Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Avant de lancer un cluster EMR avec intégration LDAP, suivez les étapes dans Créez une configuration de sécurité à l'aide de la console Amazon EMR ou du AWS CLI pour créer une configuration de sécurité Amazon EMR pour le cluster. Complétez les configurations suivantes dans le bloc LDAPConfiguration sous AuthenticationConfiguration ou dans les champs correspondants de la section Configurations de sécurité de la console Amazon EMR :
EnableLDAPAuthentication-
Option de console : Protocole d'authentification : LDAP
Pour utiliser l'intégration LDAP, définissez cette option sur
trueou sélectionnez-la comme protocole d'authentification lorsque vous créez un cluster dans la console. Par défaut,EnableLDAPAuthenticationesttruelorsque vous créez une configuration de sécurité dans la console Amazon EMR. LDAPServerURL-
Option de console : Emplacement du serveur LDAP
L'emplacement du serveur LDAP, y compris le préfixe :
ldaps://.location_of_server BindCertificateARN-
Option de console : Certificat SSL LDAP
L' AWS Secrets Manager ARN qui contient le certificat pour signer le certificat SSL utilisé par le serveur LDAP. Si votre serveur LDAP est signé par une autorité de certification (CA) publique, vous pouvez fournir un AWS Secrets Manager ARN avec un fichier vide. Pour plus d'informations sur le stockage de votre certificat dans Secrets Manager, consultez Stockez les certificats TLS dans AWS Secrets Manager..
BindCredentialsARN-
Option de console : Informations d'identification de liaison du serveur LDAP
Un AWS Secrets Manager ARN qui contient les informations d'identification de liaison utilisateur de l'administrateur LDAP. Les informations d'identification sont stockées sous forme d'objet JSON. Il n'y a qu'une seule paire clé-valeur dans ce secret. La clé de la paire est le nom d'utilisateur et la valeur est le mot de passe. Par exemple,
{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}. Ce champ est facultatif, sauf si vous activez la connexion SSH pour votre cluster EMR. Dans de nombreuses configurations, les instances Active Directory nécessitent des informations d'identification de liaison pour permettre à SSSD de synchroniser les utilisateurs. LDAPAccessFilter-
Option de console : Filtre d'accès LDAP
Spécifie le sous-ensemble d'objets de votre serveur LDAP qui peuvent s'authentifier. Par exemple, si vous souhaitez uniquement accorder l'accès à tous les utilisateurs de la classe d'objet
posixAccountde votre serveur LDAP, définissez le filtre d'accès comme(objectClass=posixAccount). LDAPUserSearchBase-
Option de console : Base de recherche d'utilisateurs LDAP
La base de recherche à laquelle appartiennent vos utilisateurs au sein de votre serveur LDAP. Par exemple,
cn=People,dc=example,dc=com. LDAPGroupSearchBase-
Option de console : base de recherche de groupes LDAP
La base de recherche à laquelle appartiennent vos groupes au sein de votre serveur LDAP. Par exemple,
cn=Groups,dc=example,dc=com. EnableSSHLogin-
Option de console : Connexion SSH
Spécifie s'il faut autoriser ou non l'authentification par mot de passe avec les informations d'identification LDAP. Nous vous déconseillons d'activer cette option. Les paires de clés constituent une voie plus sécurisée pour autoriser l'accès aux clusters EMR. Ce champ est facultatif et contient
falsepar défaut. LDAPServerType-
Option de console : Type de serveur LDAP
Spécifie le type de serveur LDAP auquel Amazon EMR se connecte. Les options prises en charge sont Active Directory et OpenLDAP. D'autres types de serveurs LDAP peuvent fonctionner, mais Amazon EMR ne prend pas officiellement en charge les autres types de serveurs. Pour de plus amples informations, veuillez consulter Composants LDAP pour Amazon EMR.
ActiveDirectoryConfigurations-
Sous-bloc obligatoire pour les configurations de sécurité utilisant le type de serveur Active Directory.
ADDomain-
Option de console : Domaine Active Directory
Le nom de domaine utilisé pour créer le nom d'utilisateur principal (UPN) pour l'authentification des utilisateurs avec des configurations de sécurité utilisant le type de serveur Active Directory.
Considérations relatives aux configurations de sécurité avec LDAP et Amazon EMR
-
Pour créer une configuration de sécurité avec l'intégration d'Amazon EMR LDAP, vous devez utiliser le chiffrement en transit. Pour plus d'informations sur le chiffrement en transit, consultez Chiffrez les données au repos et en transit avec Amazon EMR.
-
Vous ne pouvez pas définir la configuration Kerberos dans la même configuration de sécurité. Amazon EMR fournit un KDC dédié au KDC automatiquement et gère le mot de passe administrateur de ce KDC. Les utilisateurs ne peuvent pas accéder à ce mot de passe administrateur.
-
Vous ne pouvez pas définir de rôles d'exécution IAM AWS Lake Formation dans la même configuration de sécurité.
-
Le
LDAPServerURLdoit avoir le protocoleldaps://dans sa valeur. -
Le
LDAPAccessFilterne peut pas être vide.
Utilisation de LDAP avec l'intégration Apache Ranger pour Amazon EMR
Grâce à l'intégration LDAP pour Amazon EMR, vous pouvez poursuivre l'intégration avec Apache Ranger. Lorsque vous insérez des utilisateurs .your LDAP dans Ranger, vous pouvez ensuite associer ces utilisateurs à un serveur de règles Apache Ranger pour les intégrer à Amazon EMR et à d'autres applications. Pour ce faire, définissez le champ RangerConfiguration dans AuthorizationConfiguration dans la configuration de sécurité que vous utilisez avec votre cluster LDAP. Pour plus d'informations sur la configuration de la sécurité, consultez Création de la configuration de sécurité EMR.
Lorsque vous utilisez LDAP avec Amazon EMR, il n'est pas nécessaire de fournir une KerberosConfiguration avec l'intégration Amazon EMR pour Apache Ranger.
