Utilisation SSL/TLS et configuration de LDAPS avec Presto sur Amazon EMR - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation SSL/TLS et configuration de LDAPS avec Presto sur Amazon EMR

Avec les versions 5.6.0 et ultérieures d'Amazon EMR, vous pouvez activer la sécurisation des communications internes entre les nœuds SSL/TLS Presto. Pour ce faire, vous devez définir une configuration de sécurité pour le chiffrement en transit. Pour plus d'informations, consultez les sections Options de chiffrement et Utiliser les configurations de sécurité pour configurer la sécurité du cluster dans le Guide de gestion Amazon EMR.

Lorsque vous utilisez une configuration de sécurité avec le chiffrement en transit, Amazon EMR exécute les actions suivantes pour Presto :

  • Il distribue les artefacts de chiffrement, ou certificats, que vous spécifiez pour le chiffrement en transit sur l'ensemble du cluster Presto. Pour plus d'informations, consultez Mise à disposition des certificats de chiffrement des données en transit.

  • Il définit les propriétés suivantes à l'aide de la classification de configuration presto-config, qui correspond au fichier config.properties pour Presto :

    • Définit http-server.http.enabled sur false sur tous les nœuds, ce qui désactive HTTP en faveur de HTTPS. Cela nécessite que vous fournissiez des certificats qui fonctionnent pour le DNS public et privé lors de la configuration de sécurité pour le chiffrement en transit. Pour ce faire, vous pouvez utiliser des certificats SAN (Subject Alternative Name) qui prennent en charge plusieurs domaines.

    • Il définit les valeurs http-server.https.*. Pour plus de détails sur la configuration, consultez Authentification LDAP dans la documentation Presto.

De plus, avec les versions 5.10.0 et ultérieures d'Amazon EMR, vous pouvez configurer l'authentification LDAP pour les connexions client au coordinateur Presto à l'aide du protocole HTTPS. Cette configuration utilise LDAP sécurisé (LDAPS). TLS doit être activé sur votre serveur LDAP et le cluster Presto doit utiliser une configuration de sécurité avec le chiffrement des données en transit activé. Une configuration supplémentaire est requise. Les options de configuration sont différentes selon la version d'Amazon EMR que vous utilisez. Pour de plus amples informations, veuillez consulter Utilisation de l'authentification LDAP pour Presto sur Amazon EMR.

Presto sur Amazon EMR utilise par défaut le port 8446 pour le HTTPS interne. Le port utilisé pour les communications internes doit être le même port que celui utilisé pour l'accès HTTPS client au coordinateur Presto. La propriété http-server.https.port dans la classification de configuration presto-config spécifie le port.