建立適用於 LDAP 整合的 Amazon EMR 安全組態 - Amazon EMR
考量使用 LDAP 和 Ranger

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立適用於 LDAP 整合的 Amazon EMR 安全組態

啟動具有 LDAP 整合的 EMR 叢集之前,先使用 使用 Amazon EMR 主控台或使用 建立安全組態 AWS CLI 中的步驟為叢集建立 Amazon EMR 安全組態。在 AuthenticationConfiguration 下的 LDAPConfiguration 區塊中或 Amazon EMR 主控台安全組態區段中對應欄位中完成下列組態:

EnableLDAPAuthentication

主控台選項:身分驗證協定:LDAP

若要使用 LDAP 整合,請在主控台中建立叢集時將此選項設定為 true 或選取此選項作為身分驗證協定。依預設,在 Amazon EMR 主控台中建立安全組態時 EnableLDAPAuthenticationtrue

LDAPServerURL

主控台選項:LDAP 伺服器位置

LDAP 伺服器的位置 (包含字首):ldaps://location_of_server

BindCertificateARN

主控台選項:LDAP SSL 憑證

包含憑證以簽署 LDAP 伺服器使用之 SSL 憑證的 AWS Secrets Manager ARN。如果您的 LDAP 伺服器是由公有憑證授權機構 (CA) 簽署,您可以為 AWS Secrets Manager ARN 提供空白檔案。如需有關如何將憑證儲存在 Secrets Manager 中的詳細資訊,請參閱 將 TLS 憑證儲存在 AWS Secrets Manager中

BindCredentialsARN

主控台選項:LDAP 伺服器繫結憑證

包含 LDAP 管理員使用者繫結憑證的 AWS Secrets Manager ARN。憑證會儲存為 JSON 物件。此機密中只有一個金鑰值對;配對中的金鑰是使用者名稱,而值則是密碼。例如 {"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}。除非為 EMR 叢集啟用 SSH 登入,否則此欄位為選用欄位。在許多組態中,Active Directory 執行個體需要繫結憑證,以允許 SSSD 同步使用者。

LDAPAccessFilter

主控台選項:LDAP 存取篩選條件

指定 LDAP 伺服器內可進行身分驗證的物件子集。例如,如果您希望向 LDAP 伺服器中具有 posixAccount 物件類別的所有使用者授予存取權,請將存取篩選條件定義為 (objectClass=posixAccount)

LDAPUserSearchBase

主控台選項:LDAP 使用者搜尋庫

您的使用者在 LDAP 伺服器內所屬的搜尋庫。例如 cn=People,dc=example,dc=com

LDAPGroupSearchBase

主控台選項:LDAP 群組搜尋庫

您的群組在 LDAP 伺服器中所屬的搜尋庫。例如 cn=Groups,dc=example,dc=com

EnableSSHLogin

主控台選項:SSH 登入

指定是否允許使用 LDAP 憑證進行密碼身分驗證。不建議您啟用此選項。金鑰對是允許存取 EMR 叢集的更安全的路由。此欄位為選用,預設值為 false

LDAPServerType

主控台選項:LDAP 伺服器類型

指定 Amazon EMR 連接至的 LDAP 伺服器類型。支援的選項為 Active Directory 和 OpenLDAP。其他 LDAP 伺服器類型也許可以運作,但 Amazon EMR 並未正式支援其他伺服器類型。如需詳細資訊,請參閱適用於 Amazon EMR 的 LDAP 元件

ActiveDirectoryConfigurations

使用 Active Directory 伺服器類型的安全組態的必要子區塊。

ADDomain

主控台選項:Active Directory 域

用於建立使用者主體名稱 (UPN) 的域名稱,以透過使用 Active Directory 伺服器類型的安全組態進行使用者身分驗證。

LDAP 和 Amazon EMR 的安全組態的考量

  • 若要使用 Amazon EMR LDAP 整合建立安全組態,您必須使用傳輸中加密。如需有關傳輸中加密的資訊,請參閱 使用 Amazon EMR 加密靜態和傳輸中的資料

  • 您無法在相同的安全組態中定義 Kerberos 組態。Amazon EMR 會自動佈建專用的 KDC,並管理此 KDC 的管理員密碼。使用者無法存取此管理員密碼。

  • 您無法在相同的安全組態 AWS Lake Formation 中定義 IAM 執行期角色和 。

  • LDAPServerURL 的值中必須包含 ldaps:// 協定。

  • LDAPAccessFilter 不能為空。

將 LDAP 與 Amazon EMR 的 Apache Ranger 整合搭配使用

透過 Amazon EMR 的 LDAP 整合,您可以進一步與 Apache Ranger 整合。當您將 LDAP 使用者提取到 Ranger 時,您可以將這些使用者與 Apache Ranger 政策伺服器關聯,以與 Amazon EMR 和其他應用程式整合。若要執行此操作,請在與 LDAP 叢集搭配使用的安全組態中的 AuthorizationConfiguration 內定義 RangerConfiguration 欄位。如需如何設定安全組態的詳細資訊,請參閱 建立 EMR 安全組態

將 LDAP 與 Amazon EMR 搭配使用時,您無需為 Apache Ranger 的 Amazon EMR 整合提供 KerberosConfiguration