发布于: Nov 21, 2017

现在,您可为 Amazon EMR 群集上的 Amazon S3 访问启用 Kerberos 身份验证和精细 EMRFS 授权。您可以使用 Kerberos 在群集上运行的服务之间、群集上的用户操作之间以及来自远程服务的外部客户端请求之间对请求进行验证。Amazon EMR 将在您的群集的主节点上创建一个 MIT KDC,并利用群集上某些应用程序组件的开源 Kerberos 身份验证设置。此外,您可以轻松地启用与 Microsoft Active Directory 间的跨领域信任,无缝允许目录中的用户使用 Kerberos 进行身份验证,以访问和运行群集上的工作负载。

此外,现在您还可以使用 EMRFS 授权来指定当某用户访问 Amazon S3 时使用的 AWS Identity and Access Management (IAM) 角色。Apache Spark 和 Apache Hive 等应用程序将使用 EMRFS (用于 Amazon S3 的 Amazon EMR 连接器) 进行数据访问。默认情况下,附加到您群集上的 EC2 角色 (实例配置文件) 的策略确定可在 Amazon S3 中访问的数据。借助 EMRFS 授权,您现在可以指定当用户或组使用 EMRFS 访问 Amazon S3 时承担的 IAM 角色。为每个用户或组选择 IAM 角色可以在多用户 Amazon EMR 群集上为 Amazon S3 启用精细访问控制。此外,您还可以指定用于不同 Amazon S3 存储桶的 IAM 角色,从而更轻松地启用跨账户的 Amazon S3 访问。

要在 Amazon EMR 群集上启用 Kerberos 身份验证和 EMRFS 授权,请在安全配置和相应的群集配置中指定这些选项。您可以在 Amazon EMR 控制台、AWS 命令行界面 (CLI) 或包含 Amazon EMR API 的 AWS 开发工具包中的安全配置页面上创建安全配置。如果您要创建与 Microsoft Active Directory 间的跨领域域联接,请执行这些额外步骤。Kerberos 身份验证和 EMRFS 授权功能现已在 Amazon EMR 版本 5.10.0 和更高版本中推出。请访问 Amazon EMR 文档了解有关使用 Kerberos 进行身份验证EMRFS 授权安全配置的详细信息。

Kerberos 身份验证和 EMRFS 授权功能目前在美国东部 (弗吉尼亚北部)、欧洲 (爱尔兰) 和南美洲 (圣保罗) 可用。这些功能很快会在所有支持 Amazon EMR 的区域提供。