翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# LDAP 統合用の Amazon EMR セキュリティ設定を作成する
LDAP 統合で EMR クラスターを起動する前に、「[Amazon EMR コンソールまたは を使用してセキュリティ設定を作成する AWS CLI](emr-create-security-configuration.md)」のステップを使用してクラスターの Amazon EMR セキュリティ設定を作成します。`AuthenticationConfiguration` の下の `LDAPConfiguration` ブロック、または Amazon EMR コンソールの **[セキュリティ設定]** セクションの対応するフィールドで、以下の設定を完了します。
**`EnableLDAPAuthentication`**
コンソールオプション: **認証プロトコル: LDAP**
LDAP 統合を使用するには、このオプションを `true` に設定するか、コンソールでクラスターを作成するときに認証プロトコルとして選択します。Amazon EMR コンソールでセキュリティ設定を作成する場合、デフォルトでは `EnableLDAPAuthentication` は `true` です。
**`LDAPServerURL`**
コンソールオプション: **LDAP サーバーの場所**
LDAP サーバーの場所 (プレフィックスを含む): `ldaps://location_of_server`
**`BindCertificateARN`**
コンソールオプション: **LDAP SSL 証明書**
LDAP サーバーが使用する SSL 証明書に署名するための証明書を含む AWS Secrets Manager ARN。LDAP サーバーがパブリック認証局 (CA) によって署名されている場合は、ARN AWS Secrets Manager に空のファイルを提供できます。Secrets Manager に証明書を保存する方法の詳細については、「[に TLS 証明書を保存する AWS Secrets Manager](emr-ranger-tls-certificates.md)」を参照してください。
**`BindCredentialsARN`**
コンソールオプション: **LDAP サーバーバインド認証情報**
LDAP 管理者ユーザーのバインド認証情報を含む AWS Secrets Manager ARN。認証情報は JSON オブジェクトとして保存されます。このシークレットにはキーと値のペアが 1 つしかありません。ペアのキーはユーザー名で、値はパスワードです。例えば、`{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`。EMR クラスターの SSH ログインを有効にしない限り、このフィールドはオプションです。多くの設定で、Active Directory インスタンスには、SSSD がユーザーを同期できるようにするためのバインド認証情報が必要です。
**`LDAPAccessFilter`**
コンソールオプション: **LDAP アクセスフィルター**
認証可能な LDAP サーバー内のオブジェクトのサブセットを指定します。例えば、LDAP サーバー内の `posixAccount` オブジェクトクラスを持つすべてのユーザーにアクセスを許可する場合、アクセスフィルターを `(objectClass=posixAccount)` として定義します。
**`LDAPUserSearchBase`**
コンソールオプション: **LDAP ユーザー検索ベース**
LDAP サーバー内のユーザーが属する検索ベース。例えば、`cn=People,dc=example,dc=com`。
**`LDAPGroupSearchBase`**
コンソールオプション: **LDAP グループ検索ベース**
LDAP サーバー内のグループが属する検索ベース。例えば、`cn=Groups,dc=example,dc=com`。
**`EnableSSHLogin`**
コンソールオプション: **SSH ログイン**
LDAP 認証情報を使用したパスワード認証を許可するかどうかを指定します。このオプションを有効にすることは推奨されません。キーペアは EMR クラスターへのアクセスを可能にする、より安全なルートです。このフィールドはオプションであり、デフォルトは `false` です。
**`LDAPServerType`**
コンソールオプション: **LDAP サーバータイプ**
Amazon EMR が接続する LDAP サーバーのタイプを指定します。サポートされているオプションは、Active Directory と OpenLDAP です。その他の LDAP サーバータイプでも機能する可能性はありますが、Amazon EMR では他のサーバータイプを公式にはサポートしていません。詳細については、「[Amazon EMR 用の LDAP コンポーネント](ldap-components.md)」を参照してください。
**`ActiveDirectoryConfigurations`**
Active Directory サーバータイプを使用するセキュリティ設定に必要なサブブロック。
**`ADDomain`**
コンソールオプション: **Active Directory ドメイン**
Active Directory サーバータイプを使用するセキュリティ設定でのユーザー認証用のユーザープリンシパル名 (UPN) の作成に使用されるドメイン名。
## LDAP と Amazon EMR を使用するセキュリティ設定に関する考慮事項
+ Amazon EMR LDAP 統合を使用するセキュリティ設定を作成するには、転送時の暗号化を使用する必要があります。転送時の暗号化については、「[Amazon EMR による保管中と転送中のデータの暗号化](emr-data-encryption.md)」を参照してください。
+ Kerberos 設定を同じセキュリティ設定で定義することはできません。Amazon EMR は、専用の KDC を自動的にプロビジョニングし、この KDC の管理者パスワードを管理します。ユーザーはこの管理者パスワードにアクセスできません。
+ IAM ランタイムロール と を同じセキュリティ設定 AWS Lake Formation で定義することはできません。
+ `LDAPServerURL` の値には `ldaps://` プロトコルが含まれている必要があります。
+ `LDAPAccessFilter` を空にすることはできません。
## Amazon EMR の Apache Ranger 統合で LDAP を使用する
Amazon EMR の LDAP 統合により、Apache Ranger との統合をさらに進めることができます。LDAP ユーザーを Ranger に取り込むと、それらのユーザーを Apache Ranger ポリシーサーバーに関連付けて Amazon EMR やその他のアプリケーションと統合できるようになります。そのためには、LDAP クラスターで使用するセキュリティ設定の `AuthorizationConfiguration` 内にある `RangerConfiguration` フィールドを定義します。セキュリティ設定の設定方法の詳細については、「[EMR セキュリティ設定を作成する](emr-ranger-security-config.md)」を参照してください。
Amazon EMR で LDAP を使用する場合、Apache Ranger の Amazon EMR 統合で `KerberosConfiguration` を指定する必要はありません。