LDAP 統合用の Amazon EMR セキュリティ設定を作成する - Amazon EMR
考慮事項LDAP と Ranger の使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

LDAP 統合用の Amazon EMR セキュリティ設定を作成する

LDAP 統合で EMR クラスターを起動する前に、「Amazon EMR コンソールまたは を使用してセキュリティ設定を作成する AWS CLI」のステップを使用してクラスターの Amazon EMR セキュリティ設定を作成します。AuthenticationConfiguration の下の LDAPConfiguration ブロック、または Amazon EMR コンソールの [セキュリティ設定] セクションの対応するフィールドで、以下の設定を完了します。

EnableLDAPAuthentication

コンソールオプション: 認証プロトコル: LDAP

LDAP 統合を使用するには、このオプションを true に設定するか、コンソールでクラスターを作成するときに認証プロトコルとして選択します。Amazon EMR コンソールでセキュリティ設定を作成する場合、デフォルトでは EnableLDAPAuthenticationtrue です。

LDAPServerURL

コンソールオプション: LDAP サーバーの場所

LDAP サーバーの場所 (プレフィックスを含む): ldaps://location_of_server

BindCertificateARN

コンソールオプション: LDAP SSL 証明書

LDAP サーバーが使用する SSL 証明書に署名するための証明書を含む AWS Secrets Manager ARN。LDAP サーバーがパブリック認証局 (CA) によって署名されている場合は、ARN AWS Secrets Manager に空のファイルを提供できます。Secrets Manager に証明書を保存する方法の詳細については、「AWS Secrets Managerに TLS 証明書を保存する」を参照してください。

BindCredentialsARN

コンソールオプション: LDAP サーバーバインド認証情報

LDAP 管理者ユーザーのバインド認証情報を含む AWS Secrets Manager ARN。認証情報は JSON オブジェクトとして保存されます。このシークレットにはキーと値のペアが 1 つしかありません。ペアのキーはユーザー名で、値はパスワードです。例えば、{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}。EMR クラスターの SSH ログインを有効にしない限り、このフィールドはオプションです。多くの設定で、Active Directory インスタンスには、SSSD がユーザーを同期できるようにするためのバインド認証情報が必要です。

LDAPAccessFilter

コンソールオプション: LDAP アクセスフィルター

認証可能な LDAP サーバー内のオブジェクトのサブセットを指定します。例えば、LDAP サーバー内の posixAccount オブジェクトクラスを持つすべてのユーザーにアクセスを許可する場合、アクセスフィルターを (objectClass=posixAccount) として定義します。

LDAPUserSearchBase

コンソールオプション: LDAP ユーザー検索ベース

LDAP サーバー内のユーザーが属する検索ベース。例えば、cn=People,dc=example,dc=com

LDAPGroupSearchBase

コンソールオプション: LDAP グループ検索ベース

LDAP サーバー内のグループが属する検索ベース。例えば、cn=Groups,dc=example,dc=com

EnableSSHLogin

コンソールオプション: SSH ログイン

LDAP 認証情報を使用したパスワード認証を許可するかどうかを指定します。このオプションを有効にすることは推奨されません。キーペアは EMR クラスターへのアクセスを可能にする、より安全なルートです。このフィールドはオプションであり、デフォルトは false です。

LDAPServerType

コンソールオプション: LDAP サーバータイプ

Amazon EMR が接続する LDAP サーバーのタイプを指定します。サポートされているオプションは、Active Directory と OpenLDAP です。その他の LDAP サーバータイプでも機能する可能性はありますが、Amazon EMR では他のサーバータイプを公式にはサポートしていません。詳細については、「Amazon EMR 用の LDAP コンポーネント」を参照してください。

ActiveDirectoryConfigurations

Active Directory サーバータイプを使用するセキュリティ設定に必要なサブブロック。

ADDomain

コンソールオプション: Active Directory ドメイン

Active Directory サーバータイプを使用するセキュリティ設定でのユーザー認証用のユーザープリンシパル名 (UPN) の作成に使用されるドメイン名。

LDAP と Amazon EMR を使用するセキュリティ設定に関する考慮事項

  • Amazon EMR LDAP 統合を使用するセキュリティ設定を作成するには、転送時の暗号化を使用する必要があります。転送時の暗号化については、「Amazon EMR による保管中と転送中のデータの暗号化」を参照してください。

  • Kerberos 設定を同じセキュリティ設定で定義することはできません。Amazon EMR は、専用の KDC を自動的にプロビジョニングし、この KDC の管理者パスワードを管理します。ユーザーはこの管理者パスワードにアクセスできません。

  • IAM ランタイムロール と を同じセキュリティ設定 AWS Lake Formation で定義することはできません。

  • LDAPServerURL の値には ldaps:// プロトコルが含まれている必要があります。

  • LDAPAccessFilter を空にすることはできません。

Amazon EMR の Apache Ranger 統合で LDAP を使用する

Amazon EMR の LDAP 統合により、Apache Ranger との統合をさらに進めることができます。LDAP ユーザーを Ranger に取り込むと、それらのユーザーを Apache Ranger ポリシーサーバーに関連付けて Amazon EMR やその他のアプリケーションと統合できるようになります。そのためには、LDAP クラスターで使用するセキュリティ設定の AuthorizationConfiguration 内にある RangerConfiguration フィールドを定義します。セキュリティ設定の設定方法の詳細については、「EMR セキュリティ設定を作成する」を参照してください。

Amazon EMR で LDAP を使用する場合、Apache Ranger の Amazon EMR 統合で KerberosConfiguration を指定する必要はありません。