張貼日期: Nov 21, 2017
現在您可以在 Amazon EMR 叢集上,針對 Amazon S3 的存取,啟用 Kerberos 的身份驗證功能和精細分級的 EMRFS 授權。您可以使用 Kerberos 來驗證叢集上所執行服務之間的要求、叢集上的使用者動作,以及來自遠端服務的外部用戶端要求。Amazon EMR 將會在您叢集的主節點上建立 MIT KDC,並針對您叢集上的某些應用程式元件,使用開放原始碼的 Kerberos 身份驗證設定。此外,您可以輕鬆地使用 Microsoft Active Directory 來啟用跨域信任機制,無縫地讓目錄中的使用者透過 Kerberos 進行身份驗證,進而存取和執行叢集上的工作負載。
另外,您現在可以使用 EMRFS 授權功能,來指定當某些使用者存取 Amazon S3 時,所要使用的 AWS Identity and Access Management (IAM) 角色。Apache Spark 和 Apache Hive 等應用程式使用 EMRFS 來存取資料;EMRFS 是 Amazon EMR 的 Amazon S3 連接器。根據預設,附加於您叢集上 EC2 角色 (執行個體描述檔) 的政策,會決定在 Amazon S3 中可以存取的資料。利用 EMRFS 授權功能,您現在可以指定當某些使用者或群組使用 EMRFS 來存取 Amazon S3 時,所要採用的 IAM 角色。針對每個使用者或群組選擇 IAM 角色,可以在多重使用者的 Amazon EMR 叢集上,實現精細分級的 Amazon S3 存取控制。此外,您可以針對不同的 Amazon S3 儲存貯體,指定要使用的 IAM 角色,如此即可更輕鬆地實現跨帳戶的 Amazon S3 存取。
若要在您的 Amazon EMR 叢集上啟用 Kerberos 身份驗證和 EMRFS 授權功能,請在您的安全設定和對應的叢集設定中,指定這些選項。您可以利用 Amazon EMR API,在 Amazon EMR 主控台、AWS 命令列介面 (CLI) 或 AWS SDK 的安全設定頁面中,建立安全設定。如果您正在建立加入 Microsoft Active Directory 的跨域網域,請執行下列的額外步驟。Kerberos 身份驗證與 EMRFS 授權功能可在 Amazon EMR 5.10.0 和更新的版本中使用。有關使用 Kerberos 進行身份驗證、EMRFS 授權與安全設定,詳細資訊請瀏覽 Amazon EMR 文件。
Kerberos 身份驗證和 EMRFS 授權功能可在美國東部 (維吉尼亞北部)、歐洲 (愛爾蘭) 及南美洲 (聖保羅) 地區使用。這些功能即將在所有支援 Amazon EMR 的區域提供。