Publicado en: Nov 21, 2017
Ahora puede habilitar la autenticación con Kerberos y la autorización detallada de EMRFS para obtener acceso a Amazon S3 en los clústeres de Amazon EMR. Puede utilizar Kerberos para autenticar las solicitudes entre los servicios que se ejecutan en el clúster, las acciones de usuario del clúster y las solicitudes de cliente externas de servicios remotos. Amazon EMR creará un KDC de MIT en el nodo principal del clúster y utilizará la configuración de autenticación de código abierto de Kerberos para determinados componentes de aplicaciones en el clúster. Además, es posible habilitar fácilmente una relación de confianza entre ámbitos con una instancia de Microsoft Active Directory de forma que los usuarios del directorio se autentiquen sin problemas mediante Kerberos para obtener acceso a cargas de trabajo y ejecutarlas en un clúster.
Asimismo, ahora puede utilizar la autorización de EMRFS para especificar el rol de AWS Identity and Access Management (IAM) que se debe utilizar cuando un usuario determinado tiene acceso a Amazon S3. Las aplicaciones como Apache Spark y Apache Hive utilizan EMRFS, el conector de Amazon EMR para Amazon S3, para obtener acceso a los datos. De forma predeterminada, la política asociada al rol de EC2 (perfil de instancia) en el clúster determina los datos a los que se puede tener acceso en Amazon S3. Gracias a la autorización de EMRFS, ahora puede especificar el rol de IAM que se debe asumir cuando un usuario o un grupo utiliza EMRFS para obtener acceso a Amazon S3. La posibilidad de elegir el rol de IAM para cada usuario o grupo permite un control de acceso detallado para Amazon S3 en clústeres multiusuario de Amazon EMR. Además, es posible especificar el rol de IAM que se va a usar para distintos buckets de Amazon S3, lo que facilita aún más la habilitación del acceso entre cuentas de Amazon S3.
Para habilitar la autenticación con Kerberos y la autorización de EMRFS en el clúster de Amazon EMR, especifique estas opciones en la configuración de seguridad y en la correspondiente configuración del clúster. Puede crear una configuración de seguridad en la página de configuración de la seguridad de la consola de Amazon EMR, la interfaz de línea de comandos (CLI) de AWS o el SDK de AWS con la API de Amazon EMR. Si está creando una unión al dominio entre ámbitos con una instancia de Microsoft Active Directory, siga estos pasos adicionales. La autenticación con Kerberos y la autorización de EMRFS están disponibles en Amazon EMR versión 5.10.0 y posteriores. Consulte la documentación de Amazon EMR para obtener más información acerca de la autenticación con Kerberos, la autorización de EMRFS y las configuraciones de seguridad.
La autenticación con Kerberos y la autorización de EMRFS están disponibles en las zonas EE.UU. Este (Norte de Virginia), UE (Irlanda) y América del Sur (São Paulo). Estas características pronto estarán disponibles en todas las regiones admitidas en Amazon EMR.