Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Grundlegendes zur Verschlüsselung bei der Übertragung
<a name="emr-encryption-support-matrix"></a>

Sie können einen EMR-Cluster für die Ausführung von Open-Source-Frameworks wie [Apache Spark](https://aws.amazon.com/emr/features/spark/), [Apache Hive](https://aws.amazon.com/emr/features/hive/) und [Presto](https://aws.amazon.com/emr/features/presto/) konfigurieren. Jedes dieser Open-Source-Frameworks hat eine Reihe von Prozessen, die auf den EC2-Instances eines Clusters ausgeführt werden. Jeder dieser Prozesse kann Netzwerkendpunkte für die Netzwerkkommunikation hosten.

Wenn die Verschlüsselung während der Übertragung auf einem EMR-Cluster aktiviert ist, verwenden verschiedene Netzwerkendpunkte unterschiedliche Verschlüsselungsmechanismen. In den folgenden Abschnitten erfahren Sie mehr über die spezifischen Open-Source-Framework-Netzwerkendpunkte, die mit der Verschlüsselung während der Übertragung unterstützt werden, die zugehörigen Verschlüsselungsmechanismen und welche Amazon EMR-Version diese Unterstützung hinzugefügt hat. Jede Open-Source-Anwendung verfügt möglicherweise auch über unterschiedliche Best Practices und Open-Source-Framework-Konfigurationen, die Sie ändern können. 

 Um die Verschlüsselung während der Übertragung bestmöglich abzudecken, empfehlen wir, sowohl die Verschlüsselung während der Übertragung als auch Kerberos zu aktivieren. Wenn Sie nur die Verschlüsselung bei der Übertragung aktivieren, ist die Verschlüsselung bei der Übertragung nur für die Netzwerkendpunkte verfügbar, die TLS unterstützen. Kerberos ist erforderlich, da einige Open-Source-Framework-Netzwerkendpunkte Simple Authentication and Security Layer (SASL) für die Verschlüsselung während der Übertragung verwenden.

Beachten Sie, dass Open-Source-Frameworks, die in Amazon EMR 7.x.x-Versionen nicht unterstützt werden, nicht enthalten sind.

## Spark
<a name="emr-encryption-support-matrix-spark"></a>

Wenn Sie die Verschlüsselung während der Übertragung in Sicherheitskonfigurationen aktivieren, `spark.authenticate` wird automatisch die AES-basierte Verschlüsselung für `true` RPC-Verbindungen ausgewählt und verwendet.

Ab Amazon EMR 7.3.0 können Sie Spark-Anwendungen, die vom Hive-Metastore abhängen, nicht mehr verwenden, wenn Sie Verschlüsselung bei der Übertragung und Kerberos-Authentifizierung verwenden. [Hive 3 behebt dieses Problem in HIVE-16340.](https://issues.apache.org/jira/browse/HIVE-16340) [HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114) behebt dieses Problem vollständig, wenn Open-Source-Spark auf Hive 3 aktualisiert werden kann. In der Zwischenzeit können Sie sich daran machen, dieses Problem `hive.metastore.use.SSL` zu `false` umgehen. Weitere Informationen finden Sie unter [Konfigurieren von Anwendungen](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Weitere Informationen finden Sie unter [Spark-Sicherheit](https://spark.apache.org/docs/latest/security) in der Apache Spark-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Spark History Server  |  spark.ssl.history.port  |  18480  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Spark-Benutzeroberfläche  |  spark.ui.port  |  4440  |  TLS  |  emr-5.3.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Spark-Treiber  |  spark.driver.port  |  Dynamisch  |  AES-basierte Verschlüsselung auf Spark-Basis  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Spark Executor  |  Executor-Port (keine benannte Konfiguration)  |  Dynamisch  |  AES-basierte Verschlüsselung auf Spark-Basis  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  GARN NodeManager  |  spark.shuffle.service.port 1  |  7337  |  AES-basierte Verschlüsselung auf Spark-Basis  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 wird auf YARN `spark.shuffle.service.port` gehostet, aber nur von Apache NodeManager Spark verwendet.

**Bekanntes Problem**

Bei Clustern mit aktiviertem Intransit verwendet die `spark.yarn.historyServer.address` Konfiguration derzeit den Port`18080`, wodurch der Zugriff auf die Benutzeroberfläche der Spark-Anwendung mithilfe der YAR-Tracking-URL verhindert wird. **Betrifft Version:** EMR - 7.3.0 bis EMR - 7.9.0.

Verwenden Sie die folgende Problemumgehung:

1. Ändern Sie die `spark.yarn.historyServer.address` Konfiguration so`/etc/spark/conf/spark-defaults.conf`, dass die `HTTPS` Portnummer `18480` auf einem laufenden Cluster verwendet wird.

1. Dies kann auch in Form von Konfigurationsüberschreibungen beim Starten des Clusters bereitgestellt werden.

Beispielkonfiguration:

```
[
                               {
                                 "Classification": "spark-defaults",
                                 "Properties": {
                                     "spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
                                 }
                               }
  
                               ]
```

## Hadoop-GARN
<a name="emr-encryption-support-matrix-hadoop-yarn"></a>

[Secure Hadoop RPC ist auf](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) SASL-basierte Verschlüsselung bei der Übertragung eingestellt `privacy` und verwendet diese. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist. Wenn Sie keine Verschlüsselung während der Übertragung für Hadoop RPC wünschen, konfigurieren Sie. `hadoop.rpc.protection = authentication` Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.

Wenn Ihre TLS-Zertifikate die Anforderungen zur Überprüfung des TLS-Hostnamens nicht erfüllen, können Sie sie konfigurieren`hadoop.ssl.hostname.verifier = ALLOW_ALL`. Wir empfehlen Ihnen, die Standardkonfiguration von zu verwenden`hadoop.ssl.hostname.verifier = DEFAULT`, die die Überprüfung des TLS-Hostnamens erzwingt. 

Um HTTPS für die Endpunkte der YARN-Webanwendung zu deaktivieren, konfigurieren Sie. `yarn.http.policy = HTTP_ONLY` Dadurch bleibt der Datenverkehr zu diesen Endpunkten unverschlüsselt. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.

Weitere Informationen finden Sie unter [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) in der Apache-Hadoop-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
| ResourceManager |  yarn.resourcemanager.webapp.address  |  8088  |  TLS  |  emr-7.3.0\$1  | 
| ResourceManager |  yarn.resourcemanager.resource-tracker.address  |  8025  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.scheduler.address  |  8030  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.address  |  8032  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| ResourceManager |  yarn.resourcemanager.admin.address  |  8033  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  garn.timeline-service.adresse  |  10200  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
| TimelineServer |  garn.timeline-service.webapp.adresse  |  8188  |  TLS  |  emr-7.3.0\$1  | 
|  WebApplicationProxy  |  yarn.web-proxy.address  |  20888  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.address  |  8041  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.localizer.address  |  8040  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  yarn.nodemanager.webapp.address  |  8044  |  TLS  |  emr-7.3.0\$1  | 
|  NodeManager  |  mapreduce.shuffle.Anschluss 1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  NodeManager  |  spark.shuffle.service.port 2  |  7337  |  AES-basierte Verschlüsselung auf Spark-Basis  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 wird auf `mapreduce.shuffle.port` YARN gehostet, aber nur von Hadoop NodeManager verwendet. MapReduce

2 `spark.shuffle.service.port` wird auf YARN gehostet NodeManager , aber nur von Apache Spark verwendet.

**Bekanntes Problem**

Die `yarn.log.server.url` Konfiguration in verwendet derzeit HTTP mit Port 19888, wodurch der Zugriff auf Anwendungsprotokolle über die Resource Manager-Benutzeroberfläche verhindert wird. **Betrifft Version:** EMR - 7.3.0 bis EMR - 7.8.0.

Verwenden Sie die folgende Problemumgehung:

1. Ändern Sie die `yarn.log.server.url` Konfiguration so`yarn-site.xml`, dass das `HTTPS` Protokoll und die Portnummer `19890` verwendet werden.

1. Starten Sie YARN Resource Manager neu:`sudo systemctl restart hadoop-yarn-resourcemanager.service`.

## Hadoop HDFS
<a name="emr-encryption-support-matrix-hadoop-hdfs"></a>

Der Hadoop-Name-Node, der Datenknoten und der Journal-Node unterstützen standardmäßig TLS, wenn die Verschlüsselung während der Übertragung in EMR-Clustern aktiviert ist.

[Secure Hadoop RPC ist auf](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) „auf“ eingestellt `privacy` und verwendet eine SASL-basierte Verschlüsselung bei der Übertragung. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist.

Wir empfehlen, die für HTTPS-Endpunkte verwendeten Standardports nicht zu ändern.

[Die Datenverschlüsselung bei der HDFS-Blockübertragung verwendet](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.) AES 256 und erfordert, dass die Verschlüsselung im Ruhezustand in der Sicherheitskonfiguration aktiviert ist.

Weitere Informationen finden Sie unter [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) in der Apache-Hadoop-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Namenode  |  dfs.namenode.https-Adresse  |  9871  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Benennen Sie den Knoten  |  dfs.namenode.rpc-address  |  8020  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datenknoten  |  dfs.datanode.https.address  |  9865  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Datenknoten  |  dfs.datanode.address  |  9866  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Journalknoten  |  dfs.journalnode.https-Adresse  |  8481  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Journalknoten  |  dfs.journalnode.rpc-Adresse  |  8485  |  SASL \$1 Kerberos  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  DFSZKFailoverSteuerung  |  dfs.ha.zkfc.port  |  8019  |  Keine  |  TLS für ZKFC wird nur in Hadoop 3.4.0 unterstützt. Weitere Informationen finden Sie unter [HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919). Amazon EMR Version 7.1.0 befindet sich derzeit auf Hadoop 3.3.6. Höhere Amazon EMR-Versionen sind in future auf Hadoop 3.4.0 verfügbar  | 

## Hadoop MapReduce
<a name="emr-encryption-support-matrix-hadoop-mapreduce"></a>

Hadoop MapReduce, Job History Server und MapReduce Shuffle unterstützen standardmäßig TLS, wenn die Verschlüsselung während der Übertragung in EMR-Clustern aktiviert ist.

[Hadoop-verschlüsselter Shuffle verwendet MapReduce ](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html) TLS.

Wir empfehlen, die Standardports für HTTPS-Endpunkte nicht zu ändern.

Weitere Informationen finden Sie unter [Hadoop in Secure Mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) in der Apache-Hadoop-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  JobHistoryServer  |  mapreduce.jobhistory.webapp.https.address  |  19890  |  TLS  |  emr-7.3.0\$1  | 
|  GARN NodeManager  |  mapreduce.shuffle.port 1  |  13562  |  TLS  |  emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

1 wird auf `mapreduce.shuffle.port` YARN gehostet, aber nur von Hadoop NodeManager verwendet. MapReduce

## Presto
<a name="emr-encryption-support-matrix-presto"></a>

In Amazon EMR-Versionen 5.6.0 und höher verwendet die interne Kommunikation zwischen dem Presto-Koordinator und den Mitarbeitern TLS. Amazon EMR richtet alle erforderlichen Konfigurationen ein, um eine [sichere interne](https://prestodb.io/docs/current/security/internal-communication.html) Kommunikation in Presto zu ermöglichen. 

Wenn der Connector den Hive-Metastore als Metadatenspeicher verwendet, wird die Kommunikation zwischen dem Communicator und dem Hive-Metastore ebenfalls mit TLS verschlüsselt.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Presto-Koordinator  |  http-server.https.port  |  8446  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 
|  Presto, Arbeiter  |  http-server.https.port  |  8446  |  TLS  |  emr-5.6.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Trino
<a name="emr-encryption-support-matrix-trino"></a>

In Amazon EMR-Versionen 6.1.0 und höher verwendet die interne Kommunikation zwischen dem Presto-Koordinator und den Mitarbeitern TLS. Amazon EMR richtet alle erforderlichen Konfigurationen ein, um eine [sichere interne](https://trino.io/docs/current/security/internal-communication.html) Kommunikation in Trino zu ermöglichen. 

Wenn der Connector den Hive-Metastore als Metadatenspeicher verwendet, wird die Kommunikation zwischen dem Communicator und dem Hive-Metastore ebenfalls mit TLS verschlüsselt.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Trino-Koordinator  |  http-server.https.port  |  8446  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 
|  Trino, Arbeiter  |  http-server.https.port  |  8446  |  TLS  |  emr-6.1.0\$1, emr-7.0.0\$1  | 

## Hive und Tez
<a name="emr-encryption-support-matrix-hive-tez"></a>

Standardmäßig unterstützen Hive Server 2, Hive Metastore Server, Hive LLAP Daemon Web UI und Hive LLAP shuffle alle TLS, wenn die Verschlüsselung während der Übertragung in den EMR-Clustern aktiviert ist. [Weitere Informationen zu den Hive-Konfigurationen finden Sie unter Konfigurationseigenschaften.](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties)

Die Tez-Benutzeroberfläche, die auf dem Tomcat-Server gehostet wird, ist ebenfalls HTTPS-fähig, wenn die Verschlüsselung während der Übertragung im EMR-Cluster aktiviert ist. HTTPS ist jedoch für den Tez AM-Web-UI-Dienst deaktiviert, sodass AM-Benutzer keinen Zugriff auf die Keystore-Datei für den öffnenden SSL-Listener haben. Sie können dieses Verhalten auch mit den booleschen Konfigurationen und aktivieren. `tez.am.tez-ui.webservice.enable.ssl` `tez.am.tez-ui.webservice.enable.client.auth`


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  HiveServer2  |  hive.server2.thrift.port  |  10000  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2  |  hive.server2.thrift.http.port  |  10001  |  TLS  |  emr-6.9.0\$1, emr-7.0.0\$1  | 
|  HiveServer2  |  hive.server2.webui.port  |  10002  |  TLS  |  emr-7.3.0\$1  | 
|  HiveMetastoreServer  |  hive.metastore.port  |  9083  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP-Daemon  |  hive.llap.daemon.yarn.shuffle.port  |  1551  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP-Daemon  |  hive.llap.daemon.web.port  |  15002  |  TLS  |  emr-7.3.0\$1  | 
|  LLAP-Daemon  |  hive.llap.daemon.output.service.port  |  15003  |  Keine  |  Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung  | 
|  LLAP-Daemon  |  hive.llap.management.rpc.port  |  15004  |  Keine  |  Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung  | 
|  LLAP-Daemon  |  hive.llap.plugin.rpc.port  |  Dynamisch  |  Keine  |  Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung  | 
|  LLAP-Daemon  |  hive.llap.daemon.rpc.port  |  Dynamisch  |  Keine  |  Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung  | 
|  Internet HCat  |  templeton.port  |  50111  |  TLS  |  emr-7.3.0\$1  | 
|  Tez-Anwendungsmaster  |  tez.am.client.am.port-Bereich tez.am.task.am.port-Bereich  |  Dynamisch  |  Keine  |  Tez unterstützt für diesen Endpunkt keine Verschlüsselung während der Übertragung  | 
|  Tez Application Master  |  tez.am.tez-ui.webservice.portrange  |  Dynamisch  |  Keine  |  Standardmäßig deaktiviert. Kann mithilfe von Tez-Konfigurationen in emr-7.3.0\$1 aktiviert werden  | 
|  Tez-Aufgabe  |  N/A - nicht konfigurierbar  |  Dynamisch  |  Keine  |  Tez unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung  | 
|  Tez UI  |  Konfigurierbar über den Tomcat-Server, auf dem die Tez-Benutzeroberfläche gehostet wird  |  8080  |  TLS  |  emr-7.3.0\$1  | 

## Flink
<a name="emr-encryption-support-matrix-flink"></a>

 Apache Flink REST-Endpunkte und die interne Kommunikation zwischen Flink-Prozessen unterstützen TLS standardmäßig, wenn Sie die Verschlüsselung während der Übertragung in EMR-Clustern aktivieren. 

 [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled)ist auf In-Transit-Verschlüsselung eingestellt `true` und verwendet diese für die interne Kommunikation zwischen den Flink-Prozessen. Wenn Sie keine Verschlüsselung während der Übertragung für die interne Kommunikation wünschen, deaktivieren Sie diese Konfiguration. Wir empfehlen Ihnen, die Standardkonfiguration für maximale Sicherheit zu verwenden. 

 Amazon EMR stellt [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled)die Verschlüsselung während der Übertragung für die REST-Endpunkte ein `true` und verwendet diese. Darüber hinaus setzt Amazon EMR auch [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled)auf true, um die TLS-Kommunikation mit dem Flink-Verlaufsserver zu verwenden. Wenn Sie keine Verschlüsselung während der Übertragung für die REST-Punkte wünschen, deaktivieren Sie diese Konfigurationen. Wir empfehlen Ihnen, die Standardkonfiguration für maximale Sicherheit zu verwenden. 

Amazon EMR verwendet [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms)., um die Liste der Chiffren anzugeben, die AES-basierte Verschlüsselung verwenden. Überschreiben Sie diese Konfiguration, um die gewünschten Chiffren zu verwenden.

Weitere Informationen finden Sie unter [SSL-Setup](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/) in der Flink-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Flink History Server  |  historyserver.web.port  |  8082  |  TLS  |  emr-7.3.0\$1  | 
|  Job Manager Restserver  |  rest.bind-port rest.port  |  Dynamisch  |  TLS  |  emr-7.3.0\$1  | 

## HBase
<a name="emr-encryption-support-matrix-hbase"></a>

 Amazon EMR setzt [Secure Hadoop RPC auf](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC). `privacy` HMaster und RegionServer verwenden Sie eine SASL-basierte Verschlüsselung bei der Übertragung. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist. 

Amazon EMR ist `hbase.ssl.enabled` auf true gesetzt und verwendet TLS für UI-Endpunkte. Wenn Sie TLS nicht für UI-Endpunkte verwenden möchten, deaktivieren Sie diese Konfiguration. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.

Amazon EMR setzt `hbase.rest.ssl.enabled` `hbase.thrift.ssl.enabled` und verwendet TLS für die REST- bzw. Thirft-Serverendpunkte. Wenn Sie TLS für diese Endpunkte nicht verwenden möchten, deaktivieren Sie diese Konfiguration. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.

Ab EMR 7.6.0 wird TLS auf HMaster und RegionServer Endpunkten unterstützt. Amazon EMR legt auch `hbase.server.netty.tls.enabled` und `hbase.client.netty.tls.enabled` fest. Wenn Sie TLS für diese Endpunkte nicht verwenden möchten, deaktivieren Sie diese Konfiguration. Wir empfehlen, die Standardkonfiguration zu verwenden, die Verschlüsselung und damit höhere Sicherheit bietet. Weitere Informationen finden Sie unter [Transport Level Security (TLS) bei der HBase RPC-Kommunikation](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication) im *Apache HBase Reference Guide.* 


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  HMaster  |  HMaster  |  16000  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos in emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 und emr-7.0.0\$1 TLS unter emr-7.6.0\$1  | 
|  HMaster  |  HMaster UI  |  16010  |  TLS  |  emr-7.3.0\$1  | 
|  RegionServer  |  RegionServer  |  16020  |  SASL \$1 Kerberos TLS  |  SASL \$1 Kerberos in emr-4.8.0\$1, emr-5.0.0\$1, emr-6.0.0\$1 und emr-7.0.0\$1 TLS unter emr-7.6.0\$1  | 
|  RegionServer  |  RegionServer Informationen  |  16030  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Server ausruhen  |  Rest-Server  |  8070  |  TLS  |  emr-7.3.0\$1  | 
|  HBase Server ausruhen  |  Rest-Benutzeroberfläche  |  8085  |  TLS  |  emr-7.3.0\$1  | 
|  Hbase Thrift Server  |  Sparsamer Server  |  9090  |  TLS  |  emr-7.3.0\$1  | 
|  Hbase Thrift Server  |  Thrift Server-Benutzeroberfläche  |  9095  |  TLS  |  emr-7.3.0\$1  | 

## Phoenix
<a name="emr-encryption-support-matrix-phoenix"></a>

 Wenn Sie die Verschlüsselung während der Übertragung in Ihrem EMR-Cluster aktiviert haben, unterstützt Phoenix Query Server die TLS-Eigenschaft`phoenix.queryserver.tls.enabled`, die standardmäßig auf `true` gesetzt ist. 

Weitere Informationen finden Sie unter [Konfigurationen in Bezug auf HTTPS](https://phoenix.apache.org/server.html#Configuration) in der Phoenix Query Server-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Server abfragen  |  phoenix.queryserver.http.port  |  8765  |  TLS  |  emr-7.3.0\$1  | 

## Oozie
<a name="emr-encryption-support-matrix-oozie"></a>

[OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673) ist auf Amazon EMR verfügbar, wenn Sie Oozie auf Amazon EMR 7.3.0 und höher ausführen. Wenn Sie beim Ausführen einer E-Mail-Aktion benutzerdefinierte SSL- oder TLS-Protokolle konfigurieren müssen, können Sie die Eigenschaft in der Datei festlegen. `oozie.email.smtp.ssl.protocols` `oozie-site.xml` Wenn Sie die Verschlüsselung bei der Übertragung aktiviert haben, verwendet Amazon EMR standardmäßig das Protokoll TLS v1.3.

[OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677) und [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674) sind auch auf Amazon EMR verfügbar, wenn Sie Oozie auf Amazon EMR 7.3.0 und höher ausführen. `keyStoreType`Auf diese Weise können Sie `trustStoreType` die `oozie-site.xml` Eigenschaften und in angeben. OOZIE-3674 fügt den Parameter dem Oozie-Client hinzu`--insecure`, sodass dieser Zertifikatsfehler ignorieren kann.

Oozie erzwingt die Überprüfung des TLS-Hostnamens, was bedeutet, dass jedes Zertifikat, das Sie für die Verschlüsselung während der Übertragung verwenden, die Anforderungen an die Überprüfung des Hostnamens erfüllen muss. Wenn das Zertifikat die Kriterien nicht erfüllt, kann es sein, dass der Cluster in der `oozie share lib update` Phase, in der Amazon EMR den Cluster bereitstellt, hängen bleibt. Wir empfehlen Ihnen, Ihre Zertifikate zu aktualisieren, um sicherzustellen, dass sie der Hostnamenverifizierung entsprechen. Wenn Sie die Zertifikate jedoch nicht aktualisieren können, können Sie SSL für Oozie deaktivieren, indem Sie die `oozie.https.enabled` Eigenschaft `false` in der Clusterkonfiguration auf setzen. 


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  EmbeddedOozieServer  |  oozie.https.port  |  11443  |  TLS  |  emr-7.3.0\$1  | 
|  EmbeddedOozieServer  |  oozie.email.smtp.port  |  25  |  TLS  |  emr-7.3.0\$1  | 

## Hue
<a name="emr-encryption-support-matrix-hue"></a>

Standardmäßig unterstützt Hue TLS, wenn die Verschlüsselung während der Übertragung in Amazon EMR-Clustern aktiviert ist. Weitere Informationen zu Hue-Konfigurationen finden [Sie unter Hue mit HTTPS/SSL konfigurieren](https://gethue.com/configure-hue-with-https-ssl/). 


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Hue  |  http\$1port  |  8888  |  TLS  |  emr-7.4.0\$1  | 

## Livy
<a name="emr-encryption-support-matrix-livy"></a>

Standardmäßig unterstützt Livy TLS, wenn die Verschlüsselung während der Übertragung in Amazon EMR-Clustern aktiviert ist. Weitere Informationen zu Livy-Konfigurationen finden Sie unter [HTTPS mit Apache Livy aktivieren](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).

Ab Amazon EMR 7.3.0 können Sie, wenn Sie Verschlüsselung bei der Übertragung und Kerberos-Authentifizierung verwenden, den Livy-Server nicht für Spark-Anwendungen verwenden, die vom Hive-Metastore abhängen. Dieses Problem wurde in [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) behoben und in SPARK-44114 vollständig behoben, wenn die [Open-Source-Spark-Anwendung](https://issues.apache.org/jira/browse/SPARK-44114) auf Hive 3 aktualisiert werden kann. In der Zwischenzeit können Sie dieses Problem umgehen, wenn Sie dies einrichten. `hive.metastore.use.SSL` `false` Weitere Informationen finden Sie unter [Konfigurieren von Anwendungen](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Weitere Informationen finden Sie unter [HTTPS mit Apache Livy aktivieren](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Livy-Server  |  livy.server.port  |  8998  |  TLS  |  emr-7.4.0\$1  | 

## JupyterEnterpriseGateway
<a name="emr-encryption-matrix-jupyter-enterprise"></a>

Standardmäßig unterstützt Jupyter Enterprise Gateway TLS, wenn die Verschlüsselung während der Übertragung in Amazon EMR-Clustern aktiviert ist. [Weitere Informationen zu den Jupyter Enterprise Gateway-Konfigurationen finden Sie unter Securing Enterprise Gateway Server.](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server)


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1enterprise\$1gateway  |  c.-Anschluss EnterpriseGatewayApp  |  9547  |  TLS  |  emr-7.4.0\$1  | 

## JupyterHub
<a name="emr-encryption-matrix-jupyter-hub"></a>

 JupyterHub Unterstützt standardmäßig TLS, wenn die Verschlüsselung während der Übertragung in Amazon EMR-Clustern aktiviert ist. Weitere Informationen finden Sie in der Dokumentation unter [Aktivieren der JupyterHub SSL-Verschlüsselung](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption). Es wird nicht empfohlen, die Verschlüsselung zu deaktivieren. 


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  jupyter\$1hub  |  c.-Anschluss JupyterHub  |  9443  |  TLS  |  emr-5.14.0\$1, emr-6.0.0\$1, emr-7.0.0\$1  | 

## Zeppelin
<a name="emr-encryption-matrix-zeppelin"></a>

 Standardmäßig unterstützt Zeppelin TLS, wenn Sie die Verschlüsselung während der Übertragung in Ihrem EMR-Cluster aktivieren. Weitere Informationen zu den Zeppelin-Konfigurationen finden Sie unter [SSL-Konfiguration](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration) in der Zeppelin-Dokumentation. 


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Zeppelin  |  zeppelin.server.ssl.port  |  8890  |  TLS  |  7.3.0\$1  | 

## Zookeeper
<a name="emr-encryption-matrix-zookeeper"></a>

Amazon EMR legt fest`serverCnxnFactory`, dass `org.apache.zookeeper.server.NettyServerCnxnFactory` TLS für das Zookeeper-Quorum und die Client-Kommunikation aktiviert wird.

`secureClientPort`gibt den Port an, der TLS-Verbindungen abhört. Wenn der Client keine TLS-Verbindungen zu Zookeeper unterstützt, können sich Clients mit dem unsicheren Port 2181 verbinden, der unter angegeben ist. `clientPort` Sie können diese beiden Ports überschreiben oder deaktivieren.

Amazon EMR legt `sslQuorum` sowohl als auch fest`admin.forceHttps`, `true` um die TLS-Kommunikation für das Quorum und den Admin-Server zu aktivieren. Wenn Sie keine Verschlüsselung während der Übertragung für das Quorum und den Admin-Server wünschen, können Sie diese Konfigurationen deaktivieren. Wir empfehlen, die Standardkonfigurationen für maximale Sicherheit zu verwenden.

Weitere Informationen finden Sie unter [Verschlüsselung, Authentifizierung und Autorisierungsoptionen](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions) in der Zookeeper-Dokumentation.


| Komponente | Endpoint | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt | 
| --- | --- | --- | --- | --- | 
|  Zookeeper-Server  |  secureClientPort  |  2281  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper-Server  |  Quorum-Ports  |  Es gibt 2: Follower verwenden 2888, um sich mit dem Anführer zu verbinden. Bei der Wahl des Führers werden 3888 verwendet  |  TLS  |  emr-7.4.0\$1  | 
|  Zookeeper-Server  |  Admin.Server-Port  |  8341  |  TLS  |  emr-7.4.0\$1  |