쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

DirectoryService 섹션 - AWS ParallelCluster

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DirectoryService 섹션

참고

AWS ParallelCluster 버전 3.1.1에서에 대한 지원이 DirectoryService 추가되었습니다.

(선택 사항) 다중 사용자 액세스를 지원하는 클러스터의 디렉토리 서비스 설정

AWS ParallelCluster 는 SSSD(System Security Services Daemon)에서 지원하는 LDAP(Lightweight Directory Access Protocol)를 통해 Active Directory(AD)를 사용하여 클러스터에 대한 여러 사용자 액세스를 지원하는 권한을 관리합니다. 자세한 내용은 AWS Directory Service 관리 가이드AWS Directory Service란 무엇입니까?를 참조하세요.

잠재적으로 민감한 정보가 암호화된 채널을 통해 전송되도록 하려면 TLS/SSL을 통한 LDAP(줄여서 LDAPS)를 사용하는 것이 좋습니다.

DirectoryService: DomainName: string DomainAddr: string PasswordSecretArn: string DomainReadOnlyUser: string LdapTlsCaCert: string LdapTlsReqCert: string LdapAccessFilter: string GenerateSshKeysForUsers: boolean AdditionalSssdConfigs: dict

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DirectoryService 속성

참고

인터넷에 액세스할 수 없는 단일 서브넷 AWS ParallelCluster 에서를 사용할 계획인 경우 추가 요구 사항은 섹션을 참조인터넷에 액세스할 수 없는 단일 서브넷의 AWS ParallelCluster하세요.

DomainName(필수, String)

ID 정보로 사용하는 액티브 디렉터리(AD) 도메인

DomainName은 Fully Qualified Domain Name(FQDN)과 LDAP Distinguished Name(DN) 형식을 모두 허용합니다.

  • FQDN 예제: corp.example.com

  • LDAP DN 예제: DC=corp,DC=example,DC=com

이 속성은 ldap_search_base라는 sssd-ldap 파라미터에 대응합니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DomainAddr(필수, String)

LDAP 서버로 사용되는 AD 도메인 컨트롤러를 가리키는 URI 또는 URI입니다. URI는 ldap_uri라는 SSSD-LDAP 파라미터에 대응합니다. 값은 쉼표로 구분된 URI 문자열일 수 있습니다. LDAP를 사용하려면 각 URI의 시작 부분에 ldap://를 추가해야 합니다.

예제 값:

ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default

인증서 확인과 함께 LDAPS를 사용하는 경우 URI는 호스트 이름이어야 합니다.

인증서 확인 또는 LDAP 없이 LDAPS를 사용하는 경우 URI는 호스트 이름 또는 IP 주소일 수 있습니다.

TLS/SSL을 통한 LDAP(LDAPS)를 사용하여 암호와 기타 민감한 정보가 암호화되지 않은 채널을 통해 전송되지 않도록 하세요. AWS ParallelCluster 이 프로토콜을 찾지 못하면 각 URI 또는 호스트 이름의 시작 부분에 ldaps://이 추가됩니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

PasswordSecretArn(필수, String)

DomainReadOnlyUser 일반 텍스트 암호가 포함된 AWS Secrets Manager 보안 암호의 Amazon 리소스 이름(ARN)입니다. 암호의 내용은 ldap_default_authtok라는 SSSD-LDAP 파라미터에 대응합니다.

참고

AWS Secrets Manager 콘솔을 사용하여 보안 암호를 생성할 때는 "기타 보안 암호 유형"을 선택하고 일반 텍스트를 선택한 다음 보안 암호에 암호 텍스트만 포함해야 합니다.

를 사용하여 보안 암호를 AWS Secrets Manager 생성하는 방법에 대한 자세한 내용은 AWS Secrets Manager 보안 암호 생성을 참조하세요.

LDAP 클라이언트는 ID 정보를 요청할 때 DomainReadOnlyUser로서 암호를 사용하여 AD 도메인을 인증합니다.

사용자에게 DescribeSecret에 대한 권한이 있는 경우 PasswordSecretArn의 유효성이 검사됩니다. 지정된 비밀이 존재할 경우 PasswordSecretArn가 유효합니다. 사용자 IAM 정책이 DescribeSecret을 포함하지 않는 경우 PasswordSecretArn가 검증되지 않고 경고 메시지가 표시됩니다. 자세한 내용은 기본 AWS ParallelCluster pcluster 사용자 정책 항목을 참조하세요.

시크릿 값이 변경되더라도 클러스터는 자동으로 업데이트되지 않습니다. 새 암호 값에 맞게 클러스터를 업데이트하려면 pcluster update-compute-fleet 명령으로 컴퓨팅 플릿을 중지한 다음 헤드 노드 내에서 다음 명령을 실행해야 합니다.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DomainReadOnlyUser(필수, String)

클러스터 사용자 로그인을 인증할 때 AD 도메인에 ID 정보를 쿼리하는 데 사용되는 ID입니다. 이는 ldap_default_bind_dn라는 SSSD-LDAP 파라미터에 대응합니다. 이 값에는 AD ID 정보를 사용하세요.

노드에 있는 특정 LDAP 클라이언트에서 요구하는 형식으로 ID를 지정합니다.

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapTlsCaCert(선택 사항, String)

도메인 컨트롤러용 인증서를 발급한 인증 체인의 모든 인증 기관에 대한 인증서를 포함하는 인증서 번들의 절대 경로입니다. 이는 ldap_tls_cacert라는 SSSD-LDAP 파라미터에 대응합니다.

인증서 번들은 PEM 형식의 개별 인증서를 연결하여 구성된 파일로, Windows에서는 DER Base64 형식이라고도 합니다. LDAP 서버 역할을 하는 AD 도메인 컨트롤러의 ID를 확인하는 데 사용됩니다.

AWS ParallelCluster 는 노드에 인증서를 처음 배치하는 데 책임을 지지 않습니다. 클러스터 관리자는 클러스터를 생성한 후 헤드 노드에 인증서를 수동으로 구성하거나 부트스트랩 스크립트를 사용할 수 있습니다. 또는 헤드 노드에 구성된 인증서가 포함된 Amazon Machine Image(AMI)를 사용할 수 있습니다.

Simple AD는 LDAPS를 지원하지 않습니다. Simple AD 디렉터리를와 통합하는 방법을 알아보려면 AWS 보안 블로그Simple AD에 대한 LDAPS 엔드포인트를 구성하는 방법을 AWS ParallelCluster참조하세요.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapTlsReqCert(선택 사항, String)

TLS 세션에서 서버 인증서에 대해 수행할 검사를 지정합니다. 이는 ldap_tls_reqcert라는 SSSD-LDAP 파라미터에 대응합니다.

유효한 값: never, allow, try, demandhard.

never, allowtry는 인증서에 문제가 발견되더라도 연결을 계속할 수 있게 합니다.

demandhard는 인증서에 문제가 없는 경우 통신을 계속할 수 있게 합니다.

클러스터 관리자가 인증서 유효성 검사에 성공할 필요가 없는 값을 사용하는 경우 관리자에게 경고 메시지가 반환됩니다. 보안상의 이유로 인증서 확인을 비활성화하지 않는 것이 좋습니다.

기본값은 hard입니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapAccessFilter(선택 사항, String)

디렉터리 액세스를 사용자 하위 집합으로 제한하는 필터를 지정합니다. 이 속성은 ldap_access_filter라는 SSSD-LDAP 파라미터에 대응합니다. 이를 사용하여 많은 사용자를 지원하는 AD로 쿼리를 제한할 수 있습니다.

이 필터는 클러스터에 대한 사용자 액세스를 차단할 수 있습니다. 그러나 차단된 사용자의 검색 가능성에는 영향을 미치지 않습니다.

이 속성이 설정되어 있으면 SSSD 파라미터 access_provider은 AWS ParallelCluster 에 의해 내부적으로 ldap로 설정되며, DirectoryService/AdditionalSssdConfigs 설정에 의해 변경되어서는 안 됩니다.

이 속성을 생략하고 DirectoryService/AdditionalSssdConfigs에 사용자 지정된 사용자 액세스를 지정하지 않으면 디렉터리의 모든 사용자가 클러스터에 액세스할 수 있습니다.

예시:

"!(cn=SomeUser*)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

GenerateSshKeysForUsers(선택 사항, Boolean)

가 헤드 노드에서 초기 인증 직후 클러스터 사용자를 위한 SSH 키를 AWS ParallelCluster 생성할지 여부를 정의합니다.

true로 설정하면 헤드 노드에서 첫 인증을 받은 후 SSH 키가 생성되어 존재하지 않는 경우 모든 사용자에 대해 SSH 키가 생성되어 USER_HOME_DIRECTORY/.ssh/id_rsa에 저장됩니다.

헤드 노드에서 아직 인증되지 않은 사용자의 경우 다음과 같은 경우에 첫 번째 인증이 발생할 수 있습니다.

  • 사용자가 자신의 비밀번호로 헤드 노드에 처음으로 로그인합니다.

  • 헤드 노드에서 sudoer가 처음으로 사용자로 전환합니다: su USERNAME

  • 헤드 노드에서 sudoer가 처음으로 사용자로서 명령을 실행합니다: su -u USERNAME COMMAND

사용자는 클러스터 헤드 노드와 컴퓨팅 노드에 대한 후속 로그인 시 SSH 키를 사용할 수 있습니다. 를 사용하면 클러스터 컴퓨팅 노드에 대한 AWS ParallelCluster암호 로그인이 설계에 따라 비활성화됩니다. 사용자가 헤드 노드에 로그인하지 않은 경우 SSH 키는 생성되지 않으며 사용자는 컴퓨팅 노드에 로그인할 수 없습니다.

기본값은 true입니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

AdditionalSssdConfigs(선택 사항, Dict)

클러스터 인스턴스의 SSSD 구성 파일에 기록하기 위한 SSSD 파라미터 및 값을 포함하는 키-값 쌍의 설명 SSSD 구성 파일에 대한 전체 설명은 SSSD 및 관련 구성 파일의 온 인스턴스 매뉴얼 페이지를 참조하세요.

SSSD 파라미터 및 값은 다음 목록에 설명된 대로 AWS ParallelCluster SSSD 구성과 호환되어야 합니다.

다음 구성 스니펫은 AdditionalSssdConfigs에 대한 유효한 구성의 예제입니다.

이 예제는 SSSD 로그의 디버그 수준을 활성화하고, 검색 기준을 특정 조직 단위로 제한하고, 보안 인증 캐싱을 비활성화합니다.

DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False

이 예제는 SSSD simple access_provider의 구성을 지정합니다. EngineeringTeam의 사용자에게 디렉터리 액세스 권한이 제공됩니다. 이 경우 DirectoryService/LdapAccessFilter를 설정해서는 안 됩니다.

DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.