翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EMR 上の Kerberos のセキュリティ設定およびクラスター設定
<a name="emr-kerberos-configure-settings"></a>

Kerberos 認証済みのクラスターを作成する場合、セキュリティ設定と合わせて、クラスター固有の Kerberos 属性を指定します。必ず、他の属性と一緒に指定します。それ以外の場合はエラーが発生します。

このトピックでは、セキュリティ設定およびクラスターを作成するときに、Kerberos で利用できる設定パラメータの概要を示します。また、互換性のあるセキュリティ設定およびクラスター作成用の CLI 例は、一般的なアーキテクチャ向けに提供されています。

## セキュリティ設定における Kerberos セキュリティ
<a name="emr-kerberos-security-configuration"></a>

Amazon EMR コンソール、、または EMR API を使用して AWS CLI、Kerberos 属性を指定するセキュリティ設定を作成できます。セキュリティ設定には、他にも暗号化などのセキュリティオプションがあります。詳細については、「[Amazon EMR コンソールまたは を使用してセキュリティ設定を作成する AWS CLI](emr-create-security-configuration.md)」を参照してください。

次のリファレンスを使用して、選択する Kerberos アーキテクチャで利用できるセキュリティ構成の設定を理解します。Amazon EMR コンソールの設定が表示されます。対応する CLI オプションについては、「[を使用した Kerberos 設定の指定 AWS CLI](emr-create-security-configuration.md#emr-kerberos-cli-parameters)」または「[設定例](emr-kerberos-config-examples.md)」を参照してください。


<table>
<thead>
  <tr><th colspan="3">パラメータ</th><th>説明</th></tr>
</thead>
<tbody>
  <tr><td colspan="3">**Kerberos**</td><td>このセキュリティ設定を使用するクラスターで Kerberos を有効にすることを指定します。クラスターがこのセキュリティ設定を使用する場合、クラスターで Kerberos 設定も指定する必要があります。そうしないと、エラーが発生します。</td></tr>
  <tr><td rowspan="2">**プロバイダー**</td><td colspan="2">**クラスター専用 KDC**</td><td>Amazon EMR が、このセキュリティ設定を使用するクラスターのプライマリノードに KDC を作成することを指定します。領域名と KDC 管理者パスワードは、クラスターの作成時に指定します。<br />必要に応じて、この KDC を他のクラスターから参照できます。異なるセキュリティ設定を使用してこれらのクラスターを作成し、外部 KDC を指定し、クラスター専用 KDC に指定した領域名と KDC 管理者パスワードを使用します。</td></tr>
  <tr><td colspan="2">**外部 KDC**</td><td>Amazon EMR 5.20.0 以降でのみ利用できます。このセキュリティ設定を使用するクラスターが、クラスター外の KDC サーバーを使用して Kerberos プリンシパルを認証するように指定します。KDC はクラスター上に作成されません。クラスターの作成時に、外部 KDC の領域名と KDC 管理者パスワードを指定します。</td></tr>
  <tr><td colspan="3"> **チケットのライフタイム**</td><td>オプション。このセキュリティ設定を使用するクラスターで KDC によって発行された Kerberos チケットが有効である期間を指定します。<br />チケットの有効期間は、セキュリティ上の理由により制限されます。クラスターアプリケーションとサービスでは、期限が切れるとチケットを自動更新します。Kerberos 認証情報を使用して SSH 経由でクラスターに接続する場合は、チケットの有効期限が切れたら、プライマリノードのコマンドラインから `kinit` を実行して更新する必要があります。</td></tr>
  <tr><td colspan="3">**クロス領域信頼**</td><td>このセキュリティ設定を使用するクラスター上のクラスター専用 KDC と、異なる Kerberos 領域内の KDC との間のクロス領域信頼を指定します。<br />別の領域のプリンシパル (通常はユーザー) は、この設定を使用するクラスターに対して認証されます。他の Kerberos 領域での追加設定が必要です。詳細については、「[チュートリアル: Active Directory ドメインを使用したクロス領域信頼の設定](emr-kerberos-cross-realm.md)」を参照してください。</td></tr>
  <tr><td rowspan="4">クロス領域信頼プロパティ</td><td colspan="2"> **領域**</td><td>信頼関係の他の領域の Kerberos 領域名を指定します。慣例により、Kerberos 領域名はドメイン名と同じにします。ただし、すべて大文字にします。</td></tr>
  <tr><td colspan="2"> **[ドメイン]**</td><td>信頼関係の他の領域のドメイン名を指定します。</td></tr>
  <tr><td colspan="2"> **[Admin server]** (管理者サーバー)</td><td>信頼関係の他の領域の管理サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、管理サーバーと KDC サーバーは同じ FQDN を持つ同じマシン上で実行されますが、通信には別のポートを使用します。<br />ポートを指定しない場合、Kerberos のデフォルトであるポート 749 が使用されます。オプションで、ポート (`domain.example.com{{:749}}` など) を指定できます。</td></tr>
  <tr><td colspan="2"> **[KDC server]** (KDC サーバー)</td><td>信頼関係の他の領域の KDC サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、KDC サーバーと管理サーバーは同じ FQDN を持つ同じマシン上で実行されますが、別のポートを使用します。<br />ポートを指定しない場合、Kerberos のデフォルトであるポート 88 が使用されます。オプションで、ポート (`domain.example.com{{:88}}` など) を指定できます。</td></tr>
  <tr><td colspan="3">**外部 KDC**</td><td>クラスター外部 KDC がクラスターで使用されることを指定します。</td></tr>
  <tr><td rowspan="6">外部 KDC プロパティ</td><td colspan="2">**[Admin server]** (管理者サーバー)</td><td>外部管理サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを指定します。通常、管理サーバーと KDC サーバーは同じ FQDN を持つ同じマシン上で実行されますが、通信には別のポートを使用します。<br />ポートを指定しない場合、Kerberos のデフォルトであるポート 749 が使用されます。オプションで、ポート (`domain.example.com{{:749}}` など) を指定できます。</td></tr>
  <tr><td colspan="2">**[KDC server]** (KDC サーバー)</td><td>外部 KDC サーバーの完全修飾ドメイン名 (FQDN) を指定します。通常、KDC サーバーと管理サーバーは同じ FQDN を持つ同じマシン上で実行されますが、別のポートを使用します。<br />ポートを指定しない場合、Kerberos のデフォルトであるポート 88 が使用されます。オプションで、ポート (`domain.example.com{{:88}}` など) を指定できます。</td></tr>
  <tr><td colspan="2">**[Active Directory Integration]** (Active Directory の統合)</td><td>Kerberos プリンシパル認証が Microsoft Active Directory ドメインに統合されることを指定します。</td></tr>
  <tr><td rowspan="3">Active Directory 統合プロパティ</td><td>**[Active Directory realm]** (Active Directory 領域)</td><td>Active Directory ドメインの Kerberos 領域名を指定します。慣例により、Kerberos 領域名は通常、ドメイン名と同じにします。ただし、すべて大文字にします。</td></tr>
  <tr><td>**[Active Directory domain]** (Active Directory ドメイン)</td><td>Active Directory ドメイン名を指定します。</td></tr>
  <tr><td>**[Active Directory server]** (Active Directory サーバー)</td><td>Microsoft Active Directory ドメインコントローラーの完全修飾ドメイン名 (FQDN) を指定します。</td></tr>
</tbody>
</table>


## クラスターの Kerberos 設定
<a name="emr-kerberos-cluster-configuration"></a>

Amazon EMR コンソール、、 AWS CLIまたは EMR API を使用してクラスターを作成するときに、Kerberos 設定を指定できます。

次のリファレンスを使用して、選択する Kerberos アーキテクチャで利用できるクラスター構成の設定を理解します。Amazon EMR コンソールの設定が表示されます。対応する CLI オプションについては、「[設定例](emr-kerberos-config-examples.md)」を参照してください。


| パラメータ | 説明 | 
| --- | --- | 
| 領域 | クラスターの Kerberos 領域名。Kerberos の規則では、ドメイン名と同じ名前に設定する必要がありますが、大文字にします。たとえば、ドメイン (`ec2.internal`) の場合は、領域名に `EC2.INTERNAL` を使用します。 | 
| KDC 管理者パスワード | `kadmin` または `kadmin.local` 向けにクラスター内で使用されるパスワード。以下は、Kerberos V5 管理システムのコマンドラインインターフェイスです。Kerberos プリンシパル、パスワードポリシー、クラスターのキータブを管理できます。 | 
| クロス領域信頼プリンシパルのパスワード (オプション) | クロス領域信頼の確立時に必要。クロス領域プリンシパルのパスワード。領域内では同一である必要があります。強力なパスワードを選択します。 | 
| Active Directory ドメイン結合ユーザー (オプション) | クロス領域信頼で Active Directory を使用するときに必要です。これは、コンピュータをドメインに結合するアクセス許可がある Active Directory アカウントのユーザーログオン名です。Amazon EMR は、この識別子を使用して、クラスターをドメインに結合します。詳細については、「[ステップ 3: EMR クラスターのドメインにアカウントを追加する](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)」を参照してください。 | 
| Active Directory ドメイン結合パスワード (オプション) | Active Directory ドメイン結合ユーザーのパスワード。詳細については、「[ステップ 3: EMR クラスターのドメインにアカウントを追加する](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)」を参照してください。 |