Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de la configuración de seguridad de EMR
<a name="emr-ranger-security-config"></a>

**Creación de una configuración de seguridad de Amazon EMR para Apache Ranger**

Antes de lanzar un clúster de Amazon EMR integrado con Apache Ranger, cree una configuración de seguridad.

------
#### [ Console ]

**Para crear una configuración de seguridad que especifique la opción de integración con AWS Ranger**

1. En la consola de Amazon EMR, seleccione **Configuraciones de seguridad** y, a continuación, **Crear**.

1. Escriba un nombre para la configuración de seguridad en el campo **Name (Nombre)**. Este nombre se utiliza para especificar la configuración de seguridad cuando crea un clúster.

1. En **Integración con AWS Ranger**, seleccione **Habilitar un control de acceso detallado administrado por Apache Ranger**.

1. Seleccione un **rol de IAM para que Apache Ranger** lo aplique. Para obtener más información, consulte [Roles de IAM para la integración nativa con Apache Ranger](emr-ranger-iam.md).

1. Seleccione un **rol de IAM para que otros servicios de AWS ** lo apliquen.

1. Configure los complementos para que se conecten al servidor Ranger Admin introduciendo el ARN de Secrets Manager del servidor de Admin y la dirección.

1. Seleccione las aplicaciones para configurar los complementos de Ranger. Introduzca el ARN de Secrets Manager que contiene el certificado TLS privado del complemento.

   Si no configura Apache Spark ni Apache Hive y los selecciona como aplicaciones para su clúster, la solicitud fallará.

1. Defina otras opciones de configuración de seguridad según corresponda y elija **Create (Crear)**. Debe habilitar la autenticación de Kerberos mediante el KDC dedicado del clúster o un KDC externo.

**nota**  
Actualmente, no puede utilizar la consola para crear una configuración de seguridad que especifique la opción de integración con AWS Ranger en el. AWS GovCloud (US) Region La configuración de seguridad se puede llevar a cabo con la CLI.

------
#### [ CLI ]

**Para crear una configuración de seguridad para la integración de Apache Ranger**

1. `<ACCOUNT ID>`Sustitúyala por tu ID AWS de cuenta.

1. Sustituya `<REGION>` por la región en la que se encuentra el recurso.

1. Especifique un valor para `TicketLifetimeInHours` para determinar el periodo para el que un vale de Kerberos generado por el KDC es válido.

1. Especifique la dirección del servidor de Ranger Admin de `AdminServerURL`.

```
{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}
```

Estos PolicyRespositoryNames son los nombres de los servicios que se especifican en su administrador de Apache Ranger.

Cree una configuración de seguridad de Amazon EMR con el siguiente contenido. Sustituya la configuración de seguridad por el nombre de su elección. Seleccione esta configuración por el nombre al crear el clúster.

```
aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration
```

------

**Configuración de características de seguridad adicionales**

Para integrar Amazon EMR de forma segura con Apache Range, configure las siguientes características de seguridad de EMR:
+ Habilite la autenticación de Kerberos mediante el KDC dedicado del clúster o un KDC externo. Para obtener instrucciones, consulte [Uso de Kerberos para la autenticación con Amazon EMR](emr-kerberos.md).
+ (Opcional) Habilite el cifrado en tránsito o en reposo. Para obtener más información, consulte [Opciones de cifrado para Amazon EMR](emr-data-encryption-options.md).

Para obtener más información, consulte [Seguridad en Amazon EMR](emr-security.md).