Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat konfigurasi keamanan Amazon EMR untuk integrasi LDAP
<a name="ldap-setup-security"></a>

Sebelum Anda dapat meluncurkan kluster EMR dengan integrasi LDAP, gunakan langkah-langkah [Buat konfigurasi keamanan dengan konsol EMR Amazon atau dengan AWS CLI](emr-create-security-configuration.md) untuk membuat konfigurasi keamanan EMR Amazon untuk klaster. Selesaikan konfigurasi berikut di `LDAPConfiguration` blok di bawah`AuthenticationConfiguration`, atau di bidang yang sesuai di bagian Konfigurasi **Keamanan konsol** EMR Amazon:

**`EnableLDAPAuthentication`**  
Opsi konsol: **Protokol otentikasi:** LDAP  
Untuk menggunakan integrasi LDAP, setel opsi ini ke `true` atau pilih sebagai protokol otentikasi Anda saat Anda membuat klaster di konsol. Secara default, `EnableLDAPAuthentication` adalah `true` saat Anda membuat konfigurasi keamanan di konsol EMR Amazon.

**`LDAPServerURL`**  
Opsi konsol: Lokasi **server LDAP**  
Lokasi server LDAP termasuk awalan:. `ldaps://location_of_server`

**`BindCertificateARN`**  
Opsi konsol: Sertifikat **SSL LDAP**  
 AWS Secrets Manager ARN yang berisi sertifikat untuk menandatangani sertifikat SSL yang digunakan server LDAP. Jika server LDAP Anda ditandatangani oleh Public Certificate Authority (CA), Anda dapat memberikan AWS Secrets Manager ARN dengan file kosong. Untuk informasi selengkapnya tentang cara menyimpan sertifikat di Secrets Manager, lihat[Simpan sertifikat TLS di AWS Secrets Manager](emr-ranger-tls-certificates.md).

**`BindCredentialsARN`**  
Opsi konsol: **Server LDAP mengikat kredensyal**  
 AWS Secrets Manager ARN yang berisi pengguna admin LDAP mengikat kredensyal. Kredensyal disimpan sebagai objek JSON. Hanya ada satu pasangan kunci-nilai dalam rahasia ini; kunci dalam pasangan adalah nama pengguna, dan nilainya adalah kata sandi. Misalnya, `{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`. Ini adalah bidang opsional kecuali Anda mengaktifkan login SSH untuk cluster EMR Anda. Dalam banyak konfigurasi, instance Active Directory memerlukan kredensyal bind untuk memungkinkan SSSD menyinkronkan pengguna.

**`LDAPAccessFilter`**  
Opsi konsol: Filter **akses LDAP**  
Menentukan subset objek dalam server LDAP Anda yang dapat mengautentikasi. Misalnya, jika semua yang ingin Anda berikan akses ke semua pengguna dengan kelas `posixAccount` objek di server LDAP Anda, tentukan filter akses sebagai`(objectClass=posixAccount)`.

**`LDAPUserSearchBase`**  
Opsi konsol: **Basis pencarian pengguna LDAP**  
Basis pencarian yang dimiliki pengguna Anda di dalam server LDAP Anda. Misalnya, `cn=People,dc=example,dc=com`.

**`LDAPGroupSearchBase`**  
Opsi konsol: **Basis pencarian grup LDAP**  
Basis pencarian yang dimiliki grup Anda di dalam server LDAP Anda. Misalnya, `cn=Groups,dc=example,dc=com`.

**`EnableSSHLogin`**  
Opsi konsol: **Login SSH**  
Menentukan apakah atau tidak untuk mengizinkan otentikasi password dengan kredensyal LDAP. Kami tidak menyarankan Anda mengaktifkan opsi ini. Pasangan kunci adalah rute yang lebih aman untuk memungkinkan akses ke cluster EMR. Bidang ini opsional dan default ke. `false` 

**`LDAPServerType`**  
Opsi konsol: Jenis **server LDAP**  
Menentukan jenis server LDAP yang terhubung dengan Amazon EMR. Opsi yang didukung adalah Active Directory dan OpenLDAP. Jenis server LDAP lainnya mungkin berfungsi, tetapi Amazon EMR tidak secara resmi mendukung jenis server lainnya. Untuk informasi selengkapnya, lihat [Komponen LDAP untuk Amazon EMR](ldap-components.md).

**`ActiveDirectoryConfigurations`**  
Sub-blok yang diperlukan untuk konfigurasi keamanan yang menggunakan jenis server Active Directory.

**`ADDomain`**  
Opsi konsol: **Domain Direktori Aktif**  
Nama domain yang digunakan untuk membuat User Principal Name (UPN) untuk otentikasi pengguna dengan konfigurasi keamanan yang menggunakan jenis server Active Directory.

## Pertimbangan untuk konfigurasi keamanan dengan LDAP dan Amazon EMR
<a name="ldap-setup-security-considerations"></a>
+ Untuk membuat konfigurasi keamanan dengan integrasi Amazon EMR LDAP, Anda harus menggunakan enkripsi dalam perjalanan. Untuk informasi tentang enkripsi dalam perjalanan, lihat[Enkripsi data saat istirahat dan dalam perjalanan dengan Amazon EMR](emr-data-encryption.md).
+ Anda tidak dapat menentukan konfigurasi Kerberos dalam konfigurasi keamanan yang sama. Amazon EMR menyediakan KDC thar didedikasikan untuk secara otomatis, dan mengelola kata sandi admin untuk KDC ini. Pengguna tidak dapat mengakses kata sandi admin ini.
+ Anda tidak dapat menentukan peran runtime IAM dan AWS Lake Formation dalam konfigurasi keamanan yang sama.
+ `LDAPServerURL`Harus memiliki `ldaps://` protokol dalam nilainya.
+ Tidak `LDAPAccessFilter` bisa kosong. 

## Gunakan LDAP dengan integrasi Apache Ranger untuk Amazon EMR
<a name="ldap-setup-ranger"></a>

Dengan integrasi LDAP untuk Amazon EMR, Anda dapat lebih berintegrasi dengan Apache Ranger. Saat Anda menarik pengguna LDAP Anda ke Ranger, Anda kemudian dapat mengaitkan pengguna tersebut dengan server kebijakan Apache Ranger untuk diintegrasikan dengan Amazon EMR dan aplikasi lainnya. Untuk melakukan ini, tentukan `RangerConfiguration` bidang `AuthorizationConfiguration` dalam konfigurasi keamanan yang Anda gunakan dengan klaster LDAP Anda. Untuk informasi selengkapnya tentang cara mengatur konfigurasi keamanan, lihat[Buat konfigurasi keamanan EMR](emr-ranger-security-config.md).

Saat Anda menggunakan LDAP dengan Amazon EMR, Anda tidak perlu menyediakan `KerberosConfiguration` integrasi EMR Amazon untuk Apache Ranger.