기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# LDAP 통합을 위한 Amazon EMR 보안 구성 생성
<a name="ldap-setup-security"></a>

LDAP 통합을 사용하여 EMR 클러스터를 시작하기 전에 [Amazon EMR 콘솔 또는를 사용하여 보안 구성 생성 AWS CLI](emr-create-security-configuration.md)의 단계를 사용하여 클러스터에 대한 Amazon EMR 보안 구성을 생성합니다. Amazon EMR 콘솔 **보안 구성** 섹션의 `AuthenticationConfiguration` 아래 `LDAPConfiguration` 블록 또는 해당 필드에서 다음 구성을 완료합니다.

**`EnableLDAPAuthentication`**  
콘솔 옵션: **인증 프로토콜: LDAP**  
LDAP 통합을 사용하려면 콘솔에서 클러스터를 생성할 때 이 옵션을 `true`로 설정하거나 인증 프로토콜로 선택합니다. 기본적으로 Amazon EMR 콘솔에서 보안 구성을 생성할 때 `EnableLDAPAuthentication`은 `true`입니다.

**`LDAPServerURL`**  
콘솔 옵션: **LDAP 서버 위치**  
접두사 `ldaps://location_of_server`를 포함한 LDAP 서버의 위치.

**`BindCertificateARN`**  
콘솔 옵션: **LDAP SSL 인증서**  
LDAP 서버에서 사용하는 SSL 인증서에 서명하기 위한 인증서가 포함된 AWS Secrets Manager ARN입니다. LDAP 서버에 퍼블릭 인증 기관(CA)이 서명한 경우 빈 파일이 있는 AWS Secrets Manager ARN을 제공할 수 있습니다. Secrets Manager에서 인증서를 저장하는 방법에 대한 자세한 내용은 [에 TLS 인증서 저장 AWS Secrets Manager](emr-ranger-tls-certificates.md) 섹션을 참조하세요.

**`BindCredentialsARN`**  
콘솔 옵션: **LDAP 서버 바인드 보안 인증**  
LDAP 관리자 바인드 자격 증명이 포함된 AWS Secrets Manager ARN입니다. 보안 인증은 JSON 객체로 저장됩니다. 이 보안 암호에는 하나의 키-값 페어만 있으며, 이 페어에서 키는 사용자 이름, 값은 암호입니다. 예를 들어 `{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`입니다. EMR 클러스터에 SSH 로그인을 활성화하지 않은 경우 이 필드는 선택 사항입니다. 많은 구성에서 Active Directory 인스턴스에는 SSSD가 사용자를 동기화할 수 있도록 바인드 보안 인증이 필요합니다.

**`LDAPAccessFilter`**  
콘솔 옵션: **LDAP 액세스 필터**  
LDAP 서버 내에서 인증할 수 있는 객체의 하위 세트를 지정합니다. 예를 들어, LDAP 서버의 `posixAccount` 객체 클래스를 사용하는 모든 사용자에게 액세스 권한을 부여하려는 경우 액세스 필터를 `(objectClass=posixAccount)`로 정의합니다.

**`LDAPUserSearchBase`**  
콘솔 옵션: **LDAP 사용자 검색 기반**  
LDAP 서버 내에서 사용자가 속해 있는 검색 기반. 예를 들어 `cn=People,dc=example,dc=com`입니다.

**`LDAPGroupSearchBase`**  
콘솔 옵션: **LDAP 그룹 검색 기반**  
LDAP 서버 내에서 그룹이 속하는 검색 기반. 예를 들어 `cn=Groups,dc=example,dc=com`입니다.

**`EnableSSHLogin`**  
콘솔 옵션: **SSH 로그인**  
LDAP 보안 인증에서 암호 인증의 허용 여부를 지정합니다. 이 옵션을 활성화하지 않는 것이 좋습니다. 키 페어가 EMR 클러스터에 대한 액세스를 허용하는 보다 안전한 경로입니다. 이 필드는 선택 사항으로, 기본값은 `false`입니다.

**`LDAPServerType`**  
콘솔 옵션: **LDAP 서버 유형**  
Amazon EMR이 연결하는 LDAP 서버의 유형을 지정합니다. 지원되는 옵션은 Active Directory 및 OpenLDAP입니다. 다른 LDAP 서버 유형도 작동할 수 있지만 Amazon EMR은 다른 서버 유형을 공식적으로 지원하지 않습니다. 자세한 내용은 [Amazon EMR의 LDAP 구성 요소](ldap-components.md) 단원을 참조하십시오.

**`ActiveDirectoryConfigurations`**  
Active Directory 서버 유형을 사용하는 보안 구성에 필요한 하위 블록.

**`ADDomain`**  
콘솔 옵션: **Active Directory 도메인**  
Active Directory 서버 유형을 사용하는 보안 구성의 사용자 인증을 위한 사용자 보안 주체 이름(UPN)을 생성하는 데 사용되는 도메인 이름.

## LDAP 및 Amazon EMR에서 보안 구성에 대한 고려 사항
<a name="ldap-setup-security-considerations"></a>
+ Amazon EMR LDAP 통합을 사용하여 보안 구성을 생성하려면 전송 중 암호화를 사용해야 합니다. 전송 중 암호화에 대한 자세한 내용은 [Amazon EMR에서 저장 데이터 및 전송 중 데이터 암호화](emr-data-encryption.md) 섹션을 참조하세요.
+ 동일한 보안 구성에서 Kerberos 구성을 정의할 수 없습니다. Amazon EMR은 자동으로 전용 KDC를 프로비저닝하고 이 KDC에 대한 관리 암호를 관리합니다. 사용자는 이 관리 암호에 액세스할 수 없습니다.
+ 동일한 보안 구성 AWS Lake Formation 에서 IAM 런타임 역할 및를 정의할 수 없습니다.
+ `LDAPServerURL`의 값에 `ldaps://` 프로토콜이 있어야 합니다.
+ `LDAPAccessFilter`는 비워둘 수 없습니다.

## Amazon EMR용 Apache Ranger 통합을 통해 LDAP 사용
<a name="ldap-setup-ranger"></a>

Amazon EMR용 LDAP 통합을 통해 Apache Ranger와 추가로 통합할 수 있습니다. LDAP 사용자를 Ranger로 가져오면 해당 사용자를 Apache Ranger 정책 서버와 연결하여 Amazon EMR 및 기타 애플리케이션과 통합할 수 있습니다. 이렇게 하려면 LDAP 클러스터와 함께 사용하는 보안 구성의 `AuthorizationConfiguration` 내에서 `RangerConfiguration` 필드를 정의합니다. 보안 구성을 설정하는 방법에 대한 자세한 내용은 [EMR 보안 구성 생성](emr-ranger-security-config.md) 섹션을 참조하세요.

Amazon EMR과 함께 LDAP를 사용하는 경우, Apache Ranger에 대한 Amazon EMR 통합에 `KerberosConfiguration`을 제공할 필요가 없습니다.