本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Kerberos 透過 Amazon EMR 進行身分驗證 Amazon EMR 5.10.0 版及更高版本支援 Kerberos。Kerberos 是一種網路驗證協定,使用私密金鑰加密來提供強式身分驗證,因此密碼或其他憑證不會以未加密的格式透過網路傳送。 Kerberos 中需要驗證的服務和使用者稱為*主體*。主體存在於 Kerberos *領域*中。在該領域中,稱為 *金鑰分佈中心 (KDC)* 的 Kerberos 伺服器,會提供為主體進行身分驗證的方法。KDC 的做法是發出 *票證* 來進行身分驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。KDC 也可接受來自其他領域中主體的身分驗證登入資料,這稱為 *跨域信任*。此外,EMR 叢集可以使用外部 KDC 來驗證主體。 建立跨域信任或使用外部 KDC 的常見案例是從 Active Directory 網域對使用者進行身分驗證。這可讓使用者在使用 SSH 連接至叢集或使用大數據應用程式時,使用其域帳戶來存取 EMR 叢集。 使用 Kerberos 身分驗證時,Amazon EMR 會為安裝在叢集上的應用程式、元件和子系統設定 Kerberos,使其可互相進行身分驗證。 **重要** Amazon EMR 不支援 AWS Directory Service for Microsoft Active Directory 跨領域信任或外部 KDC。 使用 Amazon EMR 設定 Kerberos 之前,建議您先熟悉 Kerberos 概念、在 KDC 上執行的服務、管理 Kerberos 服務的工具。如需詳細資訊,請參閱由 [Kerberos 協會](http://web.mit.edu/kerberos/krb5-latest/doc/)發布的 [MIT Kerberos 文件](http://kerberos.org/)。 **Topics** + [使用 Amazon EMR 支援的應用程式](emr-kerberos-principals.md) + [搭配 Amazon EMR 的 Kerberos 架構選項](emr-kerberos-options.md) + [在 Amazon EMR 上設定 Kerberos](emr-kerberos-configure.md) + [使用 SSH 透過 Amazon EMR 連線至 Kerberized 叢集](emr-kerberos-connect-ssh.md) + [教學課程:使用 Amazon EMR 設定叢集專用 KDC](emr-kerberos-cluster-kdc.md) + [教學課程:使用 Active Directory 域設定跨領域信任](emr-kerberos-cross-realm.md)