View a markdown version of this page

将 TLS 证书存储在AWS Secrets Manager - Amazon EMR

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 TLS 证书存储在AWS Secrets Manager

安装在 Amazon EMR 集群上的 Ranger 插件和 Ranger 管理服务器必须通过 TLS 进行通信,以确保发送的策略数据和其它信息在被拦截时无法读取。EMR 还要求插件通过提供自己的 TLS 凭证并执行双向 TLS 身份验证来对 Ranger Admin 服务器进行身份验证。此设置需要创建四个凭证:两对私有和公有 TLS 凭证。有关将凭证安装到 Ranger Admin 服务器的说明,请参阅设置 Ranger Admin 服务器,以便与 Amazon EMR 集成。要完成设置,安装在 EMR 集群上的 Ranger 插件需要两个凭证:管理服务器的公有 TLS 凭证,以及插件将用于对 Ranger 管理服务器进行身份验证的私有凭证。要提供这些 TLS 证书,它们必须在 EMR 安全配置中AWS Secrets Manager并提供。

注意

强烈建议(但不是必需)为每个应用程序创建一个凭证对,以降低其中一个插件凭证遭到破坏时的影响。

注意

您需要在凭证过期日期前跟踪和转动凭证。

凭证格式

无论AWS Secrets Manager是私有插件证书还是公共 Ranger 管理员证书,将证书导入到都是一样的。在导入 TLS 凭证之前,必须确认凭证采用 509x PEM 格式。

公有凭证的示例格式如下:

-----BEGIN CERTIFICATE----- ...Certificate Body... -----END CERTIFICATE-----

私有凭证的示例格式如下:

-----BEGIN PRIVATE KEY----- ...Private Certificate Body... -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- ...Trust Certificate Body... -----END CERTIFICATE-----

私有凭证还应包含信任凭证。

您可以通过运行以下命令验证是否采用的格式是否正确:

openssl x509 -in <PEM FILE> -text

将证书导入到AWS Secrets Manager

在 Secrets Manager 中创建 Secret 时,在 secret type(密钥类型)下选择 Other type of secrets(其他类型密钥)并将 PEM 编码的凭证粘贴到 Plaintext(明文)字段中。

将证书导入到AWS Secrets Manager。