EMR 보안 구성 생성 - Amazon EMR

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EMR 보안 구성 생성

Apache Ranger용 Amazon EMR 보안 구성 생성

Apache Ranger와 통합된 Amazon EMR 클러스터를 시작하기 전에 보안 구성을 생성합니다.

Console
AWS Ranger 통합 옵션을 지정하는 보안 구성을 생성하는 방법

  1. Amazon EMR 콘솔에서 보안 구성, 생성을 선택합니다.

  2. 보안 구성의 이름을 입력합니다. 클러스터를 생성할 때 이 이름을 사용하여 보안 구성을 지정합니다.

  3. AWS Ranger 통합 아래에서 Apache Ranger에서 관리하는 세분화된 액세스 제어 활성화를 선택합니다.

  4. 적용할 Apache Ranger의 IAM 역할을 선택합니다. 자세한 내용은 Apache Ranger와의 네이티브 통합을 위한 IAM 역할 단원을 참조하십시오.

  5. 적용할 다른 AWS 서비스의 IAM 역할을 선택합니다.

  6. 관리 서버의 Secrets Manager ARN 및 주소를 입력하여 Ranger Admin 서버에 연결하도록 플러그인을 구성합니다.

  7. Ranger 플러그인을 구성할 애플리케이션을 선택합니다. 플러그인의 프라이빗 TLS 인증서가 포함된 Secret Manager ARN을 입력합니다.

    Apache Spark 또는 Apache Hive를 구성하지 않고 클러스터용 애플리케이션으로 선택한 경우 요청이 실패합니다.

  8. 다른 보안 구성 옵션을 적절히 설정하고 생성을 선택합니다. 클러스터 전용 또는 외부 KDC를 사용하여 Kerberos 인증을 활성화해야 합니다.

참고

현재 콘솔을 사용하여에서 AWS Ranger 통합 옵션을 지정하는 보안 구성을 생성할 수 없습니다 AWS GovCloud (US) Region. 보안 구성은 CLI를 사용하여 수행할 수 있습니다.

CLI
Apache Ranger 통합을 위한 보안 구성을 생성하는 방법

  1. 를 AWS 계정 ID<ACCOUNT ID>로 바꿉니다.

  2. <REGION>을 리소스가 있는 리전으로 바꿉니다.

  3. TicketLifetimeInHours의 값을 지정하여 KDC에서 발급한 Kerberos 티켓이 유효한 기간을 결정합니다.

  4. AdminServerURL에 대한 Ranger Admin 서버 주소를 지정합니다.

{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}

PolicyRespositoryNames는 Apache Ranger Admin에 지정된 서비스 이름입니다.

다음 명령으로 Amazon EMR 보안 구성을 생성합니다. security-configuration을 원하는 이름으로 바꿉니다. 클러스터를 생성할 때 이 구성을 이름으로 선택합니다.

aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration

추가 보안 기능 구성

Amazon EMR을 Apache Ranger와 안전하게 통합하려면 다음 EMR 보안 기능을 구성합니다.

자세한 내용은 Amazon EMR의 보안 단원을 참조하십시오.