Criar a configuração de segurança do Amazon EMR para integração com LDAP

Antes de iniciar um cluster do EMR com integração com LDAP, use as etapas descritas em Como criar uma configuração de segurança com o console do Amazon EMR ou a AWS CLI para criar uma configuração de segurança do Amazon EMR para o cluster. Complete as seguintes configurações no bloco de LDAPConfiguration em AuthenticationConfiguration ou nos campos correspondentes na seção Configurações de segurança do console do Amazon EMR:

EnableLDAPAuthentication

Opção do console: Protocolo de autenticação: LDAP

Para usar a integração com LDAP, defina essa opção como true ou selecione-a como protocolo de autenticação ao criar um cluster no console. Por padrão, EnableLDAPAuthentication é true ao criar uma configuração de segurança no console do Amazon EMR.

LDAPServerURL

Opção do console: local do servidor LDAP

A localização do servidor LDAP, incluindo o prefixo: ldaps://location_of_server.

BindCertificateARN

Opção do console: certificado SSL LDAP

O ARN do AWS Secrets Manager que contém o certificado para assinar o certificado SSL que o servidor LDAP usa. Se seu servidor LDAP for assinado por uma autoridade de certificação (CA) pública, você poderá fornecer um ARN do AWS Secrets Manager com um arquivo em branco. Para obter mais informações sobre como armazenar seu certificado no Secrets Manager, consulte Armazenar certificados TLS no AWS Secrets Manager.

BindCredentialsARN

Opção do console: credenciais de vinculação do servidor LDAP

Um ARN do AWS Secrets Manager que contém as credenciais de associação do usuário administrador do LDAP. As credenciais são armazenadas como objeto JSON. Há somente um par de chave-valor nesse segredo; a chave no par é o nome de usuário e o valor é a senha. Por exemplo, {"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}. Esse é um campo opcional, a menos que você habilite o login SSH para o cluster do EMR. Em muitas configurações, as instâncias do Active Directory exigem credenciais de vinculação para permitir que o SSSD sincronize usuários.

LDAPAccessFilter

Opção do console: filtro de acesso LDAP

Especifica o subconjunto de objetos no servidor LDAP que podem ser autenticados. Por exemplo, para conceder acesso a todos os usuários com a classe de objeto posixAccount no servidor LDAP, defina o filtro de acesso como (objectClass=posixAccount).

LDAPUserSearchBase

Opção do console: base de pesquisa de usuários LDAP

A base de pesquisa à qual seus usuários pertencem no servidor LDAP. Por exemplo, cn=People,dc=example,dc=com.

LDAPGroupSearchBase

Opção de console: base de pesquisa de grupos LDAP

A base de pesquisa à qual seus grupos pertencem no servidor LDAP. Por exemplo, cn=Groups,dc=example,dc=com.

EnableSSHLogin

Opção do console: login SSH

Especifica se a autenticação por senha com credenciais LDAP deverá ou não ser permitida. Não é recomendável habilitar essa opção. Os pares de chaves são uma rota mais segura para permitir o acesso aos clusters do EMR. Esse campo é opcional e usa o padrão false.

LDAPServerType

Opção de console: tipo de servidor LDAP

Especifica o tipo de servidor LDAP ao qual o Amazon EMR se conectará. As opções compatíveis são Active Directory e OpenLDAP. Outros tipos de servidor LDAP podem funcionar, mas o Amazon EMR não é oficialmente compatível com outros tipos de servidor. Para obter mais informações, consulte Componentes LDAP para Amazon EMR.

ActiveDirectoryConfigurations

Um sub-bloco necessário para configurações de segurança que utilizam o tipo de servidor Active Directory.

ADDomain

Opção do console: domínio do Active Directory

O nome de domínio usado para criar o nome da entidade principal do usuário (UPN) para autenticação do usuário com configurações de segurança que usam o tipo de servidor Active Directory.

Considerações sobre configurações de segurança com LDAP e Amazon EMR

Para criar uma configuração de segurança com a integração LDAP do Amazon EMR, é necessário usar criptografia em trânsito. Para obter informações sobre criptografia em trânsito, consulte Criptografia de dados em repouso e em trânsito com o Amazon EMR.
Não é possível definir a configuração do Kerberos na mesma configuração de segurança. O Amazon EMR provisiona um KDC que é dedicado automaticamente e gerencia a senha de administrador para o KDC. Os usuários não poderão acessar essa senha de administrador.
Não é possível definir perfis de runtime do IAM e o AWS Lake Formation na mesma configuração de segurança.
LDAPServerURL deve ter o protocolo ldaps:// em seu valor.
LDAPAccessFilter não pode estar vazio.

Usar o LDAP com a integração do Apache Ranger para Amazon EMR

Com a integração LDAP para Amazon EMR, é possível se integrar ainda mais com o Apache Ranger. Ao inserir seus usuários LDAP no Ranger, você pode associar esses usuários a um servidor de políticas Apache Ranger para integração com o Amazon EMR e outras aplicações. Para isso, defina o campo RangerConfiguration em AuthorizationConfiguration na configuração de segurança que você usa com o cluster do LDAP. Para obter mais informações sobre como definir a configuração de segurança, consulte Criar a configuração de segurança do EMR.

Ao usar o LDAP com o Amazon EMR, não é necessário fornecer uma KerberosConfiguration com a integração com o Amazon EMR para Apache Ranger.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões do Secrets Manager

Iniciar um cluster que usa LDAP