本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立適用於 LDAP 整合的 Amazon EMR 安全組態
<a name="ldap-setup-security"></a>

啟動具有 LDAP 整合的 EMR 叢集之前，先使用 [使用 Amazon EMR 主控台或使用 建立安全組態 AWS CLI](emr-create-security-configuration.md) 中的步驟為叢集建立 Amazon EMR 安全組態。在 `AuthenticationConfiguration` 下的 `LDAPConfiguration` 區塊中或 Amazon EMR 主控台**安全組態**區段中對應欄位中完成下列組態：

**`EnableLDAPAuthentication`**  
主控台選項：**身分驗證協定：LDAP**  
若要使用 LDAP 整合，請在主控台中建立叢集時將此選項設定為 `true` 或選取此選項作為身分驗證協定。依預設，在 Amazon EMR 主控台中建立安全組態時 `EnableLDAPAuthentication` 為 `true`。

**`LDAPServerURL`**  
主控台選項：**LDAP 伺服器位置**  
LDAP 伺服器的位置 (包含字首)：`ldaps://location_of_server`。

**`BindCertificateARN`**  
主控台選項：**LDAP SSL 憑證**  
包含憑證以簽署 LDAP 伺服器使用之 SSL 憑證的 AWS Secrets Manager ARN。如果您的 LDAP 伺服器是由公有憑證授權機構 (CA) 簽署，您可以為 AWS Secrets Manager ARN 提供空白檔案。如需有關如何將憑證儲存在 Secrets Manager 中的詳細資訊，請參閱 [在 中存放 TLS 憑證 AWS Secrets Manager](emr-ranger-tls-certificates.md)。

**`BindCredentialsARN`**  
主控台選項：**LDAP 伺服器繫結憑證**  
包含 LDAP 管理員使用者繫結憑證的 AWS Secrets Manager ARN。憑證會儲存為 JSON 物件。此機密中只有一個金鑰值對；配對中的金鑰是使用者名稱，而值則是密碼。例如 `{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`。除非為 EMR 叢集啟用 SSH 登入，否則此欄位為選用欄位。在許多組態中，Active Directory 執行個體需要繫結憑證，以允許 SSSD 同步使用者。

**`LDAPAccessFilter`**  
主控台選項：**LDAP 存取篩選條件**  
指定 LDAP 伺服器內可進行身分驗證的物件子集。例如，如果您希望向 LDAP 伺服器中具有 `posixAccount` 物件類別的所有使用者授予存取權，請將存取篩選條件定義為 `(objectClass=posixAccount)`。

**`LDAPUserSearchBase`**  
主控台選項：**LDAP 使用者搜尋庫**  
您的使用者在 LDAP 伺服器內所屬的搜尋庫。例如 `cn=People,dc=example,dc=com`。

**`LDAPGroupSearchBase`**  
主控台選項：**LDAP 群組搜尋庫**  
您的群組在 LDAP 伺服器中所屬的搜尋庫。例如 `cn=Groups,dc=example,dc=com`。

**`EnableSSHLogin`**  
主控台選項：**SSH 登入**  
指定是否允許使用 LDAP 憑證進行密碼身分驗證。不建議您啟用此選項。金鑰對是允許存取 EMR 叢集的更安全的路由。此欄位為選用，預設值為 `false`。

**`LDAPServerType`**  
主控台選項：**LDAP 伺服器類型**  
指定 Amazon EMR 連接至的 LDAP 伺服器類型。支援的選項為 Active Directory 和 OpenLDAP。其他 LDAP 伺服器類型也許可以運作，但 Amazon EMR 並未正式支援其他伺服器類型。如需詳細資訊，請參閱[適用於 Amazon EMR 的 LDAP 元件](ldap-components.md)。

**`ActiveDirectoryConfigurations`**  
使用 Active Directory 伺服器類型的安全組態的必要子區塊。

**`ADDomain`**  
主控台選項：**Active Directory 域**  
用於建立使用者主體名稱 (UPN) 的域名稱，以透過使用 Active Directory 伺服器類型的安全組態進行使用者身分驗證。

## LDAP 和 Amazon EMR 的安全組態的考量
<a name="ldap-setup-security-considerations"></a>
+ 若要使用 Amazon EMR LDAP 整合建立安全組態，您必須使用傳輸中加密。如需有關傳輸中加密的資訊，請參閱 [使用 Amazon EMR 加密靜態和傳輸中的資料](emr-data-encryption.md)。
+ 您無法在相同的安全組態中定義 Kerberos 組態。Amazon EMR 會自動佈建專用的 KDC，並管理此 KDC 的管理員密碼。使用者無法存取此管理員密碼。
+ 您無法在相同的安全組態 AWS Lake Formation 中定義 IAM 執行期角色和 。
+ `LDAPServerURL` 的值中必須包含 `ldaps://` 協定。
+ `LDAPAccessFilter` 不能為空。

## 將 LDAP 與 Amazon EMR 的 Apache Ranger 整合搭配使用
<a name="ldap-setup-ranger"></a>

透過 Amazon EMR 的 LDAP 整合，您可以進一步與 Apache Ranger 整合。當您將 LDAP 使用者提取到 Ranger 時，您可以將這些使用者與 Apache Ranger 政策伺服器關聯，以與 Amazon EMR 和其他應用程式整合。若要執行此操作，請在與 LDAP 叢集搭配使用的安全組態中的 `AuthorizationConfiguration` 內定義 `RangerConfiguration` 欄位。如需如何設定安全組態的詳細資訊，請參閱 [建立 EMR 安全組態](emr-ranger-security-config.md)。

將 LDAP 與 Amazon EMR 搭配使用時，您無需為 Apache Ranger 的 Amazon EMR 整合提供 `KerberosConfiguration`。