本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon EMR 的 Apache Ranger
<a name="emr-ranger-overview"></a>

Apache Ranger 是一個架構，可在 Hadoop 平台上啟用、監控和管理全面的資料安全。

Apache Ranger 具有下列功能：
+ 集中式安全管理，可在中央 UI 或使用 REST API 管理所有與安全相關的任務。
+ 使用 Hadoop 元件或工具執行特定動作或操作的精細分級的授權，透過中央管理工具進行管理。
+ 跨所有 Hadoop 元件的標準化授權方法。
+ 增強了對各種授權方法的支援。
+ 對 Hadoop 所有元件內的使用者存取和管理動作 (安全相關) 進行集中稽核。

Apache Ranger 使用兩個關鍵元件進行授權：
+ **Apache Ranger 政策管理伺服器** – 此伺服器可讓您定義 Hadoop 應用程式的授權政策。與 Amazon EMR 整合時，您可以為 Apache Spark 和 Hive 定義和強制執行政策以存取 Hive Metastore 以及存取 Amazon S3 資料 [EMR 檔案系統 (EMRFS)](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-fs)。您可以設定新的或使用現有的 Apache Ranger 政策管理伺服器來與 Amazon EMR 整合。
+ **Apache Ranger 外掛程式** – 此外掛程式根據 Apache Ranger 政策管理伺服器中定義的授權政策驗證使用者的存取權。Amazon EMR 會自動為在 Apache Ranger 組態中選取的每個 Hadoop 應用程式安裝和設定 Apache Ranger 外掛程式。

**Topics**
+ [Amazon EMR 與 Apache Ranger 整合的架構](emr-ranger-architecture.md)
+ [搭配 Apache Ranger 使用的 Amazon EMR 元件](emr-ranger-components.md)

# Amazon EMR 與 Apache Ranger 整合的架構
<a name="emr-ranger-architecture"></a>

![\[Amazon EMR 和 Apache Ranger 架構圖。\]](http://docs.aws.amazon.com/zh_tw/emr/latest/ManagementGuide/images/emr-ranger-architecture.png)


# 搭配 Apache Ranger 使用的 Amazon EMR 元件
<a name="emr-ranger-components"></a>

Amazon EMR 透過下列元件使用 Apache Ranger 實現精細分級的存取控制。請參閱[架構圖](emr-ranger-architecture.md)，了解這些具有 Apache Ranger 外掛程式的 Amazon EMR 元件的視覺化呈現。

**機密代理程式** – 機密代理程式可安全地儲存機密並將機密分發到其他 Amazon EMR 元件或應用程式。密碼可以包含臨時使用者登入資料、加密金鑰或 Kerberos 票證。機密代理程式在叢集中的每個節點上執行，並攔截對執行個體中繼資料服務的呼叫。對於執行個體設定檔角色憑證的請求，機密代理程式在使用 EMRFS S3 Ranger 外掛程式授權請求後，會根據請求使用者和請求的資源提供憑證。機密代理程式會以 *`emrsecretagent`* 使用者身分執行，並將日誌寫入 /emr/secretagent/log 目錄。此程序倚賴一組特定的 `iptables` 規則來運作。務必確保未停用 `iptables`。如果您自訂 `iptables` 組態，則 NAT 表規則必須保留並保持不變。

**EMR 記錄伺服器** – 記錄伺服器接收從 Spark 存取資料的請求。然後，它透過將請求的資源轉送至 Amazon EMR 的 Spark Ranger 外掛程式來授權請求。記錄伺服器會從 Amazon S3 讀取資料，並傳回使用者獲授權根據 Ranger 政策存取的篩選資料。記錄伺服器會以 emr\$1record\$1server 使用者身分在叢集中的每個節點上執行，並將日誌寫入 /var/log/emr-record-server 目錄。