Amazon での Kerberos の設定 EMR - Amazon EMR
ステップ 1: Kerberos プロパティでセキュリティ設定を作成するステップ 2: クラスターを作成し、クラスター固有の Kerberos 属性を指定するステップ 3: クラスターのプライマリノードを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon での Kerberos の設定 EMR

このセクションでは、一般的なアーキテクチャを使用して Kerberos を設定する詳細と例を示します。選択するアーキテクチャに関係なく設定の基本は同じであり、3 つのステップで行います。外部 を使用するKDCか、クロス領域信頼を設定する場合は、クラスター内のすべてのノードに、インバウンドおよびアウトバウンドの Kerberos トラフィックを許可する適切なセキュリティグループの設定などKDC、外部 へのネットワークルートがあることを確認する必要があります。

ステップ 1: Kerberos プロパティでセキュリティ設定を作成する

セキュリティ設定では、Kerberos の詳細を指定しKDC、クラスターを作成するたびに Kerberos 設定を再利用できます。セキュリティ設定は、Amazon EMRコンソール、、 AWS CLIまたは EMR を使用して作成できますAPI。セキュリティ設定には、他にも暗号化などのセキュリティオプションがあります。セキュリティ設定の作成、およびクラスター作成時のセキュリティ設定の指定に関する詳細については、「セキュリティ設定を使用して Amazon EMRクラスターセキュリティを設定する」を参照してください。セキュリティ設定の Kerberos プロパティに関する詳細は、「セキュリティ設定における Kerberos セキュリティ」を参照してください。

ステップ 2: クラスターを作成し、クラスター固有の Kerberos 属性を指定する

クラスター作成時に、クラスター固有の Kerberos オプションと Kerberos セキュリティ設定を指定します。Amazon EMRコンソールを使用する場合、指定されたセキュリティ設定と互換性のある Kerberos オプションのみを使用できます。 AWS CLI または Amazon を使用する場合はEMRAPI、指定したセキュリティ設定と互換性のある Kerberos オプションを必ず指定してください。たとえば、 を使用してクラスターを作成するときにクロス領域信頼のプリンシパルパスワードを指定しCLI、指定されたセキュリティ設定にクロス領域信頼パラメータが設定されていない場合、エラーが発生します。詳細については、「クラスターの Kerberos 設定」を参照してください。

ステップ 3: クラスターのプライマリノードを設定する

アーキテクチャと実装の要件に応じて、クラスターで追加の設定が必要になることがあります。これは、クラスターの作成後、あるいは作成プロセス中にステップまたはブートストラップを使用して行うことができます。

を使用してクラスターに接続する Kerberos 認証済みユーザーごとにSSH、Kerberos ユーザーに対応する Linux アカウントが作成されていることを確認する必要があります。ユーザープリンシパルが、外部またはクロス領域信頼KDCを介して Active Directory ドメインコントローラーによって提供される場合、Amazon は Linux アカウントを自動的にEMR作成します。Active Directory が使用されていない場合は、各ユーザーに Linux ユーザーに対応するプリンシパルを作成する必要があります。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用の Amazon EMRクラスターの設定」を参照してください。

各ユーザーには、ユーザーが所有しているHDFSユーザーディレクトリも必要です。これはユーザーが作成する必要があります。さらに、Kerberos 認証ユーザーからの接続を許可するには、 GSSAPIを有効にして を設定SSHする必要があります。 GSSAPIはプライマリノードで有効にし、クライアントSSHアプリケーションは を使用するように設定する必要がありますGSSAPI。詳細については、「Kerberos で認証されたHDFSユーザーとSSH接続用の Amazon EMRクラスターの設定」を参照してください。