Como criar uma configuração de segurança com o console do Amazon EMR ou a AWS CLI - Amazon EMR
Configurar criptografia de dadosConfigurar a autenticação KerberosConfigurar perfis do IAM para solicitações do EMRFS para o Amazon S3Configurar solicitações de serviço de metadados para instâncias do Amazon EC2

Como criar uma configuração de segurança com o console do Amazon EMR ou a AWS CLI

Este tópico aborda os procedimentos gerais para criar uma configuração de segurança usando o console do Amazon EMR e a AWS CLI, seguido por uma referência para os parâmetros que compõem a criptografia, a autenticação e os perfis do IAM para EMRFS. Para obter mais informações sobre esses recursos, consulte os tópicos a seguir:

Para criar uma configuração de segurança usando o console

  1. Abra o console do Amazon EMR em https://console.aws.amazon.com/emr.

  2. No painel de navegação, escolha Security Configurations (Configurações de segurança), Create security configuration (Criar configuração de segurança).

  3. Digite um nome em Name (Nome) para a configuração de segurança.

  4. Escolha opções Criptografia e Autenticação conforme descrito nas seções abaixo e escolha Criar.

Para criar uma configuração de segurança usando a AWS CLI

  • Use o comando create-security-configuration conforme mostrado no exemplo a seguir.

    • Para SecConfigName, especifique o nome da configuração de segurança. Trata-se do nome especificado por você ao criar um cluster que usa essa configuração de segurança.

    • Para SecConfigDef, especifique uma estrutura JSON em linha ou o caminho para um arquivo JSON local, como file://MySecConfig.json. Os parâmetros JSON definem opções de Criptografia, Perfis do IAM para acesso do EMRFS ao Amazon S3 e Autenticação conforme descrito nas seções abaixo.

    aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef

Configurar criptografia de dados

Antes de configurar a criptografia em uma configuração de segurança, crie as chaves e os certificados usados na criptografia. Para ter mais informações, consulte Fornecimento de chaves para criptografia de dados em repouso e Fornecer certificados para criptografia de dados em trânsito com a criptografia do Amazon EMR.

Ao criar uma configuração de segurança, você especifica dois conjuntos de opções de criptografia: a criptografia de dados em repouso e a criptografia de dados em trânsito. As opções de criptografia de dados em repouso incluem o Amazon S3 com EMRFS e a criptografia do disco local. As opções de criptografia em trânsito habilitam os recursos de criptografia de código-fonte aberto para determinados aplicativos que oferecem suporte para Transport Layer Security (TLS). Opções em repouso e opções em trânsito podem ser habilitadas juntas ou separadamente. Para ter mais informações, consulte Criptografia de dados em repouso e em trânsito com o Amazon EMR.

nota

Quando você usa o AWS KMS, cobranças são aplicáveis ao armazenamento e ao uso de chaves de criptografia. Para obter mais informações, consulte Preços do AWS KMS.

Especificar opções de criptografia usando o console

Escolha as opções em Encryption (Criptografia) de acordo com as diretrizes a seguir.

  • Escolha opções em At rest encryption (Criptografia em repouso) para criptografar os dados armazenados no sistema de arquivos.

    Você pode optar por criptografar dados no Amazon S3, em discos locais ou em ambos.

  • Em Criptografia de dados do S3, para Modo de criptografia, escolha um valor para determinar como o Amazon EMR criptografa dados do Amazon S3 com o EMRFS.

    O que fazer em seguida depende do modo de criptografia escolhido:

  • Em Local disk encryption (Criptografia de disco local), escolha um valor para Key provider type (Tipo de provedor de chave).

    • AWS KMS key

      Selecione essa opção para especificar uma AWS KMS key. Em AWS KMS key, selecione uma chave. A chave deve existir na mesma região que o seu cluster do EMR. Para obter mais informações sobre requisitos de chaves, consulte Usar AWS KMS keys para criptografia.

      Criptografia do EBS

      Ao especificar o AWS KMS como seu provedor de chaves, você pode habilitar a criptografia do EBS para criptografar o dispositivo raiz do EBS e os volumes de armazenamento. Para habilitar essa opção, você deve conceder ao perfil de serviço do Amazon EMR EMR_DefaultRole permissões para usar a AWS KMS key especificada. Para obter mais informações sobre requisitos de chaves, consulte Habilitar a criptografia do EBS fornecendo permissões adicionais para chaves do KMS.

    • Custom (Personalizado)

      Selecione essa opção para especificar um provedor de chaves personalizado. Em Objeto do S3, insira o local no Amazon S3, ou o ARN do Amazon S3, do arquivo JAR de provedor de chaves personalizado. Para Key provider class (Classe do provedor de chaves), insira o nome completo de uma classe declarada no seu aplicativo que implementa a interface EncryptionMaterialsProvider. O nome de classe fornecido aqui deve ser diferente do nome de classe fornecido ao CSE-Custom.

  • Escolha In-transit encryption (Criptografia em trânsito) para habilitar os recursos de criptografia TLS de código-fonte aberto para dados em trânsito. Escolha um tipo de provedor certificado em Certificate provider type (Tipo de provedor de certificados), de acordo com as seguintes diretrizes:

    • PEM

      Selecione essa opção para usar arquivos PEM que você fornece dentro de um arquivo zip. Dois artefatos são necessários dentro do arquivo zip: privateKey.pem e certificateChain.pem. Um terceiro arquivo, trustedCertificates.pem, é opcional. Para mais detalhes, consulte Fornecer certificados para criptografia de dados em trânsito com a criptografia do Amazon EMR. Em Objeto do S3, especifique o local no Amazon S3, ou o ARN do Amazon S3, do campo do arquivo zip.

    • Custom (Personalizado)

      Selecione essa opção para especificar um provedor de certificados personalizado. Em Objeto do S3, insira o local do Amazon S3, ou o ARN do Amazon S3, do seu arquivo JAR de provedor de certificados personalizado. Para Key provider class (Classe de provedor de chaves), insira o nome completo de uma classe declarada no seu aplicativo que implementa a interface TLSArtifactsProvider.

Especificar opções de criptografia usando a AWS CLI

As seções a seguir usam os exemplos de cenários para ilustrar um JSON --security-configuration bem-formado para configurações e provedores de chaves diferentes, seguido de uma referência dos parâmetros JSON e valores apropriados.

Exemplo de opções de criptografia de dados em trânsito

O exemplo abaixo ilustra o seguinte cenário:


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		}
	}
}'

O exemplo abaixo ilustra o seguinte cenário:


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		}
 	}
}'

Exemplo de opções de criptografia de dados em repouso

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está desabilitada, e a criptografia de dados em repouso está habilitada.

  • A SSE-S3 é usada para criptografia do Amazon S3.

  • A criptografia do disco local usa o AWS KMS como provedor de chaves.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": false,
		"EnableAtRestEncryption": true,
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-S3"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
 	}
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está habilitada e referencia um arquivo zip com certificados PEM no Amazon S3, usando o ARN.

  • A SSE-KMS é usada para criptografia do Amazon S3.

  • A criptografia do disco local usa o AWS KMS como provedor de chaves.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
	}
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está habilitada e referencia um arquivo zip com certificados PEM no Amazon S3.

  • A CSE-KMS é usada para criptografia do Amazon S3.

  • A criptografia do disco local usa um provedor de chaves personalizado referenciado por seu ARN.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está habilitada com um provedor de chaves personalizado.

  • A CSE-Custom é usada para dados do Amazon S3.

  • A criptografia do disco local usa um provedor de chaves personalizado.


aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": "true",
		"EnableAtRestEncryption": "true",
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
				},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está desabilitada, e a criptografia de dados em repouso está habilitada.

  • A criptografia do Amazon S3 é habilitada com SSE-KMS.

  • São usadas múltiplas chaves do AWS KMS, uma para cada bucket do S3, e aplicam-se exceções de criptografia a esses buckets individuais do S3.

  • A criptografia do disco local está desabilitada.

aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
  	"EncryptionConfiguration": {
   		"AtRestEncryptionConfiguration": {
      	     	"S3EncryptionConfiguration": {
        			"EncryptionMode": "SSE-KMS",
        			"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
        			"Overrides": [
         				 {
           				 "BucketName": "amzn-s3-demo-bucket1",
            				"EncryptionMode": "SSE-S3"
          				},
          				{
            				"BucketName": "amzn-s3-demo-bucket2",
           				 "EncryptionMode": "CSE-KMS",
            				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
         				 },
         				 {
           				 "BucketName": "amzn-s3-demo-bucket3",
          				  "EncryptionMode": "SSE-KMS",
           				 "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
          				}
        					]
      							}
   						 	},
   		"EnableInTransitEncryption": false,
    		"EnableAtRestEncryption": true
  }
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está desabilitada, e a criptografia de dados em repouso está habilitada.

  • A criptografia do Amazon S3 está habilitada com SSE-S3, e a criptografia do disco local está desabilitada.

aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "S3EncryptionConfiguration": {
                "EncryptionMode": "SSE-S3"
            }
        }
     }
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está desabilitada, e a criptografia de dados em repouso está habilitada.

  • A criptografia de disco local está habilitada com o AWS KMS como provedor de chaves e a criptografia do Amazon S3 está desabilitada.

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'

O exemplo abaixo ilustra o seguinte cenário:

  • A criptografia de dados em trânsito está desabilitada, e a criptografia de dados em repouso está habilitada.

  • A criptografia de disco local está habilitada com o AWS KMS como provedor de chaves e a criptografia do Amazon S3 está desabilitada.

  • A criptografia do EBS está habilitada. 

aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EnableEbsEncryption": true,
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'

O exemplo abaixo ilustra o seguinte cenário:

O SSE-EMR-WAL é usado na criptografia do EMR WAL

aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{ },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'

EnableInTransitEncryption e EnableAtRestEncryption ainda podem ser verdadeiros, se quiser habilitar a criptografia relacionada.

O exemplo abaixo ilustra o seguinte cenário:

  • A SSE-KMS-WAL é usada para criptografia do EMR WAL

  • A criptografia do lado do servidor usa AWS Key Management Service como provedor principal

aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{
                "AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
                },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'

EnableInTransitEncryption e EnableAtRestEncryption ainda podem ser verdadeiros, se quiser habilitar a criptografia relacionada.

Referência JSON para configurações de criptografia

A tabela a seguir lista os parâmetros JSON para configurações de criptografia e fornece uma descrição dos valores aceitáveis para cada parâmetro.

Parâmetro Descrição
“EnableInTransitEncryption”: verdadeiro | false Specify verdadeiro to enable in-transit encryption and false to disable it. If omitted, false is assumed, and in-transit encryption is disabled.
“EnableAtRestEncryption”: true | false Specify verdadeiro to enable at-rest encryption and false to disable it. If omitted, false is assumed and at-rest encryption is disabled.
Parâmetros de criptografia em trânsito
“InTransitEncryptionConfiguration”: Specifies a collection of values used to configure in-transit encryption when EnableInTransitEncryption is verdadeiro.
“CertificateProviderType”: “PEM” | “Custom” Specifies whether to use PEM certificates referenced with a zipped file, or a Personalizar certificate provider. If PEM is specified, S3Object must be a reference to the location in Amazon S3 of a zip file containing the certificates. If Custom is specified, S3Object must be a reference to the location in Amazon S3 of a JAR file, followed by a CertificateProviderClass entry.
“S3Object”: “ZipLocation | JarLocation Provides the location in Amazon S3 to a zip file when PEM is specified, or to a JAR file when Personalizar is specified. The format can be a path (for example, s3://MyConfig/artifacts/CertFiles.zip) or an ARN (for example, arn:aws:s3:::Code/MyCertProvider.jar). If a zip file is specified, it must contain files named exactly privateKey.pem and certificateChain.pem. A file named trustedCertificates.pem is optional.
“CertificateProviderClass”: “MyClassID Required only if Personalizar is specified for CertificateProviderType. MyClassID specifies a full class name declared in the JAR file, which implements the TLSArtifactsProvider interface. For example, com.mycompany.MyCertProvider.
Parâmetros de criptografia em repouso
“AtRestEncryptionConfiguration”: Specifies a collection of values for at-rest encryption when EnableAtRestEncryption is verdadeiro, including Amazon S3 encryption and local disk encryption.
Parâmetros de criptografia do Amazon S3
“S3EncryptionConfiguration”: Specifies a collection of values used for Amazon S3 encryption with the Amazon EMR File System (EMRFS).
“EncryptionMode”: “SSE-S3” | “SSE-KMS” | “CSE-KMS” | “CSE-Custom” Specifies the type of Amazon S3 encryption to use. If SSE-S3 is specified, no further Amazon S3 encryption values are required. If either SSE-KMS or CSE-KMS is specified, an AWS KMS key ARN must be specified as the AwsKmsKey value. If CSE-Custom is specified, S3Object and EncryptionKeyProviderClass values must be specified.
“AwsKmsKey”: “MyKeyARN Required only when either SSE-KMS or CSE-KMS is specified for EncryptionMode. MyKeyARN must be a fully specified ARN to a key (for example, arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012).
“S3Object”: JarLocation Required only when CSE-Custom is specified for CertificateProviderType. JarLocation provides the location in Amazon S3 to a JAR file. The format can be a path (for example, s3://MyConfig/artifacts/MyKeyProvider.jar) or an ARN (for example, arn:aws:s3:::Code/MyKeyProvider.jar).
“EncryptionKeyProviderClass”: “MyS3KeyClassID Required only when CSE-Custom is specified for EncryptionMode. MyS3KeyClassID specifies a full class name of a class declared in the application that implements the EncryptionMaterialsProvider interface; for example, com.mycompany.MyS3KeyProvider.
Parâmetros de criptografia do disco local
“LocalDiskEncryptionConfiguration” Specifies the key provider and corresponding values to be used for local disk encryption.
“EnableEbsEncryption”: true | false Specify verdadeiro to enable EBS encryption. EBS encryption encrypts the EBS root device volume and attached storage volumes. To use EBS encryption, you must specify AwsKms as your EncryptionKeyProviderType.
“EncryptionKeyProviderType”: “AwsKms” | “Custom” Specifies the key provider. If AwsKms is specified, an KMS key ARN must be specified as the AwsKmsKey value. If Personalizar is specified, S3Object and EncryptionKeyProviderClass values must be specified.
“AwsKmsKey: “MyKeyARN Required only when AwsKms is specified for Tipo. MyKeyARN must be a fully specified ARN to a key (for example, arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123).
“S3Object”: JarLocation Required only when CSE-Custom is specified for CertificateProviderType. JarLocation provides the location in Amazon S3 to a JAR file. The format can be a path (for example, s3://MyConfig/artifacts/MyKeyProvider.jar) or an ARN (for example, arn:aws:s3:::Code/MyKeyProvider.jar).

"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"

 Required only when Personalizar is specified for Tipo. MyLocalDiskKeyClassID specifies a full class name of a class declared in the application that implements the EncryptionMaterialsProvider interface; for example, com.mycompany.MyLocalDiskKeyProvider.
Parâmetros de criptografia do EMR WAL
"EMRWALEncryptionConfiguration" Specifies the value for EMR WAL encryption.
"AwsKmsKey" Specifies the CMK Key Id Arn.

Configurar a autenticação Kerberos

Uma configuração de segurança com definições Kerberos só pode ser usada por um cluster criado com atributos Kerberos, ou ocorrerá um erro. Para ter mais informações, consulte Usar o Kerberos para autenticação com o Amazon EMR. O Kerberos somente está disponível no Amazon EMR 5.10.0 e versões posteriores.

Especificar configurações do Kerberos usando o console

Escolha opções em Kerberos authentication (Autenticação Kerberos) de acordo com as diretrizes a seguir.

Parâmetro Descrição

Kerberos

Especifica que o Kerberos está habilitado em clusters que usam essa configuração de segurança. Ao usar essa configuração de segurança, o cluster também deverá ter configurações Kerberos especificadas ou ocorrerá um erro.

Provedor

KDC dedicado ao cluster

Especifica que o Amazon EMR criará um KDC no nó primário de qualquer cluster que usar essa configuração de segurança. Você especifica o nome do realm e a senha de administrador do KDC ao criar o cluster.

Você pode referenciar esse KDC por outros clusters, se necessário. Crie esses clusters usando outra configuração de segurança, especifique um KDC externo e use o nome do território e a senha de administrador do KDC que você especificar para o KDC dedicado ao cluster.

KDC externo

Disponível apenas no Amazon EMR 5.20.0 e versões posteriores. Especifica que os clusters que usam essa configuração de segurança autenticarão as entidades principais do Kerberos usando um servidor do KDC fora do cluster. O KDC não é criado no cluster. Ao criar o cluster, especifique o nome do realm e a senha de administrador do KDC para o KDC externo.

Vida útil do tíquete

Opcional. Especifica o período de validade de um tíquete do Kerberos emitido pelo KDC em clusters que usam essa configuração de segurança.

Os ciclos de vida do tíquete são limitados por motivos de segurança. As aplicações e os serviços de cluster renovarão automaticamente os tíquetes quando perderem a validade. Os usuários que se conectam ao cluster via SSH usando credenciais do Kerberos precisam executar kinit pela linha de comando do nó primário para renovar um tíquete expirado.

Relação de confiança entre realms

Especifica uma relação de confiança entre regiões entre um KDC dedicado ao cluster em clusters que usam essa configuração de segurança e um KDC em outro realm do Kerberos.

As entidades principais (normalmente usuários) de outro realm são autenticados em clusters que usam essa configuração. É necessário ter configuração adicional no outro realm do Kerberos. Para ter mais informações, consulte Tutorial: configurar uma relação de confiança entre realms com um controlador de domínio do Active Directory.
Propriedades de confiança entre realms

Realm

Especifica o nome de realm Kerberos de outro realm na relação de confiança. Por convenção, os nomes de realm do Kerberos são iguais ao nome do domínio, mas em letras maiúsculas.

Domínio

Especifica o nome de domínio de outro realm na relação de confiança.

Servidor do administrador

Especifica o nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor de administrador no outro realm da relação de confiança. O servidor de administração e o servidor de KDC normalmente são executados na mesma máquina com o mesmo FQDN, mas se comunicam por diferentes portas.

Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:749).

Servidor do KDC

Especifica o nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor do KDC no outro realm da relação de confiança. O servidor de KDC e o servidor de administração normalmente são executados na mesma máquina com o mesmo FQDN, mas usam diferentes portas.

Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:88).

KDC externo

Especifica que o KDC externo do cluster será usado pelo cluster.

Propriedades do KDC externo

Servidor do administrador

Especifica o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor do administrador externo. O servidor de administração e o servidor de KDC normalmente são executados na mesma máquina com o mesmo FQDN, mas se comunicam por diferentes portas.

Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:749).

Servidor do KDC

Especifica o nome de domínio totalmente qualificado (FQDN) do servidor do KDC externo. O servidor de KDC e o servidor de administração normalmente são executados na mesma máquina com o mesmo FQDN, mas usam diferentes portas.

Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:88).

Integração do Active Directory

Especifica que a autenticação da entidade principal do Kerberos está integrada a um domínio do Microsoft Active Directory.

Propriedades de integração do Active Directory

Realm do Active Directory

Especifica o nome do realm do Kerberos do domínio do Active Directory. Por convenção, os nomes de realm do Kerberos geralmente são iguais ao nome do domínio, mas em letras maiúsculas.

Domínio do Active Directory

Especifica o nome de domínio do Active Directory.

Servidor do Active Directory

Especifica o nome de domínio totalmente qualificado (FQDN) do controlador de domínio do Microsoft Active Directory.

Especificar configurações do Kerberos usando a AWS CLI

A tabela de referência a seguir mostra os parâmetros JSON para configurações do Kerberos em uma configuração de segurança. Para exemplos de configuração, consulte Exemplos de configuração.

Parâmetro Descrição

"AuthenticationConfiguration": {

Obrigatório para o Kerberos. Especifica que uma configuração de autenticação faz parte dessa configuração de segurança.

"KerberosConfiguration": {

Obrigatório para o Kerberos. Especifica as propriedades de configuração do Kerberos.

"Provider": "ClusterDedicatedKdc",

ou

"Provider: "ExternalKdc",

ClusterDedicatedKdc especifica que o Amazon EMR criará um KDC no nó primário de qualquer cluster que usar essa configuração de segurança. Você especifica o nome do realm e a senha de administrador do KDC ao criar o cluster. Você pode referenciar esse KDC por outros clusters, se necessário. Crie esses clusters usando outra configuração de segurança, especifique um KDC externo e use o nome do território e a senha de administrador do KDC que você especificou ao criar o cluster com KDC dedicado ao cluster.

ExternalKdc especifica que o cluster usa um KDC externo. O Amazon EMR não cria um KDC no nó primário. O cluster que usa essa configuração de segurança deve especificar o nome do realm e a senha de administrador do KDC externo.

"ClusterDedicatedKdcConfiguration": {

Obrigatório quando ClusterDedicatedKdc for especificado.

"TicketLifetimeInHours": 24,

Opcional. Especifica o período de validade de um tíquete do Kerberos emitido pelo KDC em clusters que usam essa configuração de segurança.

Os ciclos de vida do tíquete são limitados por motivos de segurança. As aplicações e os serviços de cluster renovarão automaticamente os tíquetes quando perderem a validade. Os usuários que se conectam ao cluster via SSH usando credenciais do Kerberos precisam executar kinit pela linha de comando do nó primário para renovar um tíquete expirado.

"CrossRealmTrustConfiguration": {

Especifica uma relação de confiança entre regiões entre um KDC dedicado ao cluster em clusters que usam essa configuração de segurança e um KDC em outro realm do Kerberos.

As entidades principais (normalmente usuários) de outro realm são autenticados em clusters que usam essa configuração. É necessário ter configuração adicional no outro realm do Kerberos. Para ter mais informações, consulte Tutorial: configurar uma relação de confiança entre realms com um controlador de domínio do Active Directory.

"Realm": "KDC2.COM",

Especifica o nome de realm Kerberos de outro realm na relação de confiança. Por convenção, os nomes de realm do Kerberos são iguais ao nome do domínio, mas em letras maiúsculas.

"Domain": "kdc2.com",

Especifica o nome de domínio de outro realm na relação de confiança.

"AdminServer": "kdc.com:749",

Especifica o nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor de administrador no outro realm da relação de confiança. O servidor de administração e o servidor de KDC normalmente são executados na mesma máquina com o mesmo FQDN, mas se comunicam por diferentes portas.

Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:749).

"KdcServer": "kdc.com:88"

Especifica o nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor do KDC no outro realm da relação de confiança. O servidor de KDC e o servidor de administração normalmente são executados na mesma máquina com o mesmo FQDN, mas usam diferentes portas.

Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:88).

}

}

“ExternalKdcConfiguration”: {

Obrigatório quando ExternalKdc for especificado.

"TicketLifetimeInHours": 24,

Opcional. Especifica o período de validade de um tíquete do Kerberos emitido pelo KDC em clusters que usam essa configuração de segurança.

Os ciclos de vida do tíquete são limitados por motivos de segurança. As aplicações e os serviços de cluster renovarão automaticamente os tíquetes quando perderem a validade. Os usuários que se conectam ao cluster via SSH usando credenciais do Kerberos precisam executar kinit pela linha de comando do nó primário para renovar um tíquete expirado.

"KdcServerType": "Single",

Especifica que um único servidor do KDC é referenciado. Single é o único valor com suporte atualmente.

“AdminServer”: “kdc.com:749”,

Especifica o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor do administrador externo. O servidor de administração e o servidor de KDC normalmente são executados na mesma máquina com o mesmo FQDN, mas se comunicam por diferentes portas.

Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:749).

“KdcServer”: “kdc.com:88”,

Especifica o nome de domínio totalmente qualificado (FQDN) do servidor do KDC externo. O servidor de KDC e o servidor de administração normalmente são executados na mesma máquina com o mesmo FQDN, mas usam diferentes portas.

Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, domain.example.com:88).

"AdIntegrationConfiguration": {

Especifica que a autenticação da entidade principal do Kerberos está integrada a um domínio do Microsoft Active Directory.

"AdRealm": "AD.DOMAIN.COM",

Especifica o nome do realm do Kerberos do domínio do Active Directory. Por convenção, os nomes de realm do Kerberos geralmente são iguais ao nome do domínio, mas em letras maiúsculas.

"AdDomain": "ad.domain.com"

Especifica o nome de domínio do Active Directory.

"AdServer": "ad.domain.com"

Especifica o nome de domínio totalmente qualificado (FQDN) do controlador de domínio do Microsoft Active Directory.

}

}

}

}

Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3

Os perfis do IAM para EMRFS permitem que você forneça diferentes permissões para os dados do EMRFS no Amazon S3. Você cria mapeamentos que especificam um perfil do IAM que é usado para permissões quando uma solicitação de acesso contém um identificador especificado. O identificador pode ser um usuário ou um perfil do Hadoop ou um prefixo do Amazon S3.

Para ter mais informações, consulte Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3.

Especificar perfis do IAM para EMRFS usando a AWS CLI

Veja a seguir um exemplo de trecho JSON para especificar perfis do IAM personalizados para o EMRFS em uma configuração de segurança. Ele demonstra mapeamentos de perfil para os três tipos diferentes de identificadores, seguidos por uma referência de parâmetro. 

{
  "AuthorizationConfiguration": {
    "EmrFsConfiguration": {
      "RoleMappings": [{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
        "IdentifierType": "User",
        "Identifiers": [ "user1" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets",
        "IdentifierType": "Prefix",
        "Identifiers": [ "s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
        "IdentifierType": "Group",
        "Identifiers": [ "AdminGroup" ]
      }]
    }
  }
}
Parâmetro Descrição

"AuthorizationConfiguration":

Obrigatório.

"EmrFsConfiguration":

Obrigatório. Contém mapeamentos de perfil.

  "RoleMappings":

Obrigatório. Contém uma ou mais definições de mapeamento de perfil. Os mapeamentos de perfil são avaliados na ordem em que aparecem, de cima para baixo. Se o mapeamento de perfil for avaliado como true para uma chamada do EMRFS para dados no Amazon S3, nenhum outro mapeamento de perfil será avaliado, e o EMRFS usará o perfil do IAM especificado para a solicitação. O mapeamento de perfil tem os seguintes parâmetros obrigatórios:

   "Role":

Especifica o identificador ARN de um perfil do IAM no formato arn:aws:iam::account-id:role/role-name. Essa é o perfil do IAM que o Amazon EMR assume se a solicitação do EMRFS para o Amazon S3 corresponder a qualquer um dos Identifiers especificados.

   "IdentifierType":

Pode ser um dos seguintes:

  • "User" especifica que os identificadores são um ou mais usuários do Hadoop, que podem ser usuários de contas Linux ou entidades principais do Kerberos. Quando a solicitação do EMRFS se origina com os usuários especificados, o perfil do IAM é assumido.

  • "Prefix" especifica que o identificador é um local do Amazon S3. O perfil do IAM é assumido para chamadas para os locais com os prefixos especificados. Por exemplo, o prefixo s3://amzn-s3-demo-bucket/ corresponde a s3://amzn-s3-demo-bucket/mydir e s3://amzn-s3-demo-bucket/yetanotherdir.

  • "Group" especifica que os identificadores são um ou mais grupos do Hadoop. O perfil do IAM será assumido se a solicitação for originada de um usuário dos grupos especificados.

   "Identifiers":

Especifica um ou mais identificadores do tipo de identificador adequado. Separe múltiplos identificadores por vírgulas sem espaços.

Configurar solicitações de serviço de metadados para instâncias do Amazon EC2

Os metadados da instância são dados sobre sua instância que é possível usar para configurar ou gerenciar a instância em execução. É possível acessar metadados de instância em uma instância em execução usando um dos seguintes métodos:

  • Serviço de metadados da instância versão 1 (IMDSv1): um método de solicitação/resposta

  • Serviço de metadados da instância versão 2 (IMDSv2): um método orientado a sessões

Enquanto o Amazon EC2 oferece suporte ao IMDSv1 e ao IMDSv2, o Amazon EMR oferece suporte ao IMDSv2 no Amazon EMR 5.23.1, 5.27.1, 5.32 ou versões posteriores e 6.2 ou versões posteriores. Nessas versões, os componentes do Amazon EMR usam o IMDSv2 em todas as chamadas do IMDS. Para chamadas do IMDS no código da aplicação, você pode usar IMDSv1 e IMDSv2 ou configurar o IMDS para usar somente IMDSv2 para segurança adicional. Quando você especifica que o IMDSv2 deve ser usado, o IMDSv1 não funciona mais.

Para obter mais informações, consulte Configurar serviço de metadados de instância no Guia do usuário do Amazon EC2.

nota

Nas versões anteriores do Amazon EMR 5.x ou 6.x, desativar o IMDSv1 causará falha na inicialização do cluster, pois os componentes do Amazon EMR usam o IMDSv1 em todas as chamadas do IMDS. Ao desativar o IMDSv1, verifique se todos os softwares personalizados que utilizam o IMDSv1 estão atualizados para o IMDSv2.

Especificar a configuração do serviço de metadados da instância usando a AWS CLI

Veja a seguir um exemplo de trecho do JSON para especificar o serviço de metadados de instância (IMDS) do Amazon EC2 em uma configuração de segurança. O uso de uma configuração de segurança personalizada é opcional.

{
  "InstanceMetadataServiceConfiguration" : {
      "MinimumInstanceMetadataServiceVersion": integer,
      "HttpPutResponseHopLimit": integer
   }
}
Parâmetro Descrição

"InstanceMetadataServiceConfiguration":

Se você não especificar o IMDS em uma configuração de segurança e usar uma versão do Amazon EMR que exija o IMDSv1, o Amazon EMR usará como padrão o IMDSv1 como a versão mínima do serviço de metadados da instância. Se quiser usar sua própria configuração, os dois parâmetros a seguir serão obrigatórios.

"MinimumInstanceMetadataServiceVersion":

Obrigatório. Especifique 1 ou 2. O valor 1 permite o IMDSv1 e o IMDSv2. O valor 2 permite somente IMDSv2.

"HttpPutResponseHopLimit":

Obrigatório. O limite de salto de resposta HTTP PUT desejado para solicitações de metadados de instância. Quanto maior o número, mais as solicitações de metadados de instância podem viajar. Padrão: 1. Especifique um número inteiro de 1 a 64.

Especificar a configuração do serviço de metadados da instância usando o console

É possível configurar o uso do IMDS para um cluster ao iniciá-lo no console do Amazon EMR.

Para configurar o uso do IMDS usando o console:

  1. Ao criar uma nova configuração de segurança na página Configurações de segurança, selecione Configurar serviço de metadados de instância do EC2 na configuração Serviço de metadados de instância do EC2. Essa configuração é compatível somente com o Amazon EMR 5.23.1, 5.27.1, 5.32 ou posteriores e 6.2 ou posteriores.

  2. Na opção Versão mínima do serviço de metadados de instância, selecione:

    • Desativar o IMDSv1 e permitir somente o IMDSv2, se quiser permitir somente o IMDSv2 no cluster. Consulte Transition to using instance metadata service version 2 no Guia do usuário do Amazon EC2.

    • Permitir o IMDSv1 e o IMDSv2 no cluster, se quiser permitir o IMDSv1 e o IMDSv2 orientado por sessão no cluster.

  3. Para IMDSv2, também é possível configurar o número permitido de saltos de rede para o token de metadados, definindo o limite de salto de resposta HTTP put como um número inteiro de 1 a 64.

Para obter mais informações, consulte Configurar serviço de metadados de instância no Guia do usuário do Amazon EC2.

Consulte Configure instance details e Configure the instance metadata service no Guia do usuário do Amazon EC2.