Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Información sobre el cifrado en tránsito
<a name="emr-encryption-support-matrix"></a>

Puede configurar un clúster de EMR para ejecutar marcos de código abierto como [Apache Spark](https://aws.amazon.com/emr/features/spark/), [Apache Hive](https://aws.amazon.com/emr/features/hive/) y [Presto](https://aws.amazon.com/emr/features/presto/). Cada uno de estos marcos de código abierto tiene un conjunto de procesos que se ejecutan en las instancias de EC2 de un clúster. Cada uno de estos procesos puede alojar puntos de conexión de red para la comunicación de red.

Si el cifrado en tránsito está habilitado en un clúster de EMR, los diferentes puntos de conexión de la red utilizan diferentes mecanismos de cifrado. Consulte las siguientes secciones para obtener más información sobre los puntos de conexión de red específicos del marco de código abierto compatibles con el cifrado en tránsito, los mecanismos de cifrado relacionados y qué versión de Amazon EMR ha añadido esta compatibilidad. Cada aplicación de código abierto también puede tener diferentes prácticas recomendadas y configuraciones de marco de código abierto que puede cambiar. 

 Para obtener la máxima cobertura de cifrado en tránsito, le recomendamos que habilite tanto el cifrado en tránsito como Kerberos. Si solo habilita el cifrado en tránsito, el cifrado en tránsito solo estará disponible para los puntos de conexión de la red que admiten TLS. Kerberos es necesario porque algunos puntos de conexión de red de código abierto utilizan la capa de autenticación y seguridad simple (SASL) para el cifrado en tránsito.

Tenga en cuenta que no se incluye ningún marco de código abierto que no sea compatible con las versiones 7.x.x de Amazon EMR.

## Spark
<a name="emr-encryption-support-matrix-spark"></a>

Al habilitar el cifrado en tránsito en las configuraciones de seguridad, `spark.authenticate` se establece automáticamente en `true` y utiliza el cifrado basado en AES para las conexiones RPC.

A partir de Amazon EMR 7.3.0, si utiliza el cifrado en tránsito y la autenticación Kerberos, no podrá utilizar las aplicaciones de Spark que dependan del metaalmacén de Hive. Hive 3 corrige este problema en [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340). [HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114) resuelve completamente este problema cuando Spark de código abierto puede actualizarse a Hive 3. Mientras tanto, puede establecer `hive.metastore.use.SSL` en `false` para tratar de solucionar este problema. Para obtener más información, consulte [Configuración de aplicaciones](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obtener más información, consulte [Seguridad de Spark](https://spark.apache.org/docs/latest/security) en la documentación de Apache Spark.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Servidor de historial de Spark  |  spark.ssl.history.port  |  18480  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Interfaz de usuario Spark  |  spark.ui.port  |  4440  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Controlador de Spark  |  spark.driver.port  |  Dinámico  |  Cifrado basado en AES de Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Ejecutor de Spark  |  Puerto ejecutor (sin configuración con nombre)  |  Dinámico  |  Cifrado basado en AES de Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  HILO NodeManager  |  spark.shuffle.service.port1  |  7337  |  Cifrado basado en AES de Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `spark.shuffle.service.port` está alojado en YARN NodeManager pero solo lo usa Apache Spark.

**Problema conocido**

En los clústeres con cifrado en tránsito habilitado, la configuración de `spark.yarn.historyServer.address` actualmente utiliza el puerto `18080`, lo que impide acceder a la interfaz de Spark mediante el enlace de seguimiento de YARN. **Versiones afectadas:** de EMR - 7.3.0 a EMR - 7.9.0.

Utilice la siguiente solución alternativa:

1. Modifique la configuración de `spark.yarn.historyServer.address` en `/etc/spark/conf/spark-defaults.conf` para usar el número de puerto `HTTPS` `18480` en un clúster en ejecución.

1. También puede proporcionar este ajuste en las anulaciones de configuración al iniciar el clúster.

Ejemplo de configuración:

```
[
                               {
                                 "Classification": "spark-defaults",
                                 "Properties": {
                                     "spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
                                 }
                               }
  
                               ]
```

## Hadoop YARN
<a name="emr-encryption-support-matrix-hadoop-yarn"></a>

El [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) se ha establecido en `privacy` y usa el cifrado en tránsito basado en SASL. Esto requiere que la autenticación de Kerberos esté habilitada en la configuración de seguridad. Si no desea el cifrado en tránsito para Hadoop RPC, configure `hadoop.rpc.protection = authentication`. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad.

Si sus certificados TLS no cumplen los requisitos de verificación del nombre de host de TLS, puede configurar `hadoop.ssl.hostname.verifier = ALLOW_ALL`. Se recomienda usar la configuración predeterminada de `hadoop.ssl.hostname.verifier = DEFAULT`, que exige la verificación del nombre de host de TLS. 

Para deshabilitar HTTPS en los puntos de conexión de la aplicación web YARN, configure `yarn.http.policy = HTTP_ONLY`. Esto hace que el tráfico a estos puntos de conexión permanezca sin cifrar. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad.

Para obtener más información, consulte [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) en la documentación de Apache Hadoop:


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
| ResourceManager |  yarn.resourcemanager.webapp.address  |  8088  |  TLS  |  emr-7.3.0\$1  | 
| ResourceManager |  yarn.resourcemanager.resource-tracker.address  |  8025  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.scheduler.address  |  8030  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.address  |  8032  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.admin.address  |  8033  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  yarn.timeline-service.address  |  10200  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  yarn.timeline-service.webapp.address  |  8188  |  TLS  |  emr-7.3.0\$1  | 
|  WebApplicationProxy  |  yarn.web-proxy.address  |  20888  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.address  |  8041  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.localizer.address  |  8040  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.webapp.address  |  8044  |  TLS  |  emr-7.3.0\$1  | 
|  NodeManager  |  mapreduce.shuffle.port1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  spark.shuffle.service.port2  |  7337  |  Cifrado basado en AES de Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `mapreduce.shuffle.port` está alojado en YARN NodeManager pero solo lo usa MapReduce Hadoop.

2 `spark.shuffle.service.port` está alojado en YARN NodeManager pero solo lo usa Apache Spark.

**Problema conocido**

La configuración de `yarn.log.server.url` actualmente utiliza HTTP con el puerto 19888, lo que impide acceder a los registros de aplicaciones desde la interfaz de Resource Manager. **Versiones afectadas:** EMR - 7.3.0 a EMR - 7.8.0.

Utilice la siguiente solución alternativa:

1. Modifique la configuración `yarn.log.server.url` en `yarn-site.xml` para utilizar el protocolo `HTTPS` y el número de puerto `19890`.

1. Reinicie YARN Resource Manager: `sudo systemctl restart hadoop-yarn-resourcemanager.service`.

## HDFS de Hadoop
<a name="emr-encryption-support-matrix-hadoop-hdfs"></a>

El nodo de nombre, el nodo de datos y el nodo de diario de Hadoop admiten TLS de forma predeterminada si el cifrado en tránsito está habilitado en los clústeres de EMR.

El [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) se ha establecido en `privacy` y usa el cifrado en tránsito basado en SASL. Esto requiere que la autenticación Kerberos esté habilitada en la configuración de seguridad.

Se recomienda no cambiar los puertos predeterminados que se utilizan para los puntos de conexión HTTPS.

[El cifrado de datos en la transferencia de bloques de HDFS utiliza](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.) AES 256 y requiere que el cifrado en reposo esté habilitado en la configuración de seguridad.

Para obtener más información, consulte [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) en la documentación de Apache Hadoop:


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Namenode  |  dfs.namenode.https-address  |  9871  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Namenode  |  dfs.namenode.rpc-address  |  8020  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datanode  |  dfs.datanode.https.address  |  9865  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datanode  |  dfs.datanode.address  |  9866  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Nodo de diario  |  dfs.journalnode.https-address  |  8481  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Nodo de diario  |  dfs.journalnode.rpc-address  |  8485  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  DFSZKFailoverControlador  |  dfs.ha.zkfc.port  |  8019  |  Ninguno  |  El TLS para ZKFC solo se admite en Hadoop 3.4.0. Consulte [HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919) para más información. La versión 7.1.0 de Amazon EMR se encuentra actualmente en Hadoop 3.3.6. En el futuro, las versiones posteriores de Amazon EMR estarán en Hadoop 3.4.0  | 

## Hadoop MapReduce
<a name="emr-encryption-support-matrix-hadoop-mapreduce"></a>

Hadoop MapReduce, el servidor de historial de trabajos y MapReduce Shuffle admiten TLS de forma predeterminada cuando el cifrado en tránsito está habilitado en los clústeres de EMR.

[La mezcla cifrada de Hadoop utiliza TLS. MapReduce ](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html)

Se recomienda no cambiar los puertos predeterminados para los puntos de conexión HTTPS.

Para obtener más información, consulte [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) en la documentación de Apache Hadoop:


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  JobHistoryServer  |  mapreduce.jobhistory.webapp.https.address  |  198-90  |  TLS  |  emr-7.3.0\$1  | 
|  HILO NodeManager  |  mapreduce.shuffle.port1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `mapreduce.shuffle.port` está alojado en YARN NodeManager pero solo lo usa MapReduce Hadoop.

## Presto
<a name="emr-encryption-support-matrix-presto"></a>

En las versiones 5.6.0 y posteriores de Amazon EMR, la comunicación interna entre el coordinador de Presto y los trabajadores utiliza TLS. Amazon EMR establece todas las configuraciones necesarias para permitir [una comunicación interna segura](https://prestodb.io/docs/current/security/internal-communication.html) en Presto. 

Si el conector utiliza el metaalmacén de Hive como almacén de metadatos, la comunicación entre el comunicador y el metaalmacén de Hive también se cifra con TLS.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Coordinador de Presto  |  http-server.https.port  |  8446  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Trabajador de Presto  |  http-server.https.port  |  8446  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Trino
<a name="emr-encryption-support-matrix-trino"></a>

En las versiones 6.1.0 y posteriores de Amazon EMR, la comunicación interna entre el coordinador y los trabajadores de Presto utiliza TLS. Amazon EMR establece todas las configuraciones necesarias para permitir [una comunicación interna segura](https://trino.io/docs/current/security/internal-communication.html) en Trino. 

Si el conector utiliza el metaalmacén de Hive como almacén de metadatos, la comunicación entre el comunicador y el metaalmacén de Hive también se cifra con TLS.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Coordinador de Trino  |  http-server.https.port  |  8446  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 
|  Trabajador de Trino  |  http-server.https.port  |  8446  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 

## Hive y Tez
<a name="emr-encryption-support-matrix-hive-tez"></a>

De forma predeterminada, el servidor Hive 2, el servidor de metaalmacén Hive, la IU web Hive LLAP Daemon y Hive LLAP intercambian toda la compatibilidad TLS cuando el cifrado en tránsito está habilitado en los clústeres de EMR. Para obtener más información acerca de las configuraciones de Hive, consulte [Propiedades de la configuración](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties).

La IU de Tez alojada en el servidor Tomcat también está habilitada para HTTPS cuando el cifrado en tránsito está habilitado en el clúster de EMR. Sin embargo, HTTPS está desactivado para el servicio de IU web de Tez AM, por lo que los usuarios de AM no tienen acceso al archivo del almacén de claves del agente de escucha SSL que lo abre. También puede habilitar este comportamiento con las configuraciones booleanas `tez.am.tez-ui.webservice.enable.ssl` y `tez.am.tez-ui.webservice.enable.client.auth`.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  HiveServer2.  |  hive.server2.thrift.port  |  10000  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2.  |  hive.server2.thrift.http.port  |  10001  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2.  |  hive.server2.webui.port  |  10002  |  TLS  |  emr-7.3.0\$1  | 
|  HiveMetastoreServer  |  hive.metastore.port  |  9083  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP Daemon  |  hive.llap.daemon.yarn.shuffle.port  |  15551  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP Daemon  |  hive.llap.daemon.web.port  |  15002  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP Daemon  |  hive.llap.daemon.output.service.port  |  15003  |  Ninguno  |  Hive no admite el cifrado en tránsito para este punto de conexión  | 
|  LLAP Daemon  |  hive.llap.management.rpc.port  |  15004  |  Ninguno  |  Hive no admite el cifrado en tránsito para este punto de conexión  | 
|  LLAP Daemon  |  hive.llap.plugin.rpc.port  |  Dinámico  |  Ninguno  |  Hive no admite el cifrado en tránsito para este punto de conexión  | 
|  LLAP Daemon  |  hive.llap.daemon.rpc.port  |  Dinámico  |  Ninguno  |  Hive no admite el cifrado en tránsito para este punto de conexión  | 
|  Web HCat  |  templeton.port  |  50111  |  TLS  |  emr-7.3.0\$1  | 
|  Maestro de aplicación de Tez  |  tez.am.client.am.port-range tez.am.client.am.port-range  |  Dinámico  |  Ninguno  |  Tez no admite el cifrado en tránsito para este punto de conexión  | 
|  Maestro de aplicación de Tez  |  tez.am.tez-ui.webservice.port-range  |  Dinámico  |  Ninguno  |  Está deshabilitado de forma predeterminada. Se puede habilitar mediante las configuraciones de Tez en emr-7.3.0\$1  | 
|  Tarea de Tez  |  N/D: no se puede configurar  |  Dinámico  |  Ninguno  |  Tez no admite el cifrado en tránsito para este punto de conexión  | 
|  Tez UI  |  Se puede configurar mediante el servidor Tomcat en el que está alojada la IU de Tez  |  8080  |  TLS  |  emr-7.3.0\$1  | 

## Flink
<a name="emr-encryption-support-matrix-flink"></a>

 Los puntos de conexión REST de Apache Flink y la comunicación interna entre los procesos de Flink admiten TLS de forma predeterminada cuando se habilita el cifrado en tránsito en los clústeres de EMR. 

 [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled) está establecido en `true` y usa cifrado en tránsito para la comunicación interna entre los procesos de Flink. Si no desea el cifrado en tránsito para la comunicación interna, deshabilite esa configuración. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad. 

 Amazon EMR establece [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled) en `true` y utiliza el cifrado en tránsito para los puntos de conexión REST. Además, Amazon EMR también se establece [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled) en verdadero para utilizar la comunicación TLS con el servidor de historial de Flink. Si no desea el cifrado en tránsito para los puntos REST, deshabilite esas configuraciones. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad. 

Amazon EMR utiliza [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms) para especificar la lista de cifrados que utilizan el cifrado basado en AES. Anule esta configuración para usar los cifrados que desee.

Para obtener más información, consulte [Configuración SSL](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/) en la documentación de Flink.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Servidor de historial de Flink  |  historyserver.web.port  |  8082  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor Rest del administrador de trabajos  |  rest.bind-port rest.port  |  Dinámico  |  TLS  |  emr-7.3.0\$1  | 

## HBase
<a name="emr-encryption-support-matrix-hbase"></a>

 Amazon EMR establece [Secure Hadoop](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) RPC en. `privacy` HMaster y RegionServer utilice el cifrado en tránsito basado en SASL. Esto requiere que la autenticación de Kerberos esté habilitada en la configuración de seguridad. 

Amazon EMR establece `hbase.ssl.enabled` en verdadero y usa TLS para los puntos de conexión de la IU. Si no desea utilizar TLS para la IU de los puntos de conexión, deshabilite esta configuración. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad.

Amazon EMR establece `hbase.rest.ssl.enabled` y `hbase.thrift.ssl.enabled` y usa TLS para los puntos de conexión de los servidores REST y Thirft, respectivamente. Si no desea utilizar TLS para estos puntos de conexión, deshabilite esta configuración. Se recomienda usar la configuración predeterminada para garantizar la máxima seguridad.

A partir de EMR 7.6.0, TLS es compatible con los puntos finales. HMaster RegionServer Amazon EMR también establece `hbase.server.netty.tls.enabled` y `hbase.client.netty.tls.enabled`. Si no desea utilizar TLS para estos puntos de conexión, deshabilite esta configuración. Recomendamos mantener la configuración predeterminada, ya que proporciona cifrado y, por lo tanto, mayor seguridad. *Para obtener más información, consulte la sección [Seguridad a nivel de transporte (TLS) en la comunicación HBase RPC en la Guía](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication) de referencia de Apache. HBase * 


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  HMaster  |  HMaster  |  16 000  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos en emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 y emr-7.0.0\$1 TLS en emr-7.6.0\$1  | 
|  HMaster  |  HMaster INTERFAZ DE USUARIO  |  16010  |  TLS  |  emr-7.3.0\$1  | 
|  RegionServer  |  RegionServer  |  16020  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos en emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 y emr-7.0.0\$1 TLS en emr-7.6.0\$1  | 
|  RegionServer  |  RegionServer Información  |  16030  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Servidor REST  |  Servidor Rest  |  8070  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Servidor REST  |  IU REST  |  8085  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor Thrift de HBase  |  Servidor Thrift  |  9090  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor Thrift de HBase  |  IU del servidor Thrift  |  9095  |  TLS  |  emr-7.3.0\$1  | 

## Phoenix
<a name="emr-encryption-support-matrix-phoenix"></a>

 Si habilitó el cifrado en tránsito en su clúster de EMR, Phoenix Query Server admite la propiedad TLS de `phoenix.queryserver.tls.enabled`, que está establecida de forma predeterminada en `true`. 

Para obtener más información, consulte [ Configuraciones relacionadas con HTTPS](https://phoenix.apache.org/docs/features/query-server#query-server-configuration) en la documentación de Phoenix Query Server.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Servidor de consultas  |  phoenix.queryserver.http.port  |  8765  |  TLS  |  emr-7.3.0\$1  | 

## Oozie
<a name="emr-encryption-support-matrix-oozie"></a>

[OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673) está disponible en Amazon EMR si ejecuta Oozie en Amazon EMR 7.3.0 y versiones posteriores. Si necesita configurar protocolos SSL o TLS personalizados al ejecutar una acción de correo electrónico, puede establecer la propiedad `oozie.email.smtp.ssl.protocols` en el archivo `oozie-site.xml`. De forma predeterminada, si ha activado el cifrado en tránsito, Amazon EMR utiliza el protocolo TLS v1.3.

[OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677) y [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674) están también disponible en Amazon EMR si ejecuta Oozie en Amazon EMR 7.3.0 y versiones posteriores. Esto le permite especificar las propiedades `keyStoreType` y `trustStoreType` en `oozie-site.xml`. OOZIE-3674 añade el parámetro `--insecure` al cliente de Oozie para que pueda ignorar los errores de certificado.

Oozie exige la verificación del nombre de host mediante TLS, lo que significa que cualquier certificado que utilice para el cifrado en tránsito debe cumplir los requisitos de verificación del nombre de host. Si el certificado no cumple los criterios, el clúster podría quedarse atascado en la fase de `oozie share lib update` en la que Amazon EMR aprovisiona el clúster. Se recomienda actualizar los certificados para asegurarse de que cumplen con la verificación del nombre de host. Sin embargo, si no puede actualizar los certificados, puede deshabilitar el SSL para Oozie estableciendo la propiedad de `oozie.https.enabled` en `false` en la configuración del clúster. 


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  EmbeddedOozieServer  |  oozie.https.port  |  11443  |  TLS  |  emr-7.3.0\$1  | 
|  EmbeddedOozieServer  |  oozie.email.smtp.port  |  25  |  TLS  |  emr-7.3.0\$1  | 

## Hue
<a name="emr-encryption-support-matrix-hue"></a>

De forma predeterminada, Hue admite TLS cuando el cifrado en tránsito está habilitado en los clústeres de Amazon EMR. Para obtener más información sobre la configuración de Hue, consulte [Configure Hue with HTTPS / SSL](https://gethue.com/configure-hue-with-https-ssl/). 


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Hue  |  http\$1port  |  8888  |  TLS  |  emr-7.4.0\$1  | 

## Livy
<a name="emr-encryption-support-matrix-livy"></a>

De forma predeterminada, Livy admite TLS cuando el cifrado en tránsito está habilitado en los clústeres de Amazon EMR. Para obtener más información sobre la configuración de Livy, consulte [Habilitación de HTTPS con Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).

A partir de Amazon EMR 7.3.0, si utiliza cifrado en tránsito y autenticación Kerberos, no podrá usar el servidor Livy para aplicaciones de Spark que dependen del metalmacén de Hive. Este problema se solucionó en [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) y se resolvió por completo en [SPARK-44114](https://issues.apache.org/jira/browse/SPARK-44114) cuando la aplicación de Spark de código abierto puede actualizarse a Hive 3. Mientras tanto, puede evitar este problema si establece `hive.metastore.use.SSL` en `false`. Para obtener más información, consulte [Configuración de aplicaciones](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obtener más información, consulte [Habilitación de HTTPS con Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  livy-server  |  livy.server.port  |  8998  |  TLS  |  emr-7.4.0\$1  | 

## JupyterEnterpriseGateway
<a name="emr-encryption-matrix-jupyter-enterprise"></a>

De forma predeterminada, Jupyter Enterprise Gateway admite TLS cuando el cifrado en tránsito está habilitado en los clústeres de Amazon EMR. Para obtener más información sobre la configuración de Jupyter Enterprise Gateway, consulte [Securing Enterprise Gateway Server](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server).


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1enterprise\$1gateway  |  c. .puerto EnterpriseGatewayApp  |  9547  |  TLS  |  emr-7.4.0\$1  | 

## JupyterHub
<a name="emr-encryption-matrix-jupyter-hub"></a>

De forma predeterminada, JupyterHub admite TLS cuando el cifrado en tránsito está habilitado en los clústeres de Amazon EMR. Para obtener más información, consulte [Habilitar el cifrado SSL](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption) en la documentación. JupyterHub No se recomienda desactivar el cifrado. 


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1hub  |  c. JupyterHub .port  |  9443  |  TLS  |  emr-5.14.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Zeppelin
<a name="emr-encryption-matrix-zeppelin"></a>

 De forma predeterminada, Zeppelin admite TLS cuando habilita el cifrado en tránsito en su clúster de EMR. Para obtener más información sobre las configuraciones de Zeppelin, consulte [Configuración SSL](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration) en la documentación de Zeppelin. 


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Zeppelin  |  zeppelin.server.ssl.port  |  8890  |  TLS  |  7.3.0\$1  | 

## ZooKeeper
<a name="emr-encryption-matrix-zookeeper"></a>

Amazon EMR define `serverCnxnFactory` en `org.apache.zookeeper.server.NettyServerCnxnFactory` para habilitar TLS en el quórum de Zookeeper y en la comunicación con los clientes.

`secureClientPort` especifica el puerto que recibe las conexiones TLS. Si el cliente no admite conexiones TLS con Zookeeper, puede conectarse al puerto inseguro 2181 definido en `clientPort`. Usted puede sobrescribir o desactivar estos dos puertos.

Amazon EMR también define `sslQuorum` y `admin.forceHttps` en `true` para habilitar TLS en la comunicación del quórum y en el servidor de administración. Si no desea cifrado en tránsito para el quórum y el servidor de administración, puede desactivar esas configuraciones. Recomendamos mantener las configuraciones predeterminadas, ya que ofrecen un mayor nivel de seguridad.

Para obtener más información, consulte [Encryption, Authentication, Authorization Options](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions) en la documentación de Zookeeper.


| Componente | punto de enlace | Puerto | Mecanismo de cifrado en tránsito | Compatible desde la versión | 
| --- | --- | --- | --- | --- | 
|  Zookeeper Server  |  secureClientPort  |  2281  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper Server  |  Puertos de quórum  |  Hay dos: Los seguidores usan 2888 para conectarse al líder. La elección del líder usa 3888.  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper Server  |  admin.serverPort  |  8341  |  TLS  |  emr-7.4.0\$1  |