投稿日: Nov 21, 2017
Amazon EMR クラスターで、Amazon S3 アクセス用の Kerberos を使用した認証と詳細に設定された EMRFS 許可を有効化できるようになりました。Kerberos を使用して、クラスターで実行されているサービス間のリクエスト、クラスターのユーザーアクション、およびリモートサービスからの外部クライアントのリクエストを認証できます。Amazon EMR は、クラスターのマスターノードで MIT KDC を作成し、クラスターで特定のアプリケーションコンポーネントのオープンソース Kerberos 認証設定を使用します。さらに、Microsoft Active Directory で領域間の信頼を簡単に有効化できるため、ディレクトリのユーザーは Kerberos を使用してシームレスに認証し、クラスターにアクセスしてワークロードを実行できます。
また、EMRFS 許可を使用して、特定のユーザーが Amazon S3 にアクセスしたときに使用する AWS Identity and Access Management (IAM) ロールを指定できるようになりました。Apache Spark や Apache Hive などのアプリケーションは、Amazon S3 用の Amazon EMR のコネクタである EMRFS をデータアクセスに使用します。デフォルトでは、クラスターで EC2 ロール (インスタンスプロファイル) にアタッチされているポリシーによって、Amazon S3 でアクセスできるデータが決まります。EMRFS 許可では、ユーザーまたはグループが EMRFS を使用して Amazon S3 にアクセスしたときに引き受ける IAM ロールを指定できます。各ユーザーまたはグループの IAM ロールを選択すると、マルチユーザーの Amazon EMR クラスターで Amazon S3 の詳細に設定されたアクセスコントロールが有効になります。さらに、IAM ロールを Amazon S3 バケット別に指定して使用できるため、クロスアカウント Amazon S3 アクセスの有効化が容易になります。
Amazon EMR クラスターで Kerberos を使用した認証および EMRFS 許可を有効にするには、これらのオプションをセキュリティ設定および対応するクラスター設定で指定します。Amazon EMR コンソール、AWS コマンドラインインターフェイス (CLI)、Amazon EMR API を使用する Amazon SDK のセキュリティ設定ページでセキュリティ設定を作成することができます。Microsoft Active Directory で領域間のドメイン結合を作成する場合は、こちらの追加のステップに従ってください。Kerberos を使用した認証および EMRFS 許可は、Amazon EMR リリース 5.10.0 以降で利用できます。Kerberos を使用した認証、EMRFS 許可、およびセキュリティ設定の詳細については、Amazon EMR のドキュメントを参照してください。
Kerberos を使用した認証と EMRFS 許可は、米国東部 (バージニア北部)、欧州 (アイルランド)、および南米 (サンパウロ) で利用できます。これらの機能は、すべての Amazon EMR をサポートするリージョンでまもなく利用可能になります。