기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# LDAP를 사용하여 EMR 클러스터 구성 및 시작
<a name="ldap-setup"></a>

이 섹션에서는 LDAP 인증에 사용할 수 있도록 Amazon EMR을 구성하는 방법을 설명합니다.

**Topics**
+ [Amazon EMR 인스턴스 역할에 AWS Secrets Manager 권한 추가](ldap-setup-asm.md)
+ [LDAP 통합을 위한 Amazon EMR 보안 구성 생성](ldap-setup-security.md)
+ [LDAP로 인증하는 EMR 클러스터 시작](ldap-setup-launch.md)

# Amazon EMR 인스턴스 역할에 AWS Secrets Manager 권한 추가
<a name="ldap-setup-asm"></a>

Amazon EMR은 IAM 서비스 역할을 사용하여 클러스터 프로비저닝 및 관리하는 작업을 자동으로 수행합니다. 클러스터 EC2 인스턴스의 서비스 역할(*Amazon EMR에 대한 EC2 인스턴스 프로파일*이라고도 함)은 시작할 때 Amazon EMR에서 클러스터의 모든 EC2 인스턴스에 할당하는 특별한 유형의 서비스 역할입니다.

EMR 클러스터가 Amazon S3 데이터 및 기타 AWS 서비스와 상호 작용할 수 있는 권한을 정의하려면 클러스터를 시작할 때 `EMR_EC2_DefaultRole` 대신, 사용자 지정 Amazon EC2 인스턴스 프로파일을 정의합니다. 자세한 내용은 [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) 및 [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md) 섹션을 참조하세요.

Amazon EMR이 세션에 태그를 지정하고 LDAP 인증서를 AWS Secrets Manager 저장하는에 액세스할 수 있도록 기본 EC2 인스턴스 프로파일에 다음 문을 추가합니다.

```
    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }
```

**참고**  
Secrets Manager 권한을 설정할 때 보안 암호 이름 끝에 있는 와일드카드 `*` 문자를 입력하지 않으면 클러스터 요청이 실패합니다. 와일드카드는 보안 암호 버전을 나타냅니다.  
 AWS Secrets Manager 정책의 범위를 클러스터가 인스턴스를 프로비저닝하는 데 필요한 인증서로만 제한해야 합니다.

# LDAP 통합을 위한 Amazon EMR 보안 구성 생성
<a name="ldap-setup-security"></a>

LDAP 통합을 사용하여 EMR 클러스터를 시작하기 전에 [Amazon EMR 콘솔 또는를 사용하여 보안 구성 생성 AWS CLI](emr-create-security-configuration.md)의 단계를 사용하여 클러스터에 대한 Amazon EMR 보안 구성을 생성합니다. Amazon EMR 콘솔 **보안 구성** 섹션의 `AuthenticationConfiguration` 아래 `LDAPConfiguration` 블록 또는 해당 필드에서 다음 구성을 완료합니다.

**`EnableLDAPAuthentication`**  
콘솔 옵션: **인증 프로토콜: LDAP**  
LDAP 통합을 사용하려면 콘솔에서 클러스터를 생성할 때 이 옵션을 `true`로 설정하거나 인증 프로토콜로 선택합니다. 기본적으로 Amazon EMR 콘솔에서 보안 구성을 생성할 때 `EnableLDAPAuthentication`은 `true`입니다.

**`LDAPServerURL`**  
콘솔 옵션: **LDAP 서버 위치**  
접두사 `ldaps://location_of_server`를 포함한 LDAP 서버의 위치.

**`BindCertificateARN`**  
콘솔 옵션: **LDAP SSL 인증서**  
LDAP 서버에서 사용하는 SSL 인증서에 서명하기 위한 인증서가 포함된 AWS Secrets Manager ARN입니다. LDAP 서버에 퍼블릭 인증 기관(CA)이 서명한 경우 빈 파일이 있는 AWS Secrets Manager ARN을 제공할 수 있습니다. Secrets Manager에서 인증서를 저장하는 방법에 대한 자세한 내용은 [에 TLS 인증서 저장 AWS Secrets Manager](emr-ranger-tls-certificates.md) 섹션을 참조하세요.

**`BindCredentialsARN`**  
콘솔 옵션: **LDAP 서버 바인드 보안 인증**  
LDAP 관리자 바인드 자격 증명이 포함된 AWS Secrets Manager ARN입니다. 보안 인증은 JSON 객체로 저장됩니다. 이 보안 암호에는 하나의 키-값 페어만 있으며, 이 페어에서 키는 사용자 이름, 값은 암호입니다. 예를 들어 `{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`입니다. EMR 클러스터에 SSH 로그인을 활성화하지 않은 경우 이 필드는 선택 사항입니다. 많은 구성에서 Active Directory 인스턴스에는 SSSD가 사용자를 동기화할 수 있도록 바인드 보안 인증이 필요합니다.

**`LDAPAccessFilter`**  
콘솔 옵션: **LDAP 액세스 필터**  
LDAP 서버 내에서 인증할 수 있는 객체의 하위 세트를 지정합니다. 예를 들어, LDAP 서버의 `posixAccount` 객체 클래스를 사용하는 모든 사용자에게 액세스 권한을 부여하려는 경우 액세스 필터를 `(objectClass=posixAccount)`로 정의합니다.

**`LDAPUserSearchBase`**  
콘솔 옵션: **LDAP 사용자 검색 기반**  
LDAP 서버 내에서 사용자가 속해 있는 검색 기반. 예를 들어 `cn=People,dc=example,dc=com`입니다.

**`LDAPGroupSearchBase`**  
콘솔 옵션: **LDAP 그룹 검색 기반**  
LDAP 서버 내에서 그룹이 속하는 검색 기반. 예를 들어 `cn=Groups,dc=example,dc=com`입니다.

**`EnableSSHLogin`**  
콘솔 옵션: **SSH 로그인**  
LDAP 보안 인증에서 암호 인증의 허용 여부를 지정합니다. 이 옵션을 활성화하지 않는 것이 좋습니다. 키 페어가 EMR 클러스터에 대한 액세스를 허용하는 보다 안전한 경로입니다. 이 필드는 선택 사항으로, 기본값은 `false`입니다.

**`LDAPServerType`**  
콘솔 옵션: **LDAP 서버 유형**  
Amazon EMR이 연결하는 LDAP 서버의 유형을 지정합니다. 지원되는 옵션은 Active Directory 및 OpenLDAP입니다. 다른 LDAP 서버 유형도 작동할 수 있지만 Amazon EMR은 다른 서버 유형을 공식적으로 지원하지 않습니다. 자세한 내용은 [Amazon EMR의 LDAP 구성 요소](ldap-components.md) 단원을 참조하십시오.

**`ActiveDirectoryConfigurations`**  
Active Directory 서버 유형을 사용하는 보안 구성에 필요한 하위 블록.

**`ADDomain`**  
콘솔 옵션: **Active Directory 도메인**  
Active Directory 서버 유형을 사용하는 보안 구성의 사용자 인증을 위한 사용자 보안 주체 이름(UPN)을 생성하는 데 사용되는 도메인 이름.

## LDAP 및 Amazon EMR에서 보안 구성에 대한 고려 사항
<a name="ldap-setup-security-considerations"></a>
+ Amazon EMR LDAP 통합을 사용하여 보안 구성을 생성하려면 전송 중 암호화를 사용해야 합니다. 전송 중 암호화에 대한 자세한 내용은 [Amazon EMR에서 저장 데이터 및 전송 중 데이터 암호화](emr-data-encryption.md) 섹션을 참조하세요.
+ 동일한 보안 구성에서 Kerberos 구성을 정의할 수 없습니다. Amazon EMR은 자동으로 전용 KDC를 프로비저닝하고 이 KDC에 대한 관리 암호를 관리합니다. 사용자는 이 관리 암호에 액세스할 수 없습니다.
+ 동일한 보안 구성 AWS Lake Formation 에서 IAM 런타임 역할 및를 정의할 수 없습니다.
+ `LDAPServerURL`의 값에 `ldaps://` 프로토콜이 있어야 합니다.
+ `LDAPAccessFilter`는 비워둘 수 없습니다.

## Amazon EMR용 Apache Ranger 통합을 통해 LDAP 사용
<a name="ldap-setup-ranger"></a>

Amazon EMR용 LDAP 통합을 통해 Apache Ranger와 추가로 통합할 수 있습니다. LDAP 사용자를 Ranger로 가져오면 해당 사용자를 Apache Ranger 정책 서버와 연결하여 Amazon EMR 및 기타 애플리케이션과 통합할 수 있습니다. 이렇게 하려면 LDAP 클러스터와 함께 사용하는 보안 구성의 `AuthorizationConfiguration` 내에서 `RangerConfiguration` 필드를 정의합니다. 보안 구성을 설정하는 방법에 대한 자세한 내용은 [EMR 보안 구성 생성](emr-ranger-security-config.md) 섹션을 참조하세요.

Amazon EMR과 함께 LDAP를 사용하는 경우, Apache Ranger에 대한 Amazon EMR 통합에 `KerberosConfiguration`을 제공할 필요가 없습니다.

# LDAP로 인증하는 EMR 클러스터 시작
<a name="ldap-setup-launch"></a>

다음 단계에 따라 LDAP 또는 Active Directory를 사용하여 EMR 클러스터를 시작합니다.

1. 환경을 설정합니다.
   + EMR 클러스터의 노드가 Amazon S3 및와 통신할 수 있는지 확인합니다 AWS Secrets Manager. 이러한 서비스와 통신하도록 EC2 인스턴스 프로파일 역할을 수정하는 방법에 대한 자세한 내용은 [Amazon EMR 인스턴스 역할에 AWS Secrets Manager 권한 추가](ldap-setup-asm.md) 섹션을 참조하세요.
   + 프라이빗 서브넷에서 EMR 클러스터를 실행하려는 경우 AWS PrivateLink 및 Amazon VPC 엔드포인트를 사용하거나 네트워크 주소 변환(NAT)을 사용하여 S3 및 Secrets Manager와 통신하도록 VPC를 구성해야 합니다. 자세한 내용은 *Amazon VPC 시작 안내서*에서 [AWS PrivateLink 및 VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) 및 [NAT 인스턴스](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html)를 참조하세요.
   + EMR 클러스터와 LDAP 서버 사이에 네트워크 연결이 있는지 확인합니다. EMR 클러스터는 네트워크를 통해 LDAP 서버에 액세스해야 합니다. 클러스터의 프라이머리, 코어 및 태스크 노드는 LDAP 서버와 통신하여 사용자 데이터를 동기화합니다. LDAP 서버가 Amazon EC2에서 실행되는 경우 EMR 클러스터의 트래픽을 수락하도록 EC2 보안 그룹을 업데이트합니다. 자세한 내용은 [Amazon EMR 인스턴스 역할에 AWS Secrets Manager 권한 추가](ldap-setup-asm.md) 단원을 참조하십시오.

1. LDAP 통합을 위한 Amazon EMR 보안 구성을 생성합니다. 자세한 내용은 [LDAP 통합을 위한 Amazon EMR 보안 구성 생성](ldap-setup-security.md) 단원을 참조하십시오.

1. 설정이 완료되었으니, [Amazon EMR 클러스터 시작](emr-gs.md#emr-getting-started-launch-sample-cluster)의 단계를 사용하여 다음 구성으로 클러스터를 시작합니다.
   + Amazon EMR 릴리스 6.12 이상을 선택합니다. 최신 Amazon EMR 릴리스를 사용하는 것이 좋습니다.
   + LDAP를 지원하는 클러스터 애플리케이션만 지정하거나 선택합니다. Amazon EMR을 사용하는 LDAP 지원 애플리케이션 목록은 [Amazon EMR용 LDAP의 애플리케이션 지원 및 고려 사항](ldap-considerations.md) 섹션을 참조하세요.
   + 이전 단계에서 생성한 보안 구성을 적용합니다.