As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Noções básicas da criptografia em trânsito
<a name="emr-encryption-support-matrix"></a>

Você pode configurar um cluster do EMR para executar estruturas de código aberto, como [Apache Spark](https://aws.amazon.com/emr/features/spark/), [Apache Hive](https://aws.amazon.com/emr/features/hive/) e [Presto](https://aws.amazon.com/emr/features/presto/). Cada uma dessas estruturas de código aberto tem um conjunto de processos em execução nas instâncias do EC2 de um cluster. Cada um desses processos pode hospedar endpoints de rede para comunicação de rede.

Se a criptografia em trânsito estiver habilitada em um cluster do EMR, diferentes endpoints de rede usarão mecanismos de criptografia distintos. Consulte as seções a seguir para saber mais sobre os endpoints de rede específicos da estrutura de código aberto compatíveis com criptografia em trânsito, os mecanismos de criptografia relacionados e qual versão do Amazon EMR adicionou suporte. Cada aplicação de código aberto também pode ter diferentes práticas recomendadas e configurações da estrutura de código aberto que você pode alterar. 

 Para obter a maior cobertura de criptografia em trânsito, recomendamos que você habilite a criptografia em trânsito e o Kerberos. Se você habilitar somente a criptografia em trânsito, ela estará disponível somente para os endpoints de rede compatíveis com TLS. O Kerberos é necessário porque alguns endpoints de rede da estrutura de código aberto usam Simple Authentication and Security Layer (SASL) para criptografia em trânsito.

Observe que qualquer estrutura de código aberto sem suporte nas versões 7.x.x do Amazon EMR não está incluída.

## Spark
<a name="emr-encryption-support-matrix-spark"></a>

Ao habilitar a criptografia em trânsito nas configurações de segurança, `spark.authenticate` é automaticamente definido para `true` e usa a criptografia baseada em AES para conexões RPC.

A partir do Amazon EMR 7.3.0, se você usar criptografia em trânsito e autenticação do Kerberos, não poderá usar aplicações Spark que dependam do Hive Metastore. O Hive 3 corrige esse problema no [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340). O [HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114) resolve totalmente esse problema quando o Spark de código aberto pode ser atualizado para o Hive 3. Enquanto isso, você pode definir `hive.metastore.use.SSL` para `false` e contornar esse problema. Para obter mais informações, consulte [Configure applications](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obter mais informações, consulte [Spark security](https://spark.apache.org/docs/latest/security) da documentação do Apache Spark.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Servidor de histórico do Spark  |  spark.ssl.history.port  |  18480  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Interface do usuário do Spark  |  spark.ui.port  |  4440  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Driver do Spark  |  spark.driver.port  |  Dinâmico  |  Criptografia baseada em AES do Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Executor do Spark  |  Porta do executor (sem configuração nomeada)  |  Dinâmico  |  Criptografia baseada em AES do Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  FIO NodeManager  |  spark.shuffle.service.port1  |  7337  |  Criptografia baseada em AES do Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `spark.shuffle.service.port` está hospedado no YARN NodeManager , mas é usado somente pelo Apache Spark.

**Problema conhecido**

Em clusters habilitados em trânsito, a configuração `spark.yarn.historyServer.address` atualmente usa a porta `18080`, que impede o acesso à interface do usuário da aplicação Spark usando o URL de rastreamento do YARN. **Versão afetada:** EMR - 7.3.0 a EMR - 7.9.0.

Use a seguinte solução alternativa:

1. Modifique a configuração `spark.yarn.historyServer.address` em `/etc/spark/conf/spark-defaults.conf` para usar o número da porta `HTTPS` `18480` em um cluster em execução.

1. Isso também pode ser fornecido em substituições de configuração durante a inicialização do cluster.

Exemplo de configuração:

```
[
                               {
                                 "Classification": "spark-defaults",
                                 "Properties": {
                                     "spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
                                 }
                               }
  
                               ]
```

## YARN do Hadoop
<a name="emr-encryption-support-matrix-hadoop-yarn"></a>

O [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) está configurado para `privacy` e usa criptografia em trânsito baseada em SASL. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança. Se você não quiser criptografia em trânsito para o Hadoop RPC, configure `hadoop.rpc.protection = authentication`. Recomendamos usar a configuração padrão para obter a segurança máxima.

Se os certificados TLS não atenderem aos requisitos de verificação do nome de host TLS, você poderá configurar `hadoop.ssl.hostname.verifier = ALLOW_ALL`. Recomendamos que você use a configuração padrão de `hadoop.ssl.hostname.verifier = DEFAULT`, que impõe a verificação do nome de host TLS. 

Para desabilitar o HTTPS nos endpoints da aplicação Web do YARN, configure `yarn.http.policy = HTTP_ONLY`. Isso faz com que o tráfego para esses endpoints permaneça sem criptografia. Recomendamos usar a configuração padrão para obter a segurança máxima.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| ResourceManager |  yarn.resourcemanager.webapp.address  |  8088  |  TLS  |  emr-7.3.0\$1  | 
| ResourceManager |  yarn.resourcemanager.resource-tracker.address  |  8025  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.scheduler.address  |  8030  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.address  |  8032  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.admin.address  |  8033  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  yarn.timeline-service.address  |  10200  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  yarn.timeline-service.webapp.address  |  8188  |  TLS  |  emr-7.3.0\$1  | 
|  WebApplicationProxy  |  yarn.web-proxy.address  |  2088  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.address  |  8041  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.localizer.address  |  8040  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.webapp.address  |  8044  |  TLS  |  emr-7.3.0\$1  | 
|  NodeManager  |  mapreduce.shuffle.port1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  spark.shuffle.service.port2  |  7337  |  Criptografia baseada em AES do Spark  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `mapreduce.shuffle.port` está hospedado no YARN NodeManager , mas é usado somente pelo MapReduce Hadoop.

2 `spark.shuffle.service.port` está hospedado no YARN NodeManager , mas é usado apenas pelo Apache Spark.

**Problema conhecido**

Atualmente, a configuração `yarn.log.server.url` em está usando HTTP com a porta 19888, o que impede o acesso aos logs da aplicação a partir da interface do usuário do Resource Manager. **Versão afetada:** EMR - 7.3.0 a EMR - 7.8.0.

Use a seguinte solução alternativa:

1. Modifique a configuração `yarn.log.server.url` em `yarn-site.xml` para usar o protocolo `HTTPS` e o número da porta `19890`.

1. Reinicie o YARN Resource Manager: `sudo systemctl restart hadoop-yarn-resourcemanager.service`.

## HDFS do Hadoop
<a name="emr-encryption-support-matrix-hadoop-hdfs"></a>

O nó de nome, o nó de dados e o nó de diário do Hadoop oferecem suporte a TLS por padrão se a criptografia em trânsito estiver habilitada nos clusters do EMR.

O [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) está configurado para `privacy` e usa criptografia em trânsito baseada em SASL. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança.

Recomendamos não alterar as portas padrão usadas em endpoints HTTPS.

A [criptografia de dados na transferência de blocos HDFS](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.) usa AES 256 e requer que a criptografia em repouso esteja habilitada na configuração de segurança.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Namenode  |  dfs.namenode.https-address  |  9871  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Namenode  |  dfs.namenode.rpc-address  |  8020  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datanode  |  dfs.datanode.https.address  |  9865  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datanode  |  dfs.datanode.address  |  986  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Nó de diário  |  dfs.journalnode.https-address  |  8481  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Nó de diário  |  dfs.journalnode.rpc-address  |  8485  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  DFSZKFailoverControlador  |  dfs.ha.zkfc.port  |  8019  |  Nenhum  |  O TLS para ZKFC só é compatível com o Hadoop 3.4.0. Para obter mais informações, consulte [HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919). A versão 7.1.0 do Amazon EMR está atualmente no Hadoop 3.3.6. Versões superiores do Amazon EMR estarão no Hadoop 3.4.0  | 

## Hadoop MapReduce
<a name="emr-encryption-support-matrix-hadoop-mapreduce"></a>

O Hadoop MapReduce, o servidor de histórico de tarefas e o MapReduce shuffle oferecem suporte a TLS por padrão quando a criptografia em trânsito está habilitada nos clusters do EMR.

O [shuffle MapReduce criptografado do Hadoop](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html) usa TLS.

Recomendamos que você não altere as portas padrão para endpoints HTTPS.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  JobHistoryServer  |  mapreduce.jobhistory.webapp.https.address  |  1980 a 90  |  TLS  |  emr-7.3.0\$1  | 
|  FIO NodeManager  |  mapreduce.shuffle.port1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 `mapreduce.shuffle.port` está hospedado no YARN NodeManager , mas é usado somente pelo MapReduce Hadoop.

## Presto
<a name="emr-encryption-support-matrix-presto"></a>

Nas versões 5.6.0 e superiores do Amazon EMR, a comunicação interna entre o coordenador do Presto e os trabalhadores usa TLS. O Amazon EMR define todas as configurações necessárias para permitir a [comunicação interna segura](https://prestodb.io/docs/current/security/internal-communication.html) no Presto. 

Se o conector usar o metastore do Hive como armazenamento de metadados, a comunicação entre o comunicador e o metastore do Hive também será criptografada com TLS.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Coordenador do Presto  |  http-server.https.port  |  846  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Trabalhador do Presto  |  http-server.https.port  |  846  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Trino
<a name="emr-encryption-support-matrix-trino"></a>

Nas versões 6.1.0 e posteriores do Amazon EMR, a comunicação interna entre o coordenador do Presto e os trabalhadores usa TLS. O Amazon EMR define todas as configurações necessárias para permitir a [comunicação interna segura](https://trino.io/docs/current/security/internal-communication.html) no Trino. 

Se o conector usar o metastore do Hive como armazenamento de metadados, a comunicação entre o comunicador e o metastore do Hive também será criptografada com TLS.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Trino Coordinator  |  http-server.https.port  |  846  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 
|  Trino Worker  |  http-server.https.port  |  846  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 

## Hive e Tez
<a name="emr-encryption-support-matrix-hive-tez"></a>

Por padrão, o servidor Hive 2, o servidor Hive Metastore, a interface de usuário da Web do daemon do LLAP do Hive e o shuffle do LLAP do Hive oferecem suporte ao TLS quando a criptografia em trânsito está habilitada nos clusters do EMR. Para obter mais informações sobre as configurações do Hive, consulte [Configuration properties](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties).

A interface de usuário do Tez hospedada no servidor Tomcat também é habilitada para HTTPS quando a criptografia em trânsito está ativada no cluster do EMR. No entanto, o HTTPS está desabilitado para o serviço de interface do usuário da Web do Tez AM, portanto, os usuários do AM não têm acesso ao arquivo de keystore do receptor de SSL de abertura. Você também pode habilitar esse comportamento com as configurações booleanas `tez.am.tez-ui.webservice.enable.ssl` e `tez.am.tez-ui.webservice.enable.client.auth`.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  HiveServer2  |  hive.server2.thrift.port  |  10000  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2  |  hive.server2.thrift.http.port  |  10001  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2  |  hive.server2.webui.port  |  10002  |  TLS  |  emr-7.3.0\$1  | 
|  HiveMetastoreServer  |  hive.metastore.port  |  9083  |  TLS  |  emr-7.3.0\$1  | 
|  Daemon do LLAP  |  hive.llap.daemon.yarn.shuffle.port  |  1551  |  TLS  |  emr-7.3.0\$1  | 
|  Daemon do LLAP  |  hive.llap.daemon.web.port  |  15002  |  TLS  |  emr-7.3.0\$1  | 
|  Daemon do LLAP  |  hive.llap.daemon.output.service.port  |  15003  |  Nenhum  |  O Hive não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  Daemon do LLAP  |  hive.llap.management.rpc.port  |  15004  |  Nenhum  |  O Hive não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  Daemon do LLAP  |  hive.llap.plugin.rpc.port  |  Dinâmico  |  Nenhum  |  O Hive não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  Daemon do LLAP  |  hive.llap.daemon.rpc.port  |  Dinâmico  |  Nenhum  |  O Hive não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  Web HCat  |  templeton.port  |  50111  |  TLS  |  emr-7.3.0\$1  | 
|  Tez Application Master  |  tez.am.client.am.port-range tez.am.task.am.port-range  |  Dinâmico  |  Nenhum  |  O Tez não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  Tez Application Master  |  tez.am.tez-ui.webservice.port-range  |  Dinâmico  |  Nenhum  |  Desabilitado por padrão. Pode ser habilitado usando as configurações do Tez no emr-7.3.0\$1  | 
|  Tarefa do Tez  |  N/D: não configurável  |  Dinâmico  |  Nenhum  |  O Tez não oferece suporte à criptografia em trânsito para esse endpoint  | 
|  IU Tez  |  Configurável por meio do servidor Tomcat no qual a interface de usuário do Tez está hospedada  |  8080  |  TLS  |  emr-7.3.0\$1  | 

## Flink
<a name="emr-encryption-support-matrix-flink"></a>

 Os endpoints REST do Apache Flink e a comunicação interna entre os processos do Flink oferecem suporte ao TLS por padrão quando você habilita a criptografia em trânsito nos clusters do EMR. 

 [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled) está definido como `true` e usa criptografia em trânsito para comunicação interna entre os processos do Flink. Se você não quiser criptografia em trânsito para comunicação interna, desabilite essa configuração. Recomendamos usar a configuração padrão para obter segurança máxima. 

 O Amazon EMR define [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled) como `true` e usa criptografia em trânsito para os endpoints REST. Além disso, o Amazon EMR define [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled) como verdadeiro para usar a comunicação TLS com o servidor de histórico do Flink. Se você não quiser criptografia em trânsito para os pontos REST, desabilite essas configurações. Recomendamos usar a configuração padrão para obter segurança máxima. 

O Amazon EMR usa [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms) para especificar a lista de cifras que usam criptografia baseada em AES. Substitua essa configuração para usar as cifras desejadas.

Para obter mais informações, consulte [SSL Setup](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/) na documentação do Flink.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Servidor de histórico do Flink  |  historyserver.web.port  |  8082  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor REST do gerenciador de trabalhos  |  rest.bind-port rest.port  |  Dinâmico  |  TLS  |  emr-7.3.0\$1  | 

## HBase
<a name="emr-encryption-support-matrix-hbase"></a>

 O Amazon EMR define o [Secure Hadoop](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) RPC como. `privacy` HMaster e RegionServer use criptografia em trânsito baseada em SASL. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança. 

O Amazon EMR define `hbase.ssl.enabled` como verdadeiro e usa TLS para endpoints de interface do usuário. Se não quiser usar o TLS para endpoints da interface do usuário, desabilite essa configuração. Recomendamos usar a configuração padrão para obter a segurança máxima.

O Amazon EMR define `hbase.rest.ssl.enabled` e `hbase.thrift.ssl.enabled` e usa TLS para os endpoints do servidor REST e Thrift, respectivamente. Se não quiser usar o TLS para esses endpoints, desabilite essa configuração. Recomendamos usar a configuração padrão para obter a segurança máxima.

A partir do EMR 7.6.0, o TLS é suportado em endpoints. HMaster RegionServer O Amazon EMR também define `hbase.server.netty.tls.enabled` e `hbase.client.netty.tls.enabled`. Se não quiser usar o TLS para esses endpoints, desabilite essa configuração. Recomendamos usar a configuração padrão, que fornece criptografia e, portanto, maior segurança. Para saber mais, consulte [Transport Level Security (TLS) na comunicação HBase RPC](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication) no Guia de Referência do *Apache HBase *. 


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  HMaster  |  HMaster  |  16000  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos in emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 e emr-7.0.0\$1 TLS no emr-7.6.0\$1  | 
|  HMaster  |  HMaster UI  |  16010  |  TLS  |  emr-7.3.0\$1  | 
|  RegionServer  |  RegionServer  |  16020  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos in emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 e emr-7.0.0\$1 TLS no emr-7.6.0\$1  | 
|  RegionServer  |  RegionServer Informações  |  16030  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Servidor Rest  |  Servidor REST  |  8070  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Servidor Rest  |  Interface do usuário REST  |  8085  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor Thrift do Hbase  |  Servidor Thrift  |  9090  |  TLS  |  emr-7.3.0\$1  | 
|  Servidor Thrift do Hbase  |  Interface do usuário do servidor Thrift  |  9095  |  TLS  |  emr-7.3.0\$1  | 

## Phoenix
<a name="emr-encryption-support-matrix-phoenix"></a>

 Se você habilitou a criptografia em trânsito no cluster do EMR, o Phoenix Query Server será compatível com a propriedade `phoenix.queryserver.tls.enabled` do TLS, que é definida como `true` por padrão. 

Para saber mais, consulte [Configurations relating to HTTPS](https://phoenix.apache.org/docs/features/query-server#query-server-configuration) na documentação do Phoenix Query Server.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Query Server  |  phoenix.queryserver.http.port  |  8765  |  TLS  |  emr-7.3.0\$1  | 

## Oozie
<a name="emr-encryption-support-matrix-oozie"></a>

O [OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673) está disponível no Amazon EMR ao executar o Oozie no Amazon EMR 7.3.0 e superior. Se precisar configurar protocolos SSL ou TLS personalizados ao executar uma ação de e-mail, você pode definir a propriedade `oozie.email.smtp.ssl.protocols` no arquivo `oozie-site.xml`. Por padrão, se você habilitou a criptografia em trânsito, o Amazon EMR usa o protocolo TLS v1.3.

O [OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677) e o [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674) também estão disponíveis no Amazon EMR se você executar o Oozie no Amazon EMR 7.3.0 e superior. Isso permite especificar as propriedades `keyStoreType` e `trustStoreType` em `oozie-site.xml`. O OOZIE-3674 adiciona o parâmetro `--insecure` ao cliente Oozie para que ele possa ignorar os erros do certificado.

O Oozie impõe a verificação do nome de host TLS, o que significa que qualquer certificado usado para criptografia em trânsito deve atender aos requisitos de verificação do nome de host. Se o certificado não atender aos critérios, o cluster pode ficar preso no estágio `oozie share lib update` quando o Amazon EMR provisiona o cluster. Recomendamos que você atualize seus certificados para garantir que eles estejam em conformidade com a verificação do nome de host. No entanto, se você não conseguir atualizar os certificados, poderá desabilitar o SSL para o Oozie definindo a propriedade `oozie.https.enabled` como `false` na configuração do cluster. 


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  EmbeddedOozieServer  |  oozie.https.port  |  11443  |  TLS  |  emr-7.3.0\$1  | 
|  EmbeddedOozieServer  |  oozie.email.smtp.port  |  25  |  TLS  |  emr-7.3.0\$1  | 

## Hue
<a name="emr-encryption-support-matrix-hue"></a>

Por padrão, o Hue oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Hue, consulte [Configurar o Hue com HTTPS/SSL](https://gethue.com/configure-hue-with-https-ssl/). 


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Hue  |  http\$1port  |  888  |  TLS  |  emr-7.4.0\$1  | 

## Livy
<a name="emr-encryption-support-matrix-livy"></a>

Por padrão, o Livy oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Livy, consulte [Habilitar o HTTPS com o Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).

A partir do Amazon EMR 7.3.0, se você usar criptografia em trânsito e autenticação do Kerberos, não poderá usar o servidor Livy para aplicações Spark que dependem do metastore Hive. Esse problema foi corrigido no [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) e será totalmente resolvido no [SPARK-44114](https://issues.apache.org/jira/browse/SPARK-44114) quando a aplicação Spark de código aberto puder ser atualizada para o Hive 3. Enquanto isso, você pode contornar esse problema definindo `hive.metastore.use.SSL` como `false`. Para obter mais informações, consulte [Configure applications](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obter mais informações, consulte [como habilitar o HTTPS com o Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  livy-server  |  livy.server.port  |  8998  |  TLS  |  emr-7.4.0\$1  | 

## JupyterEnterpriseGateway
<a name="emr-encryption-matrix-jupyter-enterprise"></a>

Por padrão, o Jupyter Enterprise Gateway oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Jupyter Enterprise Gateway, consulte [Proteção do Enterprise Gateway Server](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server).


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1enterprise\$1gateway  |  c. EnterpriseGatewayApp porta  |  9547  |  TLS  |  emr-7.4.0\$1  | 

## JupyterHub
<a name="emr-encryption-matrix-jupyter-hub"></a>

Por padrão, é JupyterHub compatível com TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações, consulte [Habilitar a criptografia SSL](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption) na JupyterHub documentação. Não é recomendável desabilitar a criptografia. 


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1hub  |  c. JupyterHub porta  |  9443  |  TLS  |  emr-5.14.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Zeppelin
<a name="emr-encryption-matrix-zeppelin"></a>

 Por padrão, o Zeppelin é compatível com TLS ao habilitar a criptografia em trânsito no cluster do EMR. Para obter mais informações sobre as configurações do Zeppelin, consulte [ SSL Configuration](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration) na documentação do Zeppelin. 


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  zeppelin  |  zeppelin.server.ssl.port  |  8890  |  TLS  |  7.3.0\$1  | 

## Zookeeper
<a name="emr-encryption-matrix-zookeeper"></a>

O Amazon EMR define `serverCnxnFactory` como `org.apache.zookeeper.server.NettyServerCnxnFactory` para habilitar o TLS para o quorum do Zookeeper e a comunicação com o cliente.

`secureClientPort` especifica a porta que escuta as conexões TLS. Se o cliente não oferecer suporte para conexões TLS com o Zookeeper, os clientes poderão se conectar à porta não segura 2181 especificada em `clientPort`. Você pode substituir ou desabilitar essas duas portas.

O Amazon EMR define `sslQuorum` e `admin.forceHttps` como `true` para habilitar a comunicação TLS para o quórum e o servidor administrativo. Se não quiser criptografia em trânsito para o quórum e o servidor de administração, você pode desabilitar essas configurações. Recomendamos usar as configurações padrão para obter a segurança máxima.

Para obter mais informações, consulte [Opções de criptografia, autenticação e autorização](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions), na documentação do Zookeeper.


| Componente | Endpoint | Porta | Mecanismo de criptografia em trânsito | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
|  Zookeeper Server  |  secureClientPort  |  2281  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper Server  |  Portas de quórum  |  Existem 2: Os seguidores usam 2888 para se conectar ao líder. A eleição do líder usa 3888  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper Server  |  admin.serverPort  |  8341  |  TLS  |  emr-7.4.0\$1  |