält eine oder mehrere Rollenzuordnungsdefinitionen. Rollenzuordnungen werden in der Reihenfolge bewertet, in der sie von oben nach unten angezeigt werden. Wenn eine Rollenzuweisung für einen EMRFS-Datenaufruf in Amazon S3 als wahr bewertet wird, werden keine weiteren Rollenzuordnungen ausgewertet und EMRFS verwendet die angegebene IAM-Rolle für die Anfrage. Rollenzuordnungen bestehen aus den folgenden erforderlichen Parametern: | 
|    `"Role":` | Gibt den ARN-Bezeichner einer IAM-Rolle im Format `arn:aws:iam::account-id:role/role-name` an. Dies ist die IAM-Rolle, die Amazon EMR übernimmt, wenn die EMRFS-Anfrage an Amazon S3 mit einer der angegebenen `Identifiers` übereinstimmt. | 
|    `"IdentifierType":` | Kann einer der folgenden sein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-create-security-configuration.html)  | 
|     `"Identifiers":`  |  Gibt einen oder mehrere Kennungen des entsprechenden Kennungstyps an. Trennen Sie mehrere Bezeichner durch Kommas ohne Leerzeichen.  | 

## Metadaten-Serviceanfragen an Amazon EC2-Instances konfigurieren
<a name="emr-security-configuration-imdsv2"></a>

*Instance-Metadaten* sind Daten über eine Instance, mit denen Sie die ausgeführte Instance konfigurieren und verwalten können. Sie können mit einer der folgenden Methoden auf Instance-Metadaten aus einer laufenden Instance zugreifen:
+ Instance Metadata Service Version 1 (IMDSv1) — eine Anforderungs-/Antwortmethode
+ Instanz-Metadatendienst Version 2 (IMDSv2) — eine sitzungsorientierte Methode

Während Amazon EC2 IMDSv1 sowohl als auch unterstützt IMDSv2, unterstützt Amazon EMR IMDSv2 in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher. In diesen Versionen werden Amazon EMR-Komponenten IMDSv2 für alle IMDS-Aufrufe verwendet. Für IMDS-Aufrufe in Ihrem Anwendungscode können Sie sowohl als auch IMDSv1 verwenden oder das IMDS so konfigurieren IMDSv2, dass es nur IMDSv2 für zusätzliche Sicherheit verwendet wird. Wenn Sie angeben, dass dies verwendet werden IMDSv2 muss, funktioniert IMDSv1 es nicht mehr.

Weitere Informationen finden [Sie unter Konfiguration des Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

**Anmerkung**  
In früheren Versionen von Amazon EMR 5.x oder 6.x IMDSv1 führt das Ausschalten zu einem Cluster-Startfehler, da Amazon EMR-Komponenten IMDSv1 für alle IMDS-Aufrufe verwendet werden. Stellen Sie beim Ausschalten sicher IMDSv1, dass jede benutzerdefinierte Software, die verwendet wird, auf aktualisiert ist. IMDSv1 IMDSv2

### Spezifizieren Sie die Konfiguration des Instanz-Metadatendienstes mit dem AWS CLI
<a name="w2aac30c17b9c17c13"></a>

Nachfolgend finden Sie ein JSON-Beispiel-Snippet für die Spezifizierung des Amazon EC2 Instance Metadata Service (IMDS) in einer Sicherheitskonfiguration. Die Verwendung einer benutzerdefinierten Sicherheitskonfiguration ist optional.

```
{
  "InstanceMetadataServiceConfiguration" : {
      "MinimumInstanceMetadataServiceVersion": integer,
      "HttpPutResponseHopLimit": integer
   }
}
```


| Parameter | Description | 
| --- | --- | 
|  `"InstanceMetadataServiceConfiguration":`  |  Wenn Sie IMDS nicht innerhalb einer Sicherheitskonfiguration angeben und eine Amazon EMR-Version verwenden, die dies erfordert IMDSv1, verwendet Amazon EMR standardmäßig IMDSv1 als Mindestversion des Instance-Metadatendienstes. Wenn Sie Ihre eigene Konfiguration verwenden möchten, sind die beiden folgenden Parameter erforderlich.  | 
|   `"MinimumInstanceMetadataServiceVersion":`  |  Erforderlich Geben Sie `1` oder `2` an. Der Wert `1` erlaubt IMDSv1 und IMDSv2. Der Wert `2` erlaubt nur IMDSv2.  | 
|   `"HttpPutResponseHopLimit":`  |  Erforderlich Das gewünschte HTTP PUT-Antwort-Hop-Limit für Instance-Metadatenanfragen. Je größer die Zahl ist, desto weiter können sich die Instance-Metadatenanfragen bewegen. Standard: `1`. Einen Ganzzahlwert von `1` bis `64` angeben. | 

### Die Konfiguration des Instance Metadata Services mit der Konsole angeben
<a name="emr-security-configuration-imdsv2-console"></a>

Sie können die Verwendung von IMDS für einen Cluster konfigurieren, wenn Sie ihn von der Amazon-EMR-Konsole aus starten.

**So konfigurieren Sie die Verwendung von IMDS mithilfe der Konsole:**

1. Wenn Sie auf der Seite Sicherheitskonfigurationen eine neue **Sicherheitskonfiguration** erstellen, wählen Sie unter der Einstellung **EC2-Instance Metadata Service** die Option **EC2-Instance-Metadatenservice konfigurieren** aus. Diese Konfiguration wird nur in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher unterstützt.

1. Für **Minimum Instance Metadata Service Version** wählen Sie eine der folgenden Optionen aus:
   + **Schalten Sie die IMDSv1 Option aus und lassen Sie sie nur** zu IMDSv2, wenn Sie nur IMDSv2 auf diesem Cluster zulassen möchten. Weitere Informationen finden Sie [unter Umstellung auf die Verwendung von Instance-Metadaten-Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2) *im Amazon EC2-Benutzerhandbuch*.
   + **Erlauben Sie beide IMDSv1 und IMDSv2 auf dem Cluster**, wenn Sie dies IMDSv2 auf diesem Cluster zulassen IMDSv1 und sitzungsorientiert sein möchten.

1. Denn IMDSv2 Sie können auch die zulässige Anzahl von Netzwerk-Hops für das Metadaten-Token konfigurieren, indem Sie das **HTTP-Put-Response-Hop-Limit** auf eine Ganzzahl zwischen und festlegen. `1` `64`

Weitere Informationen finden [Sie unter Konfiguration des Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

Weitere Informationen finden [Sie unter Instance-Details](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html#configure_instance_details_step) [konfigurieren und Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) konfigurieren im *Amazon EC2 EC2-Benutzerhandbuch*.