転送中の暗号化について

Apache Spark、Apache Hive、Presto などのオープンソースフレームワークを実行するように EMR クラスターを設定できます。これらのオープンソースフレームワークには、クラスターの EC2 インスタンスで実行される一連のプロセスがあります。これらのプロセスはそれぞれ、ネットワーク通信用のネットワークエンドポイントをホストできます。

EMR クラスターで転送中の暗号化が有効になっている場合、ネットワークエンドポイントによって暗号化メカニズムが異なります。転送中の暗号化でサポートされる特定のオープンソースフレームワークネットワークエンドポイント、関連する暗号化メカニズム、およびサポートを追加した Amazon EMR リリースの詳細については、以下のセクションを参照してください。各オープンソースアプリケーションには、変更できるさまざまなベストプラクティスとオープンソースフレームワーク設定がある場合もあります。

ほとんどの転送中の暗号化範囲では、転送中の暗号化と Kerberos の両方を有効にすることをお勧めします。転送中の暗号化のみを有効にすると、転送中の暗号化は TLS をサポートするネットワークエンドポイントでのみ使用できます。一部のオープンソースフレームワークのネットワークエンドポイントでは、転送中の暗号化に Simple Authentication and Security Layer (SASL) を使用するため、Kerberos が必要です。

Amazon EMR 7.x.x リリースでサポートされていないオープンソースフレームワークは含まれていないことに注意してください。

Spark

セキュリティ設定で転送中の暗号化を有効にすると、spark.authenticate は自動的に true に設定され、RPC 接続に AES ベースの暗号化が使用されます。

Amazon EMR 7.3.0 以降では、転送中の暗号化と Kerberos 認証を使用している場合、Hive メタストアに依存する Spark アプリケーションは使用できません。Hive 3 は、HIVE-16340 でこの問題を修正しました。オープンソースの Spark が Hive 3 にアップグレードできる場合、HIVE-44114 はこの問題を完全に解決します。その間、hive.metastore.use.SSL を false に設定することで、この問題を回避できます。詳細については、「アプリケーションの設定」を参照してください。

詳細については、Apache Spark ドキュメントの「Spark security」を参照してください。

¹spark.shuffle.service.port は YARN NodeManager でホストされますが、Apache Spark でのみ使用されます。

既知の問題

転送時に有効になっているクラスター spark.yarn.historyServer.address 設定は現在ポート 18080 を使用しています。これにより、YARN 追跡 URL を使用した spark アプリケーション UI へのアクセスが防止されます。影響を受けるバージョン: EMR - 7.3.0〜EMR - 7.9.0。

以下の回避策を使用します:

設定例:

[
                               {
                                 "Classification": "spark-defaults",
                                 "Properties": {
                                     "spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
                                 }
                               }
  
                               ]

Hadoop YARN

Secure Hadoop RPC は privacy に設定され、SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。Hadoop RPC の転送中の暗号化を希望しない場合は、hadoop.rpc.protection = authentication を設定します。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

TLS 証明書が TLS ホスト名の検証要件を満たしていない場合は、hadoop.ssl.hostname.verifier = ALLOW_ALL を設定できます。TLS ホスト名の検証を強制する hadoop.ssl.hostname.verifier = DEFAULT のデフォルト設定を使用することをお勧めします。

YARN ウェブアプリケーションエンドポイントの HTTPS を無効にするには、yarn.http.policy = HTTP_ONLY を設定します。これにより、これらのエンドポイントへのトラフィックが暗号化されないままになります。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

詳細については、Apache Hadoop ドキュメントの「Hadoop in secure mode」を参照してください。

¹ mapreduce.shuffle.port は YARN NodeManager でホストされますが、Hadoop MapReduce でのみ使用されます。

²spark.shuffle.service.port は YARN NodeManager でホストされますが、Apache Spark でのみ使用されます。

既知の問題

yarn.log.server.url 設定では、現在ポート 19888 で HTTP を使用しています。これにより、Resource Manager UI からアプリケーションログにアクセスできなくなります。影響を受けるバージョン: EMR - 7.3.0〜EMR - 7.8.0。

以下の回避策を使用します:

Hadoop HDFS

EMR クラスターで転送中の暗号化が有効になっている場合、Hadoop ネームノード、データノード、ジャーナルノードはすべてデフォルトで TLS をサポートします。

Secure Hadoop RPC は privacy に設定され、SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。

HTTPS エンドポイントに使用されるデフォルトのポートを変更しないことをお勧めします。

HDFS ブロックのデータ転送でのデータ暗号化では、AES 256 が使用され、セキュリティ設定で保管時の暗号化を有効にする必要があります。

詳細については、Apache Hadoop ドキュメントの「Hadoop in secure mode」を参照してください。

Hadoop MapReduce

EMR クラスターで転送中の暗号化が有効になっている場合、Hadoop MapReduce、ジョブ履歴サーバー、MapReduce はすべてデフォルトで TLS をサポートします。

Hadoop MapReduce Encrypted Shuffle では TLS が使用されます。

HTTPS エンドポイントのデフォルトポートを変更しないことをお勧めします。

詳細については、Apache Hadoop ドキュメントの「Hadoop in secure mode」を参照してください。

¹mapreduce.shuffle.port は YARN NodeManager でホストされますが、Hadoop MapReduce でのみ使用されます。

Presto

Amazon EMR リリース 5.6.0 以降では、Presto コーディネーターとワーカー間の内部通信は、TLS を使用します。Amazon EMR が Presto で安全な内部通信を可能にするために必要なすべての設定をセットアップします。

コネクタがメタデータストアとして Hive メタストアを使用する場合、コミュニケーターと Hive メタストア間の通信も TLS で暗号化されます。

Trino

Amazon EMR リリース 6.1.0 以降では、Presto コーディネーターとワーカー間の内部通信は、TLS を使用します。Amazon EMR が Trino で安全な内部通信を可能にするために必要なすべての設定をセットアップします。

コネクタがメタデータストアとして Hive メタストアを使用する場合、コミュニケーターと Hive メタストア間の通信も TLS で暗号化されます。

Hive と Tez

デフォルトでは、EMR クラスターで転送中の暗号化が有効になっている場合、Hive サーバー 2、Hive メタストアサーバー、Hive LLAP Daemon ウェブ UI、Hive LLAP シャッフルはすべて TLS をサポートします。Hive の設定の詳細については、「Configuration properties」を参照してください。

Tomcat サーバーでホストされている Tez UI は、EMR クラスターで転送中の暗号化が有効になっている場合も HTTPS が有効になります。ただし、Tez AM ウェブ UI サービスでは HTTPS が無効になっているため、AM ユーザーは開いている SSL リスナーのキーストアファイルにアクセスできません。この動作は、ブール値設定 tez.am.tez-ui.webservice.enable.ssl と tez.am.tez-ui.webservice.enable.client.auth で有効にすることもできます。

Flink

EMR クラスターで転送中の暗号化を有効にすると、Apache Flink REST エンドポイントと flink プロセス間の内部通信はデフォルトで TLS をサポートします。

security.ssl.internal.enabled は true に設定され、Flink プロセス間の内部通信に転送中の暗号化を使用します。内部通信の転送中の暗号化を希望しない場合は、その設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

Amazon EMR は security.ssl.rest.enabled を true に設定し、REST エンドポイントの転送中の暗号化を使用します。さらに、Amazon EMR は historyserver.web.ssl.enabled を true に設定して、Flink 履歴サーバーとの TLS 通信を使用します。REST ポイントの転送中の暗号化を希望しない場合は、これらの設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

Amazon EMR は security.ssl.algorithms を使用します。AES ベースの暗号化を使用する暗号のリストを指定します。この設定を上書きして、必要な暗号を使用します。

詳細については、Flink ドキュメントの「SSL Setup」を参照してください。

HBase

Amazon EMR は Secure Hadoop RPC を privacy に設定します。HMaster と RegionServer は SASL ベースの転送中の暗号化を使用します。これには、セキュリティ設定で Kerberos 認証が有効になっている必要があります。

Amazon EMR は hbase.ssl.enabled を true に設定し、UI エンドポイントに TLS を使用します。UI エンドポイントに TLS を使用しない場合は、この設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

Amazon EMR は hbase.rest.ssl.enabled と hbase.thrift.ssl.enabled を設定し、REST および Thirft サーバーエンドポイントにそれぞれ TLS を使用します。これらのエンドポイントに TLS を使用しない場合は、この設定を無効にします。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

EMR 7.6.0 以降、TLS は HMaster エンドポイントと RegionServer エンドポイントでサポートされています。Amazon EMR は hbase.server.netty.tls.enabled と hbase.client.netty.tls.enabled も設定します。これらのエンドポイントに TLS を使用しない場合は、この設定を無効にします。暗号化とより高いセキュリティを提供するデフォルト設定を使用することをお勧めします。詳細については、「Apache HBase Reference Guide」の「Transport Level Security (TLS) in HBase RPC communication」を参照してください。

フェニックス

EMR クラスターで転送中の暗号化を有効にした場合、Phoenix クエリサーバーはデフォルトで true に設定されている TLS プロパティ phoenix.queryserver.tls.enabled をサポートします。

詳細については、Phoenix クエリサーバードキュメントの「Configurations relating to HTTPS」を参照してください。

Oozie

OOZIE-3673 は、Amazon EMR 7.3.0 以降で Oozie を実行する場合、Amazon EMR で使用できます。E メールアクションを実行するときにカスタム SSL または TLS プロトコルを設定する必要がある場合は、oozie-site.xml ファイルで oozie.email.smtp.ssl.protocols プロパティを設定できます。デフォルトでは、転送時の暗号化を有効にした場合、Amazon EMR は TLS v1.3 プロトコルを使用します。

OOZIE-3677 と OOZIE-3674 は、Amazon EMR 7.3.0 以降で Oozie を実行する場合も Amazon EMR で使用できます。これにより、oozie-site.xml の trustStoreType および keyStoreType のプロパティを指定できます。OOZIE-3674 はパラメータ --insecure を Oozie クライアントに追加し、証明書エラーを無視できるようにします。

Oozie は TLS ホスト名の検証を適用します。つまり、転送中の暗号化に使用する証明書は、ホスト名の検証要件を満たしている必要があります。証明書が基準を満たしていない場合、Amazon EMR がクラスターをプロビジョニングするときに、クラスターが oozie share lib update ステージでスタックする可能性があります。証明書を更新して、ホスト名の検証に準拠していることを確認することをお勧めします。ただし、証明書を更新できない場合は、クラスター設定で oozie.https.enabled プロパティを false に設定することで、SSL for Oozie を無効にすることができます。

Hue

デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、Hue は TLS をサポートします。Hue 設定の詳細については、「ConfigureHue with HTTPS / SSL」を参照してください。

Livy

デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、Livy は TLS をサポートします。Livy 設定の詳細については、「Enabling HTTPS with Apache Livy」を参照してください。

Amazon EMR 7.3.0 以降では、転送中の暗号化と Kerberos 認証を使用している場合、Hive メタストアに依存する Spark アプリケーションの Livy サーバーは使用できません。この問題は HIVE-16340 で修正され、オープンソースの Spark アプリケーションが Hive 3 にアップグレードできるときに SPARK-44114 で完全に解決されます。その間、hive.metastore.use.SSL を false に設定すれば、この問題を回避できます。詳細については、「アプリケーションの設定」を参照してください。

詳細については、「enabling HTTPS with Apache Livy」を参照してください。

JupyterEnterpriseGateway

デフォルトでは、Amazon EMR クラスターで転送時の暗号化が有効になっている場合、Jupyter Enterprise Gateway は TLS をサポートします。Jupyter Enterprise Gateway の設定の詳細については、「Securing Enterprise Gateway Server」を参照してください。

JupyterHub

デフォルトでは、Amazon EMR クラスターで転送中の暗号化を有効にすることにより、JupyterHub は TLS をサポートします。詳細については、JupyterHub ドキュメントの「Enabling SSL encryption」を参照してください。暗号化を無効にすることはお勧めしません。

Zeppelin

デフォルトでは、EMR クラスターで転送中の暗号化を有効にすると、Zeppelin は TLS をサポートします。Zeppelin の設定の詳細については、Zeppelin ドキュメントの「SSL Configuration」を参照してください。

Zookeeper

Amazon EMR は serverCnxnFactory を org.apache.zookeeper.server.NettyServerCnxnFactory に設定して、Zookeeper クォーラムとクライアント通信の TLS を有効にします。

secureClientPort は、TLS 接続をリッスンするポートを指定します。クライアントが Zookeeper への TLS 接続をサポートしていない場合、クライアントは clientPort で指定された安全でないポート 2181 に接続できます。これらの 2 つのポートは上書きまたは無効化できます。

Amazon EMR は sslQuorum と admin.forceHttps の両方を true に設定して、クォーラムサーバーと管理サーバーの TLS 通信を有効にします。クォーラムと管理サーバーの転送時の暗号化を希望しない場合は、これらの設定を無効にできます。セキュリティを最大化するには、デフォルト設定を使用することをお勧めします。

詳細については、Zookeeper ドキュメントの「Encryption, Authentication, Authorization Options」を参照してください。