本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 SSL/TLS 並設定 Presto on Amazon EMR 的 LDAPS 藉由 Amazon EMR 發行版本 5.6.0 及更高版本,您可以啟動 SSL/TLS 以協助 Presto 節點之間的[安全內部通訊](https://prestodb.io/docs/current/security/internal-communication.html)。您可以為傳輸中加密設定安全組態,達成這個目的。如需詳細資訊,請參閱《Amazon EMR 管理指南》**中的[加密選項](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html)和[使用安全組態設定叢集安全性](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-configurations.html)。 搭配傳輸中加密使用安全組態時,Amazon EMR 會為 Presto 執行下列操作: + 將您針對傳輸中加密指定的加密成品或憑證,分配到整個 Presto 叢集。如需詳細資訊,請參閱[提供傳輸中資料加密的憑證](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-encryption-certificates)。 + 設定下列屬性,這些屬性會使用對應至 Presto 所使用 `presto-config` 檔案的 `config.properties` 組態分類: + 在所有節點上,將 `http-server.http.enabled` 設成 `false`,這樣會停用 HTTP,以便使用 HTTPS。這需要您在設定傳輸中加密的安全組態時,提供適用於公有和私有 DNS 的憑證。其中一種方法是使用支援多個域的 SAN (主體替代名稱) 憑證。 + 設定 `http-server.https.*` 值。如需有關組態的詳細資訊,請參閱 Presto 文件中的 [LDAP 身分驗證](https://prestodb.io/docs/current/security/ldap.html)。 此外,搭配 Amazon EMR 發行版本 5.10.0 及更高版本時,您可以為使用 HTTPS 連線至 Presto 協調器的用戶端設定 [LDAP 身分驗證](https://prestodb.io/docs/current/security/ldap.html)。這項設定會使用安全 LDAP (LDAPS)。在您的 LDAP 伺服器上,TLS 必須已經啟用,且 Presto 叢集必須使用已經啟用傳輸中資料加密功能的安全組態。需要設定其他組態。這些組態選項將依您所使用的 Amazon EMR 發行版本而有不同。如需詳細資訊,請參閱[使用 LDAP 身分驗證 Presto on Amazon EMR](emr-presto-ldap.md)。 Presto on Amazon EMR 預設會使用連接埠 8446 進行內部 HTTPS。用於內部通訊的連接埠必須與對 Presto 協調器進行用戶端 HTTPS 存取時所使用的連接埠相同。`http-server.https.port` 組態分類內的 `presto-config` 屬性會指定連接埠。