Création de la configuration de sécurité EMR

Création d'une configuration de sécurité Amazon EMR pour Apache Ranger

Avant de lancer un cluster Amazon EMR intégré à Apache Ranger, créez une configuration de sécurité.

Console

Pour créer une configuration de sécurité qui spécifie l'option Intégration AWS Ranger

Dans la console Amazon EMR, sélectionnez Configurations de sécurité, puis Créer.
Dans Name (Nom), saisissez un nom pour la configuration de sécurité. Ce nom est utilisé pour spécifier la configuration de sécurité lorsque vous créez un cluster.
Sous Intégration AWS Ranger, sélectionnez Activer le contrôle précis des accès géré par Apache Ranger.
Sélectionnez votre Rôle IAM pour Apache Ranger à appliquer. Pour de plus amples informations, veuillez consulter Rôles IAM pour une intégration native avec Apache Ranger.
Sélectionnez votre rôle IAM pour les autres services AWS à appliquer.
Configurez les plugins pour vous connecter au serveur d'administration Ranger en saisissant l'ARN du serveur d'administration et l'adresse du gestionnaire de secrets.
Sélectionnez les applications pour configurer les plug-ins Ranger. Entrez l'ARN du Secrets Manager qui contient le certificat TLS privé pour le plugin.

Si vous ne configurez pas Apache Spark ou Apache Hive et qu'ils sont sélectionnés comme application pour votre cluster, la demande échoue.
Définissez les autres options de la configuration de sécurité selon vos besoins et choisissez Create (Créer). Vous devez activer l'authentification Kerberos à l'aide du KDC dédié au cluster ou externe.

Note

Vous ne pouvez actuellement pas utiliser la console pour créer une configuration de sécurité spécifiant l'option d'intégration de AWS Ranger dans le AWS GovCloud (US) Region. La configuration de la sécurité peut être effectuée à l'aide de la CLI.

CLI

Pour créer une configuration de sécurité pour l'intégration d'Apache Ranger

<ACCOUNT ID>Remplacez-le par votre identifiant de AWS compte.
Remplacez <REGION> par la région dans laquelle se trouve la ressource.
Spécifiez une valeur pour TicketLifetimeInHours afin de déterminer la période pendant laquelle un ticket Kerberos émis par le KDC est valide.
Spécifiez l'adresse du serveur d'administration Ranger pour AdminServerURL.


{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}

Ce PolicyRespositoryNames sont les noms de service spécifiés dans votre interface d'administration Apache Ranger.

Créez une configuration de sécurité Amazon EMR à l'aide de la commande suivante. Remplacez la configuration de sécurité par le nom de votre choix. Sélectionnez cette configuration par son nom lorsque vous créez votre cluster.


aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration

Configuration de fonctionnalités de sécurité supplémentaires

Pour intégrer en toute sécurité Amazon EMR à Apache Ranger, configurez les fonctions de sécurité EMR suivantes :

Activez l'authentification Kerberos à l'aide du KDC dédié au cluster ou externe. Pour obtenir des instructions, veuillez consulter Utilisation de Kerberos pour l'authentification avec Amazon EMR.
(Facultatif) Activez le chiffrement en transit ou au repos. Pour de plus amples informations, veuillez consulter Options de chiffrement pour Amazon EMR.

Pour de plus amples informations, veuillez consulter Sécurité dans Amazon EMR.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Validez vos autorisations pour l'intégration d'Amazon EMR à Apache Ranger

Stockez les certificats TLS dans AWS Secrets Manager.