Criar a configuração de segurança do Amazon EMR para integração com LDAP - Amazon EMR
ConsideraçõesUsar LDAP e Ranger

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar a configuração de segurança do Amazon EMR para integração com LDAP

Antes de iniciar um cluster do EMR com integração com LDAP, use as etapas descritas em Crie uma configuração de segurança com o console do Amazon EMR ou com o AWS CLI para criar uma configuração de segurança do Amazon EMR para o cluster. Complete as seguintes configurações no bloco de LDAPConfiguration em AuthenticationConfiguration ou nos campos correspondentes na seção Configurações de segurança do console do Amazon EMR:

EnableLDAPAuthentication

Opção do console: Protocolo de autenticação: LDAP

Para usar a integração com LDAP, defina essa opção como true ou selecione-a como protocolo de autenticação ao criar um cluster no console. Por padrão, EnableLDAPAuthentication é true ao criar uma configuração de segurança no console do Amazon EMR.

LDAPServerURL

Opção do console: local do servidor LDAP

A localização do servidor LDAP, incluindo o prefixo: ldaps://location_of_server.

BindCertificateARN

Opção do console: certificado SSL LDAP

O AWS Secrets Manager ARN que contém o certificado para assinar o certificado SSL que o servidor LDAP usa. Se seu servidor LDAP for assinado por uma Autoridade Certificadora (CA) pública, você poderá fornecer um AWS Secrets Manager ARN com um arquivo em branco. Para obter mais informações sobre como armazenar seu certificado no Secrets Manager, consulte Armazenar certificados TLS no AWS Secrets Manager.

BindCredentialsARN

Opção do console: credenciais de vinculação do servidor LDAP

Um AWS Secrets Manager ARN que contém as credenciais de associação do usuário administrador do LDAP. As credenciais são armazenadas como objeto JSON. Há somente um par de chave-valor nesse segredo; a chave no par é o nome de usuário e o valor é a senha. Por exemplo, .{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"} Esse é um campo opcional, a menos que você habilite o login SSH para o cluster do EMR. Em muitas configurações, as instâncias do Active Directory exigem credenciais de vinculação para permitir que o SSSD sincronize usuários.

LDAPAccessFilter

Opção do console: filtro de acesso LDAP

Especifica o subconjunto de objetos no servidor LDAP que podem ser autenticados. Por exemplo, para conceder acesso a todos os usuários com a classe de objeto posixAccount no servidor LDAP, defina o filtro de acesso como (objectClass=posixAccount).

LDAPUserSearchBase

Opção do console: base de pesquisa de usuários LDAP

A base de pesquisa à qual seus usuários pertencem no servidor LDAP. Por exemplo, .cn=People,dc=example,dc=com

LDAPGroupSearchBase

Opção de console: base de pesquisa de grupos LDAP

A base de pesquisa à qual seus grupos pertencem no servidor LDAP. Por exemplo, .cn=Groups,dc=example,dc=com

EnableSSHLogin

Opção do console: login SSH

Especifica se a autenticação por senha com credenciais LDAP deverá ou não ser permitida. Não é recomendável habilitar essa opção. Os pares de chaves são uma rota mais segura para permitir o acesso aos clusters do EMR. Esse campo é opcional e usa o padrão false.

LDAPServerType

Opção de console: tipo de servidor LDAP

Especifica o tipo de servidor LDAP ao qual o Amazon EMR se conectará. As opções compatíveis são Active Directory e OpenLDAP. Outros tipos de servidor LDAP podem funcionar, mas o Amazon EMR não é oficialmente compatível com outros tipos de servidor. Para obter mais informações, consulte Componentes LDAP para Amazon EMR.

ActiveDirectoryConfigurations

Um sub-bloco necessário para configurações de segurança que utilizam o tipo de servidor Active Directory.

ADDomain

Opção do console: domínio do Active Directory

O nome de domínio usado para criar o nome da entidade principal do usuário (UPN) para autenticação do usuário com configurações de segurança que usam o tipo de servidor Active Directory.

Considerações sobre configurações de segurança com LDAP e Amazon EMR

  • Para criar uma configuração de segurança com a integração LDAP do Amazon EMR, é necessário usar criptografia em trânsito. Para obter informações sobre criptografia em trânsito, consulte Criptografia de dados em repouso e em trânsito com o Amazon EMR.

  • Não é possível definir a configuração do Kerberos na mesma configuração de segurança. O Amazon EMR provisiona um KDC que é dedicado automaticamente e gerencia a senha de administrador para o KDC. Os usuários não poderão acessar essa senha de administrador.

  • Você não pode definir funções de tempo de execução do IAM e AWS Lake Formation na mesma configuração de segurança.

  • LDAPServerURL deve ter o protocolo ldaps:// em seu valor.

  • LDAPAccessFilter não pode estar vazio.

Usar o LDAP com a integração do Apache Ranger para Amazon EMR

Com a integração LDAP para Amazon EMR, é possível se integrar ainda mais com o Apache Ranger. Ao inserir seus usuários LDAP no Ranger, você pode associar esses usuários a um servidor de políticas Apache Ranger para integração com o Amazon EMR e outras aplicações. Para isso, defina o campo RangerConfiguration em AuthorizationConfiguration na configuração de segurança que você usa com o cluster do LDAP. Para obter mais informações sobre como definir a configuração de segurança, consulte Criar a configuração de segurança do EMR.

Ao usar o LDAP com o Amazon EMR, não é necessário fornecer uma KerberosConfiguration com a integração com o Amazon EMR para Apache Ranger.