翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 転送中の暗号化について
[Apache Spark](https://aws.amazon.com/emr/features/spark/)、[Apache Hive](https://aws.amazon.com/emr/features/hive/)、[Presto](https://aws.amazon.com/emr/features/presto/) などのオープンソースフレームワークを実行するように EMR クラスターを設定できます。これらのオープンソースフレームワークには、クラスターの EC2 インスタンスで実行される一連のプロセスがあります。これらのプロセスはそれぞれ、ネットワーク通信用のネットワークエンドポイントをホストできます。
EMR クラスターで転送中の暗号化が有効になっている場合、ネットワークエンドポイントによって暗号化メカニズムが異なります。転送中の暗号化でサポートされる特定のオープンソースフレームワークネットワークエンドポイント、関連する暗号化メカニズム、およびサポートを追加した Amazon EMR リリースの詳細については、以下のセクションを参照してください。各オープンソースアプリケーションには、変更できるさまざまなベストプラクティスとオープンソースフレームワーク設定がある場合もあります。
ほとんどの転送中の暗号化範囲では、転送中の暗号化と Kerberos の両方を有効にすることをお勧めします。転送中の暗号化のみを有効にすると、転送中の暗号化は TLS をサポートするネットワークエンドポイントでのみ使用できます。一部のオープンソースフレームワークのネットワークエンドポイントでは、転送中の暗号化に Simple Authentication and Security Layer (SASL) を使用するため、Kerberos が必要です。
Amazon EMR 7.x.x リリースでサポートされていないオープンソースフレームワークは含まれていないことに注意してください。
## Spark
セキュリティ設定で転送中の暗号化を有効にすると、`spark.authenticate` は自動的に `true` に設定され、RPC 接続に AES ベースの暗号化が使用されます。
Amazon EMR 7.3.0 以降では、転送中の暗号化と Kerberos 認証を使用している場合、Hive メタストアに依存する Spark アプリケーションは使用できません。Hive 3 は、[HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) でこの問題を修正しました。オープンソースの Spark が Hive 3 にアップグレードできる場合、[HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114) はこの問題を完全に解決します。その間、`hive.metastore.use.SSL` を `false` に設定することで、この問題を回避できます。詳細については、「[アプリケーションの設定](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html)」を参照してください。
詳細については、Apache Spark ドキュメントの「[Spark security](https://spark.apache.org/docs/latest/security)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Spark History Server | spark.ssl.history.port | 18480 | TLS | emr-5.3.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Spark UI | spark.ui.port | 4440 | TLS | emr-5.3.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Spark ドライバー | spark.driver.port | 動的 | Spark AES ベースの暗号化 | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Spark Executor | Executor ポート (名前なし構成) | 動的 | Spark AES ベースの暗号化 | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| YARN NodeManager | spark.shuffle.service.port1 | 7337 | Spark AES ベースの暗号化 | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
1`spark.shuffle.service.port` は YARN NodeManager でホストされますが、Apache Spark でのみ使用されます。
**[既知の問題]**
転送時に有効になっているクラスター `spark.yarn.historyServer.address` 設定は現在ポート `18080` を使用しています。これにより、YARN 追跡 URL を使用した spark アプリケーション UI へのアクセスが防止されます。**影響を受けるバージョン:** EMR - 7.3.0〜EMR - 7.9.0。
以下の回避策を使用します:
1. `/etc/spark/conf/spark-defaults.conf` で `spark.yarn.historyServer.address` 設定を変更して、実行中のクラスターの `HTTPS` ポート番号 `18480` を使用します。
1. これは、クラスターの起動中に設定オーバーライドで提供することもできます。
設定例:
```
[
{
"Classification": "spark-defaults",
"Properties": {
"spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
}
}
]
```
## Hadoop YARN
[Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) は `privacy` に設定され、SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。Hadoop RPC の転送中の暗号化を希望しない場合は、`hadoop.rpc.protection = authentication` を設定します。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
TLS 証明書が TLS ホスト名の検証要件を満たしていない場合は、`hadoop.ssl.hostname.verifier = ALLOW_ALL` を設定できます。TLS ホスト名の検証を強制する `hadoop.ssl.hostname.verifier = DEFAULT` のデフォルト設定を使用することをお勧めします。
YARN ウェブアプリケーションエンドポイントの HTTPS を無効にするには、`yarn.http.policy = HTTP_ONLY` を設定します。これにより、これらのエンドポイントへのトラフィックが暗号化されないままになります。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
詳細については、Apache Hadoop ドキュメントの「[Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| ResourceManager | yarn.resourcemanager.webapp.address | 8088 | TLS | emr-7.3.0\$1 |
| ResourceManager | yarn.resourcemanager.resource-tracker.address | 8025 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| ResourceManager | yarn.resourcemanager.scheduler.address | 8030 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| ResourceManager | yarn.resourcemanager.address | 8032 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| ResourceManager | yarn.resourcemanager.admin.address | 8033 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| TimelineServer | yarn.timeline-service.address | 10200 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| TimelineServer | yarn.timeline-service.webapp.address | 8188 | TLS | emr-7.3.0\$1 |
| WebApplicationProxy | yarn.web-proxy.address | 20888 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| NodeManager | yarn.nodemanager.address | 8041 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| NodeManager | yarn.nodemanager.localizer.address | 8040 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| NodeManager | yarn.nodemanager.webapp.address | 8044 | TLS | emr-7.3.0\$1 |
| NodeManager | mapreduce.shuffle.port1 | 13562 | TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| NodeManager | spark.shuffle.service.port2 | 7337 | Spark AES ベースの暗号化 | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
1 `mapreduce.shuffle.port` は YARN NodeManager でホストされますが、Hadoop MapReduce でのみ使用されます。
2`spark.shuffle.service.port` は YARN NodeManager でホストされますが、Apache Spark でのみ使用されます。
**[既知の問題]**
`yarn.log.server.url` 設定では、現在ポート 19888 で HTTP を使用しています。これにより、Resource Manager UI からアプリケーションログにアクセスできなくなります。**影響を受けるバージョン:** EMR - 7.3.0〜EMR - 7.8.0。
以下の回避策を使用します:
1. `HTTPS` プロトコルとポート番号 `19890` を使用するように `yarn-site.xml` の `yarn.log.server.url` 設定を変更します。
1. YARN リソースマネージャーを再起動します: `sudo systemctl restart hadoop-yarn-resourcemanager.service`。
## Hadoop HDFS
EMR クラスターで転送中の暗号化が有効になっている場合、Hadoop ネームノード、データノード、ジャーナルノードはすべてデフォルトで TLS をサポートします。
[Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) は `privacy` に設定され、SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。
HTTPS エンドポイントに使用されるデフォルトのポートを変更しないことをお勧めします。
[HDFS ブロックのデータ転送でのデータ暗号化](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.)では、AES 256 が使用され、セキュリティ設定で保管時の暗号化を有効にする必要があります。
詳細については、Apache Hadoop ドキュメントの「[Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Namenode | dfs.namenode.https-address | 9871 | TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Namenode | dfs.namenode.rpc-address | 8020 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Datanode | dfs.datanode.https.address | 9865 | TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Datanode | dfs.datanode.address | 9866 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Journal Node | dfs.journalnode.https-address | 8481 | TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Journal Node | dfs.journalnode.rpc-address | 8485 | SASL \$1 Kerberos | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| DFSZKFailoverController | dfs.ha.zkfc.port | 8019 | なし | ZKFC の TLS は Hadoop 3.4.0 でのみサポートされています。詳細については、「[HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919)」を参照してください。Amazon EMR リリース 7.1.0 は現在 Hadoop 3.3.6 に対応しています。将来の Amazon EMR のリリースは Hadoop 3.4.0 に対応していきます。 |
## Hadoop MapReduce
EMR クラスターで転送中の暗号化が有効になっている場合、Hadoop MapReduce、ジョブ履歴サーバー、MapReduce はすべてデフォルトで TLS をサポートします。
[Hadoop MapReduce Encrypted Shuffle](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html) では TLS が使用されます。
HTTPS エンドポイントのデフォルトポートを変更しないことをお勧めします。
詳細については、Apache Hadoop ドキュメントの「[Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| JobHistoryServer | mapreduce.jobhistory.webapp.https.address | 19890 | TLS | emr-7.3.0\$1 |
| YARN NodeManager | mapreduce.shuffle.port1 | 13562 | TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
1`mapreduce.shuffle.port` は YARN NodeManager でホストされますが、Hadoop MapReduce でのみ使用されます。
## Presto
Amazon EMR リリース 5.6.0 以降では、Presto コーディネーターとワーカー間の内部通信は、TLS を使用します。Amazon EMR が Presto で[安全な内部通信](https://prestodb.io/docs/current/security/internal-communication.html)を可能にするために必要なすべての設定をセットアップします。
コネクタがメタデータストアとして Hive メタストアを使用する場合、コミュニケーターと Hive メタストア間の通信も TLS で暗号化されます。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Presto コーディネーター | http-server.https.port | 8446 | TLS | emr-5.6.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
| Presto ワーカー | http-server.https.port | 8446 | TLS | emr-5.6.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
## Trino
Amazon EMR リリース 6.1.0 以降では、Presto コーディネーターとワーカー間の内部通信は、TLS を使用します。Amazon EMR が Trino で[安全な内部通信](https://trino.io/docs/current/security/internal-communication.html)を可能にするために必要なすべての設定をセットアップします。
コネクタがメタデータストアとして Hive メタストアを使用する場合、コミュニケーターと Hive メタストア間の通信も TLS で暗号化されます。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Trino コーディネーター | http-server.https.port | 8446 | TLS | emr-6.1.0\$1、emr-7.0.0\$1 |
| Trino ワーカー | http-server.https.port | 8446 | TLS | emr-6.1.0\$1、emr-7.0.0\$1 |
## Hive と Tez
デフォルトでは、EMR クラスターで転送中の暗号化が有効になっている場合、Hive サーバー 2、Hive メタストアサーバー、Hive LLAP Daemon ウェブ UI、Hive LLAP シャッフルはすべて TLS をサポートします。Hive の設定の詳細については、「[Configuration properties](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties)」を参照してください。
Tomcat サーバーでホストされている Tez UI は、EMR クラスターで転送中の暗号化が有効になっている場合も HTTPS が有効になります。ただし、Tez AM ウェブ UI サービスでは HTTPS が無効になっているため、AM ユーザーは開いている SSL リスナーのキーストアファイルにアクセスできません。この動作は、ブール値設定 `tez.am.tez-ui.webservice.enable.ssl` と `tez.am.tez-ui.webservice.enable.client.auth` で有効にすることもできます。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| HiveServer2 | hive.server2.thrift.port | 10000 | TLS | emr-6.9.0\$1、emr-7.0.0\$1 |
| HiveServer2 | hive.server2.thrift.http.port | 10001 | TLS | emr-6.9.0\$1、emr-7.0.0\$1 |
| HiveServer2 | hive.server2.webui.port | 10002 | TLS | emr-7.3.0\$1 |
| HiveMetastoreServer | hive.metastore.port | 9083 | TLS | emr-7.3.0\$1 |
| LLAP Daemon | hive.llap.daemon.yarn.shuffle.port | 15551 | TLS | emr-7.3.0\$1 |
| LLAP Daemon | hive.llap.daemon.web.port | 15002 | TLS | emr-7.3.0\$1 |
| LLAP Daemon | hive.llap.daemon.output.service.port | 15003 | なし | Hive はこのエンドポイントの転送中の暗号化をサポートしていません |
| LLAP Daemon | hive.llap.management.rpc.port | 15004 | なし | Hive はこのエンドポイントの転送中の暗号化をサポートしていません |
| LLAP Daemon | hive.llap.plugin.rpc.port | 動的 | なし | Hive はこのエンドポイントの転送中の暗号化をサポートしていません |
| LLAP Daemon | hive.llap.daemon.rpc.port | 動的 | なし | Hive はこのエンドポイントの転送中の暗号化をサポートしていません |
| WebHCat | templeton.port | 50111 | TLS | emr-7.3.0\$1 |
| Tez Application Master | tez.am.client.am.port-range tez.am.task.am.port-range | 動的 | なし | Tez はこのエンドポイントの転送中の暗号化をサポートしていません |
| Tez Application Master | tez.am.tez-ui.webservice.port-range | 動的 | なし | デフォルトでは無効になっています。emr-7.3.0\$1 の Tez 設定を使用して有効にできます |
| Tez Task | 該当なし - 設定不可 | 動的 | なし | Tez はこのエンドポイントの転送中の暗号化をサポートしていません |
| Tez UI | Tez UI がホストされている Tomcat サーバー経由で設定できます | 8080 | TLS | emr-7.3.0\$1 |
## Flink
EMR クラスターで転送中の暗号化を有効にすると、Apache Flink REST エンドポイントと flink プロセス間の内部通信はデフォルトで TLS をサポートします。
[https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled) は `true` に設定され、Flink プロセス間の内部通信に転送中の暗号化を使用します。内部通信の転送中の暗号化を希望しない場合は、その設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
Amazon EMR は [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled) を `true` に設定し、REST エンドポイントの転送中の暗号化を使用します。さらに、Amazon EMR は [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled) を true に設定して、Flink 履歴サーバーとの TLS 通信を使用します。REST ポイントの転送中の暗号化を希望しない場合は、これらの設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
Amazon EMR は [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms) を使用します。AES ベースの暗号化を使用する暗号のリストを指定します。この設定を上書きして、必要な暗号を使用します。
詳細については、Flink ドキュメントの「[SSL Setup](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Flink History Server | historyserver.web.port | 8082 | TLS | emr-7.3.0\$1 |
| Job Manager Rest Server | rest.bind-port rest.port | 動的 | TLS | emr-7.3.0\$1 |
## HBase
Amazon EMR は [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) を `privacy` に設定します。HMaster と RegionServer は SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。
Amazon EMR は `hbase.ssl.enabled` を true に設定し、UI エンドポイントに TLS を使用します。UI エンドポイントに TLS を使用しない場合は、この設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
Amazon EMR は `hbase.rest.ssl.enabled` と `hbase.thrift.ssl.enabled` を設定し、REST および Thirft サーバーエンドポイントにそれぞれ TLS を使用します。これらのエンドポイントに TLS を使用しない場合は、この設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
EMR 7.6.0 以降、TLS は HMaster エンドポイントと RegionServer エンドポイントでサポートされています。Amazon EMR は `hbase.server.netty.tls.enabled` と `hbase.client.netty.tls.enabled` も設定します。これらのエンドポイントに TLS を使用しない場合は、この設定を無効にします。暗号化とより高いセキュリティを提供するデフォルト設定を使用することをお勧めします。詳細については、「*Apache HBase Reference Guid*e」の「[Transport Level Security (TLS) in HBase RPC communication](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| HMaster | HMaster | 16000 | SASL \$1 Kerberos TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1 および emr-7.0.0\$1 の SASL \$1 Kerberos emr-7.6.0\$1 の TLS |
| HMaster | HMaster UI | 16010 | TLS | emr-7.3.0\$1 |
| RegionServer | RegionServer | 16020 | SASL \$1 Kerberos TLS | emr-4.8.0\$1、emr-5.0.0\$1、emr-6.0.0\$1 および emr-7.0.0\$1 の SASL \$1 Kerberos emr-7.6.0\$1 の TLS |
| RegionServer | RegionServer 情報 | 16030 | TLS | emr-7.3.0\$1 |
| HBase Rest Server | Rest Server | 8070 | TLS | emr-7.3.0\$1 |
| HBase Rest Server | REST UI | 8085 | TLS | emr-7.3.0\$1 |
| Hbase Thrift Server | Thrift Server | 9090 | TLS | emr-7.3.0\$1 |
| Hbase Thrift Server | Thrift Server UI | 9095 | TLS | emr-7.3.0\$1 |
## Phoenix
EMR クラスターで転送中の暗号化を有効にした場合、Phoenix クエリサーバーはデフォルトで `true` に設定されている TLS プロパティ `phoenix.queryserver.tls.enabled` をサポートします。
詳細については、Phoenix クエリサーバードキュメントの「[Configurations relating to HTTPS](https://phoenix.apache.org/docs/features/query-server#query-server-configuration)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Query Server | phoenix.queryserver.http.port | 8765 | TLS | emr-7.3.0\$1 |
## Oozie
[OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673) は、Amazon EMR 7.3.0 以降で Oozie を実行する場合、Amazon EMR で使用できます。E メールアクションを実行するときにカスタム SSL または TLS プロトコルを設定する必要がある場合は、`oozie-site.xml` ファイルで `oozie.email.smtp.ssl.protocols` プロパティを設定できます。デフォルトでは、転送時の暗号化を有効にした場合、Amazon EMR は TLS v1.3 プロトコルを使用します。
[OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677) と [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674) は、Amazon EMR 7.3.0 以降で Oozie を実行する場合も Amazon EMR で使用できます。これにより、`oozie-site.xml` の `trustStoreType` および `keyStoreType` のプロパティを指定できます。OOZIE-3674 はパラメータ `--insecure` を Oozie クライアントに追加し、証明書エラーを無視できるようにします。
Oozie は TLS ホスト名の検証を適用します。つまり、転送中の暗号化に使用する証明書は、ホスト名の検証要件を満たしている必要があります。証明書が基準を満たしていない場合、Amazon EMR がクラスターをプロビジョニングするときに、クラスターが `oozie share lib update` ステージでスタックする可能性があります。証明書を更新して、ホスト名の検証に準拠していることを確認することをお勧めします。ただし、証明書を更新できない場合は、クラスター設定で `oozie.https.enabled` プロパティを `false` に設定することで、SSL for Oozie を無効にすることができます。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| EmbeddedOozieServer | oozie.https.port | 11443 | TLS | emr-7.3.0\$1 |
| EmbeddedOozieServer | oozie.email.smtp.port | 25 | TLS | emr-7.3.0\$1 |
## Hue
デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、Hue は TLS をサポートします。Hue 設定の詳細については、「[ConfigureHue with HTTPS / SSL](https://gethue.com/configure-hue-with-https-ssl/)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Hue | http\$1port | 8888 | TLS | emr-7.4.0\$1 |
## Livy
デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、Livy は TLS をサポートします。Livy 設定の詳細については、「[Enabling HTTPS with Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html)」を参照してください。
Amazon EMR 7.3.0 以降では、転送中の暗号化と Kerberos 認証を使用している場合、Hive メタストアに依存する Spark アプリケーションの Livy サーバーは使用できません。この問題は [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) で修正され、オープンソースの Spark アプリケーションが Hive 3 にアップグレードできるときに [SPARK-44114](https://issues.apache.org/jira/browse/SPARK-44114) で完全に解決されます。その間、`hive.metastore.use.SSL` を `false` に設定すれば、この問題を回避できます。詳細については、「[アプリケーションの設定](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html)」を参照してください。
詳細については、「[enabling HTTPS with Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| livy-server | livy.server.port | 8998 | TLS | emr-7.4.0\$1 |
## JupyterEnterpriseGateway
デフォルトでは、Amazon EMR クラスターで転送時の暗号化が有効になっている場合、Jupyter Enterprise Gateway は TLS をサポートします。Jupyter Enterprise Gateway の設定の詳細については、「[Securing Enterprise Gateway Server](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| jupyter\$1enterprise\$1gateway | c.EnterpriseGatewayApp.port | 9547 | TLS | emr-7.4.0\$1 |
## JupyterHub
デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、JupyterHub は TLS をサポートします。詳細については、JupyterHub ドキュメントの「[Enabling SSL encryption](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption)」を参照してください。暗号化を無効にすることはお勧めしません。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| jupyter\$1hub | c.JupyterHub.port | 9443 | TLS | emr-5.14.0\$1、emr-6.0.0\$1、emr-7.0.0\$1 |
## Zeppelin
デフォルトでは、EMR クラスターで転送中の暗号化を有効にすると、Zeppelin は TLS をサポートします。Zeppelin の設定の詳細については、Zeppelin ドキュメントの「[SSL Configuration](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| zeppelin | zeppelin.server.ssl.port | 8890 | TLS | 7.3.0\$1 |
## Zookeeper
Amazon EMR は `serverCnxnFactory` を `org.apache.zookeeper.server.NettyServerCnxnFactory` に設定して、Zookeeper クォーラムとクライアント通信の TLS を有効にします。
`secureClientPort` は、TLS 接続をリッスンするポートを指定します。クライアントが Zookeeper への TLS 接続をサポートしていない場合、クライアントは `clientPort` で指定された安全でないポート 2181 に接続できます。これらの 2 つのポートは上書きまたは無効化できます。
Amazon EMR は `sslQuorum` と `admin.forceHttps` の両方を `true` に設定して、クォーラムサーバーと管理サーバーの TLS 通信を有効にします。クォーラムと管理サーバーの転送時の暗号化を希望しない場合は、これらの設定を無効にできます。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。
詳細については、Zookeeper ドキュメントの「[Encryption, Authentication, Authorization Options](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions)」を参照してください。
| コンポーネント | Endpoint | ポート | 転送中の暗号化メカニズム | リリースからサポート |
| --- | --- | --- | --- | --- |
| Zookeeper サーバー | secureClientPort | 2281 | TLS | emr-7.4.0\$1 |
| Zookeeper サーバー | クォーラムポート | 2 つあります: フォロワーは 2888 を使用してリーダーに接続します。 リーダー選出で 3888 を使用 | TLS | emr-7.4.0\$1 |
| Zookeeper サーバー | admin.serverPort | 8341 | TLS | emr-7.4.0\$1 |