翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
設定例
以下の例は、一般的な scenarios. AWS CLI commands のセキュリティ設定とクラスター設定を示しています。
ローカル KDC
次のコマンドは、プライマリノードでKDC実行されているクラスター専用クラスターを作成します。クラスターでの追加設定が必要になります。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用のクラスターの設定」を参照してください。
セキュリティ設定の作成
aws emr create-security-configuration --nameLocalKDCSecurityConfig\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ClusterDedicatedKdc",\ "ClusterDedicatedKdcConfiguration": {"TicketLifetimeInHours":24}}}}'
クラスターの作成
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count 3 --instance-typem5.xlarge\ --applications Name=HadoopName=Hive--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole \ --security-configurationLocalKDCSecurityConfig\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=MyPassword
Active Directory クロス領域信頼KDCを使用したクラスター専用
次のコマンドは、Active Directory ドメインへのクロス領域信頼を使用して、プライマリノードでKDC実行されているクラスター専用クラスターを作成します。クラスターと Active Directory における追加設定が必要になります。詳細については、「チュートリアル: Active Directory ドメインを使用したクロス領域信頼の設定」を参照してください。
セキュリティ設定の作成
aws emr create-security-configuration --nameLocalKDCWithADTrustSecurityConfig\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ClusterDedicatedKdc", \ "ClusterDedicatedKdcConfiguration": {"TicketLifetimeInHours":24, \ "CrossRealmTrustConfiguration": {"Realm":"AD.DOMAIN.COM", \ "Domain":"ad.domain.com", "AdminServer":"ad.domain.com", \ "KdcServer":"ad.domain.com"}}}}}'
クラスターの作成
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge--applications Name=HadoopName=Hive\ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationKDCWithADTrustSecurityConfig\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=MyClusterKDCAdminPassword,\ ADDomainJoinUser=ADUserLogonName,ADDomainJoinPassword=ADUserPassword,\ CrossRealmTrustPrincipalPassword=MatchADTrustPassword
別のクラスターKDCの外部
次のコマンドは、別のクラスターのプライマリノードKDCでクラスター専用を参照するクラスターを作成し、プリンシパルを認証します。クラスターでの追加設定が必要になります。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用のクラスターの設定」を参照してください。
セキュリティ設定の作成
aws emr create-security-configuration --nameExtKDCOnDifferentCluster\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ExternalKdc", \ "ExternalKdcConfiguration": {"KdcServerType": "Single", \ "AdminServer": "MasterDNSOfKDCMaster:749", \ "KdcServer": "MasterDNSOfKDCMaster:88"}}}}'
クラスターの作成
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge\ --applications Name=Hadoop Name=Hive \ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationExtKDCOnDifferentCluster\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=KDCOnMasterPassword
Active Directory クロス領域信頼KDCを使用する外部クラスター
次のコマンドは、 なしでクラスターを作成しますKDC。クラスターは、別のクラスターのプライマリノードでKDC実行されているクラスター専用 を参照して、プリンシパルを認証します。これは、Active Directory ドメインコントローラーとのクロス領域信頼KDCがあります。を使用したプライマリノードの追加設定KDCが必要です。詳細については、「チュートリアル: Active Directory ドメインを使用したクロス領域信頼の設定」を参照してください。
セキュリティ設定の作成
aws emr create-security-configuration --nameExtKDCWithADIntegration\ --security-configuration '{"AuthenticationConfiguration": \ {"KerberosConfiguration": {"Provider": "ExternalKdc", \ "ExternalKdcConfiguration": {"KdcServerType": "Single", \ "AdminServer": "MasterDNSofClusterKDC:749", \ "KdcServer": "MasterDNSofClusterKDC.com:88", \ "AdIntegrationConfiguration": {"AdRealm":"AD.DOMAIN.COM", \ "AdDomain":"ad.domain.com", \ "AdServer":"ad.domain.com"}}}}}'
クラスターの作成
aws emr create-cluster --release-labelemr-7.2.0\ --instance-count3--instance-typem5.xlarge--applications Name=HadoopName=Hive\ --ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=MyEC2Key\ --service-role EMR_DefaultRole --security-configurationExtKDCWithADIntegration\ --kerberos-attributes Realm=EC2.INTERNAL,KdcAdminPassword=KDCOnMasterPassword,\ ADDomainJoinUser=MyPrivilegedADUserName,ADDomainJoinPassword=PasswordForADDomainJoinUser
