As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar a configuração de segurança do EMR
<a name="emr-ranger-security-config"></a>

**Criar uma configuração de segurança do Amazon EMR para Apache Ranger**

Antes de iniciar um cluster do Amazon EMR integrado ao Apache Ranger, crie uma configuração de segurança.

------
#### [ Console ]

**Para criar uma configuração de segurança que especifique a opção de integração do AWS Ranger**

1. No console do Amazon EMR, selecione **Configurações de segurança** e depois **Criar**.

1. Digite um nome em **Name (Nome)** para a configuração de segurança. Esse nome é usado para especificar a configuração de segurança ao criar um cluster.

1. Em **Integração do AWS Ranger**, selecione **Habilitar controle de acesso granular gerenciado pelo Apache Ranger**.

1. Selecione o **perfil do IAM para Apache Ranger** a ser aplicado. Para obter mais informações, consulte [Perfis do IAM para integração nativa com o Apache Ranger](emr-ranger-iam.md).

1. Selecione o **Perfil do IAM para outros serviços da AWS ** a ser aplicado.

1. Configure os plug-ins para se conectar ao servidor Ranger Admin inserindo o ARN do Secrets Manager para o servidor Admin e o endereço.

1. Selecione as aplicações para configurar os plug-ins do Ranger. Insira o ARN do Secret Manager que contém o certificado TLS privado do plug-in.

   Se você não configurar o Apache Spark ou o Apache Hive e eles forem selecionados como uma aplicação para seu cluster, a solicitação falhará.

1. Configure outras opções de configuração de segurança conforme apropriado e escolha **Create (Criar)**. Você deve habilitar a autenticação Kerberos usando o KDC externo ou dedicado ao cluster.

**nota**  
No momento, você não pode usar o console para criar uma configuração de segurança que especifique a opção de integração do AWS Ranger no. AWS GovCloud (US) Region A configuração de segurança do pode ser feita usando a CLI.

------
#### [ CLI ]

**Criar uma configuração de segurança para integração do Apache Ranger**

1. `<ACCOUNT ID>`Substitua pelo ID AWS da sua conta.

1. Substitua `<REGION>` pela região em que o recurso está.

1. Especifique um valor para `TicketLifetimeInHours` para determinar o período durante o qual um ticket Kerberos emitido pelo KDC é válido.

1. Especifique o endereço do servidor Ranger Admin para `AdminServerURL`.

```
{
    "AuthenticationConfiguration": {
        "KerberosConfiguration": {
            "Provider": "ClusterDedicatedKdc",
            "ClusterDedicatedKdcConfiguration": {
                "TicketLifetimeInHours": 24
            }
        }
    },
    "AuthorizationConfiguration":{
      "RangerConfiguration":{
         "AdminServerURL":"https://_<RANGER ADMIN SERVER IP>_:6182",
         "RoleForRangerPluginsARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<RANGER PLUGIN DATA ACCESS ROLE NAME>_",
         "RoleForOtherAWSServicesARN":"arn:aws:iam::_<ACCOUNT ID>_:role/_<USER ACCESS ROLE NAME>_",
         "AdminServerSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES ADMIN SERVERS PUBLIC TLS CERTIFICATE WITHOUT VERSION>_",
         "RangerPluginConfigurations":[
            {
               "App":"Spark",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES SPARK PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<SPARK SERVICE NAME eg. amazon-emr-spark>"
            },
            {
               "App":"Hive",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES Hive PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<HIVE SERVICE NAME eg. Hivedev>"
            },
            {
               "App":"EMRFS-S3",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES EMRFS S3 PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<EMRFS S3 SERVICE NAME eg amazon-emr-emrfs>"
            }, 
	      {
               "App":"Trino",
               "ClientSecretARN":"arn:aws:secretsmanager:_<REGION>_:_<ACCOUNT ID>_:secret:_<SECRET NAME THAT PROVIDES TRINO PLUGIN PRIVATE TLS CERTIFICATE WITHOUT VERSION>_",
               "PolicyRepositoryName":"<TRINO SERVICE NAME eg amazon-emr-trino>"
            }
         ],
         "AuditConfiguration":{
            "Destinations":{
               "AmazonCloudWatchLogs":{
                  "CloudWatchLogGroup":"arn:aws:logs:<REGION>:_<ACCOUNT ID>_:log-group:_<LOG GROUP NAME FOR AUDIT EVENTS>_"
               }
            }
         }
      }
   }
}
```

Esses PolicyRespositoryNames são os nomes dos serviços especificados em seu Apache Ranger Admin.

Crie uma configuração de segurança do Amazon EMR com o comando a seguir. Substitua a configuração de segurança por um nome a sua escolha. Selecione a configuração pelo nome ao criar o cluster.

```
aws emr create-security-configuration \
--security-configuration file://./security-configuration.json \
--name security-configuration
```

------

**Configurar atributos de segurança adicionais**

Para integrar o Amazon EMR ao Apache Ranger com segurança, configure os seguintes recursos de segurança do EMR:
+ Habilite a autenticação Kerberos usando o KDC externo ou dedicado ao cluster. Para instruções, consulte [Usar o Kerberos para autenticação com o Amazon EMR](emr-kerberos.md).
+ (Opcional) Habilite a criptografia em trânsito ou em repouso. Para obter mais informações, consulte [Opções de criptografia do Amazon EMR](emr-data-encryption-options.md).

Para obter mais informações, consulte [Segurança no Amazon EMR](emr-security.md).