Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea una configurazione di sicurezza con la console Amazon EMR o con AWS CLI
<a name="emr-create-security-configuration"></a>

Questo argomento descrive le procedure generali per creare una configurazione di sicurezza con la console Amazon EMR e AWS CLI, seguite da un riferimento per i parametri che comprendono crittografia, autenticazione e ruoli IAM per EMRFS. Per ulteriori informazioni su queste caratteristiche, consulta i seguenti argomenti:
+ [Crittografa i dati inattivi e in transito con Amazon EMR](emr-data-encryption.md)
+ [Utilizzo di Kerberos per l'autenticazione con Amazon EMR](emr-kerberos.md)
+ [Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3](emr-emrfs-iam-roles.md)

**Per creare una configurazione di sicurezza mediante la console**

1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr/)

1. Nel riquadro di navigazione, scegliere **Security Configurations (Configurazioni di sicurezza)**, quindi **Create security configuration (Crea configurazione di sicurezza)**. 

1. Digitare un nome in **Name (Nome)** per la configurazione di sicurezza.

1. Scegli le opzioni per **Encryption (Crittografia)** e **Authentication (Autenticazione)** come descritto nelle sezioni successive, quindi scegli **Create (Crea)**.

**Per creare una configurazione di sicurezza utilizzando AWS CLI**
+ Usa il comando `create-security-configuration` come mostrato nell'esempio seguente.
  + Per*SecConfigName*, specificare il nome della configurazione di sicurezza. Si tratta del nome che hai specificato alla creazione di un cluster che utilizza questa configurazione di sicurezza.
  + Per `SecConfigDef`, specifica una struttura JSON inline o il percorso di un file JSON locale `file://MySecConfig.json`. I parametri JSON definiscono le opzioni per **Encryption (Crittografia)**, **IAM Roles for EMRFS access to Amazon S3** (Ruoli IAM per l'accesso EMRFS ad Amazon S3) e **Authentication (Autenticazione)** come descritto nelle sezioni successive.

  ```
  aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef
  ```

## Configurazione della crittografia di dati
<a name="emr-security-configuration-encryption"></a>

Prima di configurare la crittografia in una configurazione di sicurezza, è necessario creare le chiavi e i certificati utilizzati per la crittografia. Per ulteriori informazioni, consultare [Fornitura di chiavi per crittografare i dati inattivi](emr-encryption-enable.md#emr-encryption-create-keys) e [Fornitura di certificati per la crittografia di dati in transito con Amazon EMR](emr-encryption-enable.md#emr-encryption-certificates).

Quando crei una configurazione di sicurezza, specifichi due set di opzioni di crittografia: la crittografia di dati inattivi e la crittografia di dati in transito. Le opzioni per la crittografia di dati a riposo includono Amazon S3 con EMRFS e la crittografia per dischi locali. Le opzioni per la crittografia In transito abilitano le funzionalità di crittografia open source per determinate applicazioni che supportano il protocollo Transport Layer Security (TLS). Le opzioni per la crittografia inattiva e per quella in transito possono essere attivate insieme o separatamente. Per ulteriori informazioni, consulta [Crittografa i dati inattivi e in transito con Amazon EMR](emr-data-encryption.md).

**Nota**  
Quando si utilizza AWS KMS, vengono addebitati costi per l'archiviazione e l'uso delle chiavi di crittografia. Per ulteriori informazioni, consultare [AWS KMS Prezzi](https://aws.amazon.com/kms/pricing/).

### Impostazione delle opzioni di crittografia mediante la console
<a name="emr-security-configuration-encryption-console"></a>

Scegli le opzioni in **Encryption (Crittografia)** in base alle linee guida riportate di seguito.
+ Scegli le opzioni in **At rest encryption (Crittografia inattiva)** per crittografare i dati archiviati nel file system. 

  Puoi scegliere di crittografare i dati in Amazon S3, nei dischi locali o in entrambi. 
+ In **S3 data encryption (Crittografia di dati S3)**, per **Encryption mode (Modalità di crittografia)**, scegli un valore per determinare il modo in cui Amazon EMR crittografa i dati Amazon S3 con EMRFS. 

  La fase successiva dipende dalla modalità di crittografia scelta:
  + **SSE-S3**

    Specifica [la crittografia lato server con le chiavi di crittografia gestite da Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Non è necessaria alcuna altra operazione in quanto Amazon S3 gestisce automaticamente le chiavi.
  + **SSE-KMS** o **CSE-KMS**

    Specifica la [crittografia lato server con chiavi AWS KMS gestite (SSE-KMS) o la crittografia lato [client con chiavi gestite (CSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html))](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS Per **AWS KMS key**, seleziona una chiave. La chiave deve esistere nella stessa regione del cluster EMR. Per i requisiti relativi alle chiavi, consulta [Utilizzo AWS KMS keys per la crittografia](emr-encryption-enable.md#emr-awskms-keys).
  + **CSE-Custom**

    Specifica la [crittografia lato client mediante una chiave root lato client personalizzata (CSE-Custom)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-client-side-master-key-intro). Per **S3 object (Oggetto S3)**, immetti il percorso in Amazon S3 oppure l'ARN Amazon S3 del file JAR del provider di chiavi personalizzato. Quindi, per la classe **Key provider, inserisci il nome completo della classe** dichiarata nell'applicazione che implementa l'interfaccia. EncryptionMaterialsProvider 
+ In **Local disk encryption (Crittografia per dischi locali)**, scegli un valore per **Key provider type (Tipo di provider di chiavi)**.
  + **AWS KMS key**

    Selezionare questa opzione per specificare una AWS KMS key. Per **AWS KMS key**, seleziona una chiave. La chiave deve esistere nella stessa regione del cluster EMR. Per ulteriori informazioni sui requisiti relativi alle chiavi, consulta [Utilizzo AWS KMS keys per la crittografia](emr-encryption-enable.md#emr-awskms-keys).

    **Crittografia EBS**

    Se lo specifichi AWS KMS come provider di chiavi, puoi abilitare la crittografia EBS per crittografare i dispositivi root e i volumi di archiviazione EBS. Per abilitare tale opzione, è necessario concedere al ruolo di servizio Amazon EMR `EMR_DefaultRole` le autorizzazioni per utilizzare la AWS KMS key specificata. Per ulteriori informazioni sui requisiti relativi alle chiavi, consulta [Abilitazione della crittografia EBS fornendo autorizzazioni aggiuntive per le chiavi KMS](emr-encryption-enable.md#emr-awskms-ebs-encryption).
  + **Personalizza**

    Seleziona questa opzione per specificare un provider di chiavi personalizzato. Per **S3 object (Oggetto S3)**, immetti il percorso in Amazon S3 oppure l'ARN Amazon S3 del file JAR del provider di chiavi personalizzato. Per la **classe Key provider**, inserisci il nome completo di una classe dichiarata nell'applicazione che implementa l'interfaccia. EncryptionMaterialsProvider Il nome di classe qui specificato deve essere diverso dal nome di classe fornito per CSE-Custom.
+ Scegli **In-transit encryption (Crittografia in transito)** per abilitare le funzionalità della crittografia TLS open source per dati in transito. Scegli **Certificate provider type (Tipo di provider di certificati)** in base alle seguenti linee guida: 
  + **PEM**

    Seleziona questa opzione per utilizzare i file PEM forniti in un file ZIP. Due artefatti devono essere inclusi nel file ZIP: privateKey.pem e certificateChain.pem. Un terzo file, trustedCertificates.pem, è facoltativo. Per informazioni dettagliate, consulta [Fornitura di certificati per la crittografia di dati in transito con Amazon EMR](emr-encryption-enable.md#emr-encryption-certificates). Per **S3 object (Oggetto S3)**, specifica il percorso in Amazon S3 o l'ARN Amazon S3 del campo del file ZIP. 
  + **Personalizza**

    Seleziona questa opzione per specificare un provider di certificati personalizzato, quindi, per **S3 object (Oggetto S3)**, immetti il percorso in Amazon S3, o l'ARN Amazon S3, del file JAR del provider di certificati personalizzato. Per la **classe Key provider**, inserite il nome completo di una classe dichiarata nell'applicazione che implementa l'interfaccia TLSArtifacts Provider. 

### Specificare le opzioni di crittografia utilizzando il AWS CLI
<a name="emr-security-configuration-encryption-cli"></a>

Le sezioni seguenti includono scenari di esempio per illustrare il JSON ben formato **--security-configuration** per differenti configurazioni e provider di chiavi nonché un riferimento per i parametri JSON e i valori appropriati.

#### Esempio di opzioni di crittografia di dati in transito
<a name="emr-encryption-intransit-cli"></a>

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è abilitata e la crittografia di dati inattivi è disabilitata.
+ Un file ZIP contenente certificati in Amazon S3 è utilizzato come provider di chiavi (consulta [Fornitura di certificati per la crittografia di dati in transito con Amazon EMR](emr-encryption-enable.md#emr-encryption-certificates) per i requisiti relativi ai certificati).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		}
	}
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è abilitata e la crittografia di dati inattivi è disabilitata.
+ È utilizzato un provider di chiavi personalizzato (vedi [Fornitura di certificati per la crittografia di dati in transito con Amazon EMR](emr-encryption-enable.md#emr-encryption-certificates) per i requisiti relativi ai certificati).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		}
 	}
}'
```

#### Esempio di opzioni di crittografia di dati a riposo
<a name="emr-encryption-atrest-cli"></a>

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è disabilitata e la crittografia di dati inattivi è abilitata.
+ SSE-S3 è utilizzato per la crittografia di Amazon S3.
+ La crittografia del disco locale viene utilizzata AWS KMS come fornitore di chiavi.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": false,
		"EnableAtRestEncryption": true,
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-S3"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
 	}
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati in transito è abilitata e fa riferimento a un file ZIP con certificati PEM in Amazon S3 mediante l'ARN.
+ SSE-KMS è utilizzato per la crittografia di Amazon S3.
+ La crittografia del disco locale viene utilizzata AWS KMS come fornitore di chiavi.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
	}
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati in transito è abilitata e fa riferimento a un file ZIP con certificati PEM in Amazon S3.
+ CSE-KMS è utilizzato per la crittografia di Amazon S3.
+ La crittografia per dischi locali utilizza un provider di chiavi personalizzato a cui si fa riferimento con il relativo ARN.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati in transito è abilitata con un provider di chiavi personalizzato.
+ CSE-Custom è utilizzato per i dati Amazon S3.
+ La crittografia per dischi locali utilizza un provider di chiavi personalizzato.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": "true",
		"EnableAtRestEncryption": "true",
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
				},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è disabilitata e la crittografia di dati inattivi è abilitata.
+ La crittografia Amazon S3 è abilitata con SSE-KMS.
+ Vengono utilizzate più AWS KMS chiavi, una per ogni bucket S3, e le eccezioni di crittografia vengono applicate a questi singoli bucket S3.
+ La crittografia del disco locale è disabilitata.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
  	"EncryptionConfiguration": {
   		"AtRestEncryptionConfiguration": {
      	     	"S3EncryptionConfiguration": {
        			"EncryptionMode": "SSE-KMS",
        			"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
        			"Overrides": [
         				 {
           				 "BucketName": "amzn-s3-demo-bucket1",
            				"EncryptionMode": "SSE-S3"
          				},
          				{
            				"BucketName": "amzn-s3-demo-bucket2",
           				 "EncryptionMode": "CSE-KMS",
            				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
         				 },
         				 {
           				 "BucketName": "amzn-s3-demo-bucket3",
          				  "EncryptionMode": "SSE-KMS",
           				 "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
          				}
        					]
      							}
   						 	},
   		"EnableInTransitEncryption": false,
    		"EnableAtRestEncryption": true
  }
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è disabilitata e la crittografia di dati inattivi è abilitata.
+ La crittografia Amazon S3 è abilitata con SSE-S3 e la crittografia dei dischi locali è disabilitata.

```
aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "S3EncryptionConfiguration": {
                "EncryptionMode": "SSE-S3"
            }
        }
     }
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è disabilitata e la crittografia di dati inattivi è abilitata.
+ La crittografia del disco locale è abilitata AWS KMS come provider di chiavi e la crittografia Amazon S3 è disabilitata.

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

L'esempio successivo illustra lo scenario seguente:
+ La crittografia di dati In transito è disabilitata e la crittografia di dati inattivi è abilitata.
+ La crittografia del disco locale è abilitata AWS KMS come provider di chiavi e la crittografia Amazon S3 è disabilitata.
+ La crittografia EBS è abilitata. 

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EnableEbsEncryption": true,
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

L'esempio successivo illustra lo scenario seguente:

SSE-EMR-WAL viene utilizzato per la crittografia EMR WAL

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{ },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`e potrebbe `EnableAtRestEncryption` comunque essere vero, se si desidera abilitare la crittografia correlata.

L'esempio successivo illustra lo scenario seguente:
+ SSE-KMS-WAL viene utilizzato per la crittografia EMR WAL
+ La crittografia lato server viene utilizzata AWS Key Management Service come fornitore di chiavi

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{
                "AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
                },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`e potrebbe `EnableAtRestEncryption` comunque essere vero, se si desidera abilitare la crittografia correlata.

#### Riferimento JSON per impostazioni di crittografia
<a name="emr-encryption-cli-parameters"></a>

La tabella seguente elenca i parametri JSON per le impostazioni di crittografia e fornisce una descrizione dei valori accettabili per ogni parametro.


| Parametro | Description | 
| --- |--- |
| "EnableInTransitEncryption" : true \$1 false | Specificare true per abilitare la crittografia in transito e false per disabilitarla. Se omesso, per impostazione predefinita viene utilizzato false e la crittografia in transito viene disabilitata. | 
| "EnableAtRestEncryption": true \$1 false | Specificare true per abilitare la crittografia inattiva e false per disabilitarla. Se omesso, per impostazione predefinita viene utilizzato false e la crittografia inattiva viene disabilitata. | 
| **Parametri di crittografia in transito** | 
| --- |
| "InTransitEncryptionConfiguration" : | Specifica una raccolta di valori utilizzati per configurare la crittografia in transito quando EnableInTransitEncryption è true. | 
|  "CertificateProviderType": "PEM" \$1 "Custom" | Specifica se utilizzare certificati PEM a cui si fa riferimento con un file zippato oppure un provider di certificati Custom. Se PEM specificato, S3Object deve essere un riferimento alla posizione in Amazon S3 di un file zip contenente i certificati. Se viene specificato Custom, S3Object deve essere un riferimento alla posizione in Amazon S3 di un file JAR, seguito da una CertificateProviderClass voce. | 
|  "S3Object" : "ZipLocation" \$1 "JarLocation" | Fornisce la posizione in Amazon S3 a un file zip quando PEM specificato o a un file JAR quando Custom specificato. Il formato può essere un percorso (ad esempio, s3://MyConfig/artifacts/CertFiles.zip) oppure un ARN (ad esempio, arn:aws:s3:::Code/MyCertProvider.jar). Se si specifica un file ZIP, deve contenere file i cui nomi sono esattamente privateKey.pem e certificateChain.pem. Un file denominato trustedCertificates.pem è facoltativo. | 
|  "CertificateProviderClass" : "MyClassID" | Obbligatorio solo Custom se specificato perCertificateProviderType. MyClassIDspecifica un nome di classe completo dichiarato nel file JAR, che implementa l'interfaccia TLSArtifacts Provider. Ad esempio, com.mycompany.MyCertProvider. | 
| **Parametri di crittografia inattiva** | 
| --- |
| "AtRestEncryptionConfiguration" :  | Specifica una raccolta di valori per la crittografia a riposo quando EnableAtRestEncryption è attivatrue, inclusa la crittografia Amazon S3 e la crittografia del disco locale. | 
| Parametri di crittografia Amazon S3 | 
| "S3EncryptionConfiguration" : | Speciifica una raccolta di valori utilizzati per la crittografia di Amazon S3 con Amazon EMR File System (EMRFS). | 
| "EncryptionMode": "SSE-S3" \$1 "SSE-KMS" \$1 "CSE-KMS" \$1 "CSE-Custom" | Speciifica il tipo di crittografia Amazon S3 da utilizzare. Se SSE-S3 specificato, non sono richiesti altri valori di crittografia Amazon S3. Se CSE-KMS viene specificato uno dei due SSE-KMS o, è necessario specificare un AWS KMS key ARN come valore. AwsKmsKey Se CSE-Custom è specificato, i valori S3Object e EncryptionKeyProviderClass devono essere specificati. | 
| "AwsKmsKey" : "MyKeyARN" | Richiesto solo quando è specificato SSE-KMS o CSE-KMS per EncryptionMode. MyKeyARN deve essere un ARN completo per una chiave (ad esempio, arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012). | 
|  "S3Object" : "JarLocation" | Richiesto solo quando CSE-Custom è specificato perCertificateProviderType. JarLocationfornisce la posizione in Amazon S3 a un file JAR. Il formato può essere un percorso (ad esempio, s3://MyConfig/artifacts/MyKeyProvider.jar) oppure un ARN (ad esempio, arn:aws:s3:::Code/MyKeyProvider.jar). | 
| "EncryptionKeyProviderClass" : "MyS3KeyClassID" | Richiesto solo quando CSE-Custom è specificato perEncryptionMode. MyS3KeyClassIDspecifica il nome completo di una classe dichiarata nell'applicazione che implementa l' EncryptionMaterialsProviderinterfaccia; ad esempio,. com.mycompany.MyS3KeyProvider | 
| Parametri di crittografia per dischi locali | 
| "LocalDiskEncryptionConfiguration" | Specifica il provider di chiavi e i valori corrispondenti da utilizzare per la crittografia per dischi locali. | 
| "EnableEbsEncryption": true \$1 false | Specificare true per abilitare la crittografia EBS. La crittografia EBS crittografa il volume del dispositivo root EBS e i volumi di archiviazione collegati. Per utilizzare la crittografia EBS, è necessario specificare come. AwsKms EncryptionKeyProviderType | 
| "EncryptionKeyProviderType": "AwsKms" \$1 "Custom" | Specifica il provider di chiavi. Se AwsKms è specificato, è necessario specificare un ARN della chiave KMS come AwsKmsKey valore. Se Custom è specificato, i valori S3Object e EncryptionKeyProviderClass devono essere specificati. | 
| "AwsKmsKey : "MyKeyARN" | Richiesto solo quando AwsKms è specificato per. Type MyKeyARNdeve essere un ARN completamente specificato per una chiave (ad esempio,arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123). | 
| "S3Object" : "JarLocation" | Richiesto solo quando CSE-Custom è specificato perCertificateProviderType. JarLocationfornisce la posizione in Amazon S3 a un file JAR. Il formato può essere un percorso (ad esempio, s3://MyConfig/artifacts/MyKeyProvider.jar) oppure un ARN (ad esempio, arn:aws:s3:::Code/MyKeyProvider.jar). | 
|  `"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"`  | Richiesto solo quando Custom è specificato perType. MyLocalDiskKeyClassIDspecifica il nome completo di una classe dichiarata nell'applicazione che implementa l' EncryptionMaterialsProviderinterfaccia; ad esempio,. com.mycompany.MyLocalDiskKeyProvider | 
| **Parametri di crittografia EMR WAL** | 
| --- |
| "EMRWALEncryptionConfiguration"  | Specifica il valore per la crittografia WAL EMR. | 
| "AwsKmsKey"  | Specifica l'ID della chiave CMK Arn. | 

## Configurazione dell'autenticazione Kerberos
<a name="emr-security-configuration-kerberos"></a>

Una configurazione di sicurezza con impostazioni Kerberos può essere utilizzata da un cluster creato con attributi Kerberos, altrimenti si verifica un errore. Per ulteriori informazioni, consulta [Utilizzo di Kerberos per l'autenticazione con Amazon EMR](emr-kerberos.md). Kerberos è disponibile solo in Amazon EMR versione 5.10.0 e versioni successive.

### Configurazione delle impostazioni di Kerberos mediante la console
<a name="emr-security-configuration-console-kerberos"></a>

Scegliere le opzioni in **Kerberos authentication (Autenticazione Kerberos)** in base alle linee guida seguenti.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-create-security-configuration.html)

### Specificare le impostazioni Kerberos utilizzando il AWS CLI
<a name="emr-kerberos-cli-parameters"></a>

La seguente tabella mostra i parametri JSON per le impostazioni di Kerberos in una configurazione di sicurezza. Per gli esempi di configurazione, consulta [Esempi di configurazione](emr-kerberos-config-examples.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-create-security-configuration.html)

## Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3
<a name="emr-security-configuration-emrfs"></a>

I ruoli IAM per EMRFS ti consentono di fornire differenti autorizzazioni per dati EMRFS in Amazon S3. A questo proposito, crei mappature che specificano un ruolo IAM utilizzato per le autorizzazioni quando una richiesta di accesso contiene un identificatore da te specificato. L'identificatore può essere un ruolo o un utente Hadoop oppure un prefisso Amazon S3. 

Per ulteriori informazioni, consulta [Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3](emr-emrfs-iam-roles.md).

### Specificare i ruoli IAM per EMRFS utilizzando il AWS CLI
<a name="w2aac30c17b9c15b7"></a>

Di seguito è riportato un esempio di frammento JSON per specificare ruoli IAM personalizzati per EMRFS all'interno di una configurazione di sicurezza. Vengono illustrate le mappature dei ruoli per i tre diversi tipi di identificatori, seguite da un riferimento ai parametri. 

```
{
  "AuthorizationConfiguration": {
    "EmrFsConfiguration": {
      "RoleMappings": [{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
        "IdentifierType": "User",
        "Identifiers": [ "user1" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets",
        "IdentifierType": "Prefix",
        "Identifiers": [ "s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/" ]
      },{
        "Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
        "IdentifierType": "Group",
        "Identifiers": [ "AdminGroup" ]
      }]
    }
  }
}
```


| Parametro | Description | 
| --- | --- | 
|  `"AuthorizationConfiguration":`  |  Obbligatorio.  | 
|   `"EmrFsConfiguration":`  |  Obbligatorio. Contiene mappature dei ruoli.  | 
|    `"RoleMappings":`  |  Obbligatorio. Contiene una o più definizioni di mappatura dei ruoli. Le mappature dei ruoli vengono valutate dall'alto verso il basso nell'ordine in cui vengono visualizzate. Se una mappatura dei ruoli viene valutata come true (vera) per una chiamata EMRFS per i dati in Amazon S3, non vengono valutate altre mappature dei ruoli ed EMRFS utilizza il ruolo IAM specificato per la richiesta. Le mappature dei ruoli sono costituite dai parametri obbligatori seguenti: | 
|    `"Role":` | Specifica l'identificatore ARN di un ruolo IAM nel formato `arn:aws:iam::account-id:role/role-name`. Questo è il ruolo IAM che Amazon EMR assume se la richiesta EMRFS ad Amazon S3 corrisponde a uno degli `Identifiers` specificato. | 
|    `"IdentifierType":` | Il valore può essere uno dei seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-create-security-configuration.html)  | 
|     `"Identifiers":`  |  Specifica uno o più identificatori del tipo di identificatore appropriato. Separa più identificatori con virgole senza spazi.  | 

## Configurazione di richieste del servizio di metadati per istanze Amazon EC2
<a name="emr-security-configuration-imdsv2"></a>

I metadati dell'istanza sono dati relativi all'istanza che puoi utilizzare per configurare o gestire un'istanza in esecuzione. Puoi accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei metodi seguenti:
+ Instance Metadata Service Version 1 (IMDSv1): un metodo di richiesta/risposta
+ Instance Metadata Service Version 2 (IMDSv2): un metodo orientato alla sessione

Sebbene Amazon EC2 supporti entrambi IMDSv1 e, Amazon EMR supporta IMDSv2 Amazon EMR 5.23.1, 5.27.1, 5.32 o versioni successive e 6.2 o versioni successive. IMDSv2 In queste versioni, i componenti di Amazon EMR vengono utilizzati IMDSv2 per tutte le chiamate IMDS. Per le chiamate IMDS nel codice dell'applicazione, puoi utilizzare entrambi IMDSv1 e IMDSv2 oppure configurare l'IMDS in modo che venga utilizzato solo IMDSv2 per una maggiore sicurezza. Quando si specifica che IMDSv2 deve essere utilizzato, IMDSv1 non funziona più.

Per ulteriori informazioni, consulta [Configurare il servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella Guida per l'utente di *Amazon EC2*.

**Nota**  
Nelle versioni precedenti di Amazon EMR 5.x o 6.x, la disattivazione IMDSv1 causa un errore di avvio del cluster poiché i componenti di Amazon EMR vengono utilizzati per tutte le chiamate IMDS. IMDSv1 Quando si spegne IMDSv1, assicurati che qualsiasi software personalizzato che utilizza sia aggiornato a. IMDSv1 IMDSv2

### Specificare la configurazione del servizio di metadati dell'istanza utilizzando il AWS CLI
<a name="w2aac30c17b9c17c13"></a>

Di seguito è riportato un esempio di frammento JSON per specificare il servizio di metadati dell'istanza Amazon EC2 (IMDS) all'interno di una configurazione di sicurezza. L'utilizzo di una configurazione di sicurezza personalizzata è facoltativo.

```
{
  "InstanceMetadataServiceConfiguration" : {
      "MinimumInstanceMetadataServiceVersion": integer,
      "HttpPutResponseHopLimit": integer
   }
}
```


| Parametro | Description | 
| --- | --- | 
|  `"InstanceMetadataServiceConfiguration":`  |  Se non specifichi IMDS all'interno di una configurazione di sicurezza e utilizzi una release di Amazon EMR che lo richiede IMDSv1, per impostazione predefinita Amazon EMR IMDSv1 utilizza come istanza minima la versione del servizio di metadati. Se desideri utilizzare la tua configurazione, sono necessari entrambi i seguenti parametri.  | 
|   `"MinimumInstanceMetadataServiceVersion":`  |  Obbligatorio. Specificare `1` o `2`. Un valore di `1` allows IMDSv1 e IMDSv2. Un valore di `2` allows only IMDSv2.  | 
|   `"HttpPutResponseHopLimit":`  |  Obbligatorio. Il limite di hop della risposta HTTP PUT per le richieste di metadati dell'istanza. Maggiore è il numero, più è lungo il tragitto che le richieste di metadati dell'istanza possono percorrere. Default: `1`. Specifica un numero intero da `1` a `64`. | 

### Specifica della configurazione del servizio di metadati dell'istanza utilizzando la console
<a name="emr-security-configuration-imdsv2-console"></a>

Puoi configurare l'utilizzo di IMDS per un cluster quando lo avvii dalla console di Amazon EMR.

**Per configurare l'utilizzo di IMDS tramite la console:**

1. Durante la creazione di una nuova configurazione di sicurezza, nella pagina **Security configurations (Configurazioni di sicurezza)**, seleziona **Configure EC2 Instance metadata service (Configura servizio di metadati dell'istanza EC2)** sotto l'impostazione **EC2 Instance Metadata Service (Servizio di metadati dell'istanza EC2)**. Questa configurazione è supportata solo in Amazon EMR 5.23.1, 5.27.1, 5.32 o versioni successive e 6.2 o versioni successive.

1. Per l'opzione **Minimum Instance Metadata Service Version (Versione del servizio di metadati dell'istanza minima)**, seleziona una delle seguenti opzioni:
   + **Disattiva IMDSv1 e IMDSv2 consenti solo** se desideri consentire solo IMDSv2 su questo cluster. Consulta [la sezione Transizione all'utilizzo del servizio di metadati dell'istanza versione 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2) nella Guida per l'*utente di Amazon EC2*.
   + **Consenti entrambi IMDSv1 e IMDSv2 sul cluster**, se lo desideri, IMDSv1 ed è orientato alla sessione IMDSv2 su questo cluster.

1. Infatti IMDSv2, puoi anche configurare il numero consentito di hop di rete per il token di metadati impostando il **limite HTTP put response hop** su un numero intero compreso tra e. `1` `64`

Per ulteriori informazioni, consulta [Configurare il servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella Guida per l'utente di *Amazon EC2*.

Consulta [Configurare i dettagli dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html#configure_instance_details_step) e [Configurare il servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella Guida per l'*utente di Amazon EC2*.