Veröffentlicht am: Nov 21, 2017
Jetzt können Sie die Authentifizierung mit Kerberos aktivieren und eine detaillierte EMRFS-Autorisierung für den Zugriff von Amazon S3 auf Ihre Amazon EMR-Cluster realisieren. Mit Kerberos können Sie Anfragen zwischen Services authentifizieren, die Sie auf Ihrem Cluster ausführen, ebenso wie für Benutzeraktionen auf Ihrem Cluster oder externe Client-Anfragen von externen Services. Amazon EMR erstellt ein MIT KDC auf dem Master-Knoten Ihres Clusters und verwendet die Open Source Kerberos-Authentifizierungseinstellungen für bestimmte Anwendungskomponenten in Ihrem Cluster. Darüber hinaus können Sie ganz einfach eine Realm-übergreifende Vertrauensbeziehung zu einem Microsoft Active Directory einrichten, um den Benutzern in dem Verzeichnis nahtlos zu gestatten, sich mit Kerberos zu authentifizieren, um auf ein Cluster zuzugreifen und Arbeitslasten darauf auszuführen.
Darüber hinaus können Sie jetzt die EMRFS-Autorisierung verwenden, um die AWS Identity and Access Management (IAM)-Rolle zu spezifizieren, die verwendet wird, wenn bestimmte Benutzer auf Amazon S3 zugreifen. Anwendungen wie Apache Spark und Apache Hive verwenden EMRFS, die EMR-Verbindung zu für Amazon S3 von Amazon für den Datenzugriff. Standardmäßig bestimmt die Richtlinie, die der EC2-Rolle (Instance-Profil) in Ihrem Cluster zugeordnet ist, auf welche Daten in Amazon S3 zugegriffen werden kann. Mit der EMRFS-Autorisierung können Sie jetzt die IAM-Rolle spezifizieren, die angenommen wird, wenn ein Benutzer oder eine Gruppe mit EMRFS auf Amazon S3 zugreifen. Die Auswahl der IAM-Rolle für jeden Benutzer oder jede Gruppe unterstützt eine detaillierte Zugriffskontrolle für Amazon S3 in Amazon EMR-Clustern für mehrere Benutzer. Darüber hinaus können Sie die IAM-Rolle spezifizieren, die für verschiedene Amazon S3-Buckets verwendet wird, womit ein kontenübergreifender Zugriff auf Amazon S3 einfacher zu realisieren ist.
Um eine Authentifizierung mit Kerberos und eine EMRFS-Autorisierung in Ihrem Amazon EMR-Cluster zu realisieren, geben Sie diese Optionen in Ihrer Sicherheitskonfiguration und in der entsprechenden Cluster-Konfiguration an. Sie können eine Sicherheitskonfiguration auf der Sicherheitskonfigurationsseite der Amazon EMR-Konsole, der AWS Command Line Interface (CLI) oder des AWS SDK mit der Amazon EMR API erstellen. Wenn Sie eine Realm-übergreifende Domänen-Verbindung mit einem Microsoft Active Directory erstellen, folgen Sie bitte diesen zusätzlichen Schritten. Die Authentifizierung mit Kerberos und die EMRFS-Autorisierung stehen ab Amazon EMR Release 5.10.0 und später zur Verfügung. Weitere Informationen über die Authentifizierung mit Kerberos, die EMRFS-Autorisierung und Sicherheitskonfigurationen finden Sie in der Amazon EMR-Dokumentation.
Die Authentifizierung mit Kerberos und die EMRFS-Autorisierung sind in USA Ost (Nord-Virginia), EU (Irland) und Südamerika (São Paulo) verfügbar. Diese Funktionen stehen in allen unterstützten Regionen demnächst für Amazon EMR zur Verfügung.