Publié le: Nov 21, 2017
Vous pouvez maintenant activer l'authentification avec Kerberos et l'autorisation EMRFS granulaire pour l'accès Amazon S3 sur vos clusters Amazon EMR. Vous pouvez utiliser Kerberos pour authentifier les requêtes entre les services s'exécutant sur votre cluster, les actions utilisateur sur votre cluster, et les requêtes client externes à partir de services distants. Amazon EMR créera un MIT KDC sur le nœud maître de votre cluster, et utilisera les paramètres d'authentification Kerberos open-source pour certains composants d'application sur votre cluster. En outre, vous pouvez facilement activer une fiducie inter-royaume avec un répertoire Active Directory Microsoft pour permettre aux utilisateurs dans le répertoire de s'authentifier d'une façon transparente à l'aide de Kerberos pour accéder et exécuter les charges de travail sur un cluster.
De plus, vous pouvez désormais utiliser l'authentification EMRFS pour spécifier le rôle AWS Identity and Access Management (IAM) à utiliser lorsqu'un utilisateur accède à Amazon S3. Des applications telles qu'Apache Spark et Apache Hive utilisent EMRFS, le connecteur d'Amazon EMR pour l'accès aux données d'Amazon S3. Par défaut, la politique attachée au rôle EC2 (profil d'instance) sur votre cluster détermine les données qui sont accessibles dans Amazon S3. Avec l'authentification EMRFS, vous pouvez désormais spécifier le rôle IAM à assumer lorsqu'un utilisateur ou un groupe utilise EMRFS pour accéder à Amazon S3. Choisir le rôle IAM pour chaque utilisateur ou groupe permet un contrôle d'accès granulaire pour Amazon S3 sur des clusters Amazon EMR multi-utilisateurs. En outre, vous pouvez spécifier le rôle IAM à utiliser pour des Compartiments Amazon S3 différents, ce qui facilite l'octroi de l'accès à Amazon S3 entre comptes.
Pour activer l'authentification avec Kerberos et l'autorisation EMRFS sur votre cluster Amazon EMR, spécifiez les options suivantes dans votre configuration de sécurité et la configuration de cluster correspondante. Vous pouvez créer une configuration de sécurité sur la page de configuration de sécurité dans la console Amazon EMR, l'interface de ligne de commande AWS (CLI), ou le SDK d'AWS à l'aide de l'API Amazon EMR. Si vous êtes en train de créer une jointure de domaine inter-royaume avec Microsoft Active Directory, veuillez suivre les étapes supplémentaires suivantes. L'authentification avec Kerberos et l'autorisation EMRFS est disponible dans la version 5.10.0 et ultérieure d'Amazon EMR. Veuillez consulter la documentation d'Amazon EMR pour plus d'informations sur l'authentification avec Kerberos, l'autorisation EMRFS et les configurations de sécurité.
L'authentification avec Kerberos et l'autorisation EMRFS est disponible dans les régions USA Est (Virginie du Nord), UE (Irlande) et Amérique du Sud (São Paulo). Ces fonctions seront prochainement disponibles dans toutes les régions où Amazon EMR est pris en charge.