在 Amazon 上使用 SSL/TLS 和LDAPS設定 Presto EMR - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon 上使用 SSL/TLS 和LDAPS設定 Presto EMR

使用 Amazon EMR5.6.0 版及更新版本,您可以啟用 SSL/TLS,以協助保護 Presto 節點之間的內部通訊。您可以為傳輸中加密設定安全組態,達成這個目的。如需詳細資訊,請參閱《Amazon EMR管理指南》中的加密選項使用安全組態來設定叢集安全性

當您使用具有傳輸中加密的安全組態時,Amazon 會針對 Presto EMR執行下列動作:

  • 將您針對傳輸中加密指定的加密成品或憑證,分配到整個 Presto 叢集。如需詳細資訊,請參閱提供傳輸中資料加密的憑證

  • 設定下列屬性,這些屬性會使用對應至 Presto 所使用 presto-config 檔案的 config.properties 組態分類:

    • 在所有節點http-server.http.enabledfalse上設定為 ,這會停用HTTP有利於 的 HTTPS。這需要您在設定傳輸中加密的安全組態DNS時,提供適用於公有和私有的憑證。其中一種方法是使用支援多個網域的 SAN(主體別名) 憑證。

    • 設定 http-server.https.* 值。如需組態詳細資訊,請參閱 Presto 文件中的LDAP身分驗證

  • 對於 6.1.0 版和更新EMR版本的 PrestoSQL (Trino),Amazon EMR會自動設定共用私密金鑰,以在叢集節點之間進行安全的內部通訊。您不需要任何其他組態來啟用此安全功能,而且可以使用您自己的密鑰來覆寫組態。如需有關 Trino 內部身分驗證的資訊,請參閱 Trino 353 文件:安全內部通訊

此外,使用 Amazon EMR5.10.0 版及更新版本,您可以使用 設定用戶端連線至 Presto 協調器的LDAP身分驗證HTTPS。此設定使用安全 LDAP(LDAPS)。 TLS 必須在LDAP您的伺服器上啟用,且 Presto 叢集必須使用啟用傳輸中資料加密的安全組態。需要設定其他組態。組態選項會根據EMR您使用的 Amazon 發行版本而有所不同。如需詳細資訊,請參閱在 Amazon 上使用 Presto 的LDAP身分驗證 EMR

Amazon 上的 Presto HTTPS 預設EMR會使用連接埠 8446 進行內部。用於內部通訊的連接埠必須與用於用戶端HTTPS存取 Presto 協調器的連接埠相同。http-server.https.port 組態分類內的 presto-config 屬性會指定連接埠。