Utilisation deSSL/TLSet configuration LDAPS avec Presto sur Amazon EMR - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation deSSL/TLSet configuration LDAPS avec Presto sur Amazon EMR

Avec les EMR versions 5.6.0 et ultérieures d'Amazon, vous pouvez SSL activer/ TLS pour sécuriser les communications internes entre les nœuds Presto. Pour ce faire, vous devez définir une configuration de sécurité pour le chiffrement en transit. Pour plus d'informations, consultez les sections Options de chiffrement et Utiliser les configurations de sécurité pour configurer la sécurité du cluster dans le Amazon EMR Management Guide.

Lorsque vous utilisez une configuration de sécurité avec chiffrement en transit, Amazon EMR effectue les opérations suivantes pour Presto :

  • Il distribue les artefacts de chiffrement, ou certificats, que vous spécifiez pour le chiffrement en transit sur l'ensemble du cluster Presto. Pour plus d'informations, consultez Mise à disposition des certificats de chiffrement des données en transit.

  • Il définit les propriétés suivantes à l'aide de la classification de configuration presto-config, qui correspond au fichier config.properties pour Presto :

    • Définit http-server.http.enabled la valeur false sur tous les nœuds, ce qui la désactive HTTP en faveur deHTTPS. Cela nécessite que vous fournissiez des certificats qui fonctionnent pour le public et le privé DNS lors de la configuration de sécurité pour le chiffrement en transit. Pour ce faire, vous pouvez utiliser des certificats SAN (nom alternatif du sujet) qui prennent en charge plusieurs domaines.

    • Il définit les valeurs http-server.https.*. Pour plus de détails sur la configuration, consultez LDAPl'authentification dans la documentation Presto.

  • Pour Presto SQL (Trino) sur les EMR versions 6.1.0 et ultérieures, Amazon configure EMR automatiquement une clé secrète partagée pour une communication interne sécurisée entre les nœuds du cluster. Vous n'avez pas besoin d'effectuer de configuration supplémentaire pour activer cette fonctionnalité de sécurité, et vous pouvez remplacer la configuration par votre propre clé secrète. Pour plus d'informations sur l'authentification interne de Trino, consultez la documentation Trino 353 : Communication interne sécurisée.

En outre, avec les EMR versions 5.10.0 et ultérieures d'Amazon, vous pouvez configurer l'LDAPauthentification pour les connexions des clients au coordinateur Presto à l'aide de. HTTPS Cette configuration utilise secure LDAP (LDAPS). TLSdoit être activé sur votre LDAP serveur, et le cluster Presto doit utiliser une configuration de sécurité avec le chiffrement des données en transit activé. Une configuration supplémentaire est requise. Les options de configuration sont différentes selon la version d'Amazon EMR que vous utilisez. Pour de plus amples informations, veuillez consulter Utilisation de LDAP l'authentification pour Presto sur Amazon EMR.

Presto sur Amazon EMR utilise le port 8446 pour le mode interne HTTPS par défaut. Le port utilisé pour la communication interne doit être le même que celui utilisé pour l'HTTPSaccès du client au coordinateur Presto. La propriété http-server.https.port dans la classification de configuration presto-config spécifie le port.