Publié le: Nov 21, 2017
Vous pouvez maintenant activer l'authentification avec Kerberos et l'autorisation EMRFS granulaire pour l'accès HAQM S3 sur vos clusters HAQM EMR. Vous pouvez utiliser Kerberos pour authentifier les requêtes entre les services s'exécutant sur votre cluster, les actions utilisateur sur votre cluster, et les requêtes client externes à partir de services distants. HAQM EMR créera un MIT KDC sur le nœud maître de votre cluster, et utilisera les paramètres d'authentification Kerberos open-source pour certains composants d'application sur votre cluster. En outre, vous pouvez facilement activer une fiducie inter-royaume avec un répertoire Active Directory Microsoft pour permettre aux utilisateurs dans le répertoire de s'authentifier d'une façon transparente à l'aide de Kerberos pour accéder et exécuter les charges de travail sur un cluster.
De plus, vous pouvez désormais utiliser l'authentification EMRFS pour spécifier le rôle AWS Identity and Access Management (IAM) à utiliser lorsqu'un utilisateur accède à HAQM S3. Des applications telles qu'Apache Spark et Apache Hive utilisent EMRFS, le connecteur d'HAQM EMR pour l'accès aux données d'HAQM S3. Par défaut, la politique attachée au rôle EC2 (profil d'instance) sur votre cluster détermine les données qui sont accessibles dans HAQM S3. Avec l'authentification EMRFS, vous pouvez désormais spécifier le rôle IAM à assumer lorsqu'un utilisateur ou un groupe utilise EMRFS pour accéder à HAQM S3. Choisir le rôle IAM pour chaque utilisateur ou groupe permet un contrôle d'accès granulaire pour HAQM S3 sur des clusters HAQM EMR multi-utilisateurs. En outre, vous pouvez spécifier le rôle IAM à utiliser pour des Compartiments HAQM S3 différents, ce qui facilite l'octroi de l'accès à HAQM S3 entre comptes.
Pour activer l'authentification avec Kerberos et l'autorisation EMRFS sur votre cluster HAQM EMR, spécifiez les options suivantes dans votre configuration de sécurité et la configuration de cluster correspondante. Vous pouvez créer une configuration de sécurité sur la page de configuration de sécurité dans la console HAQM EMR, l'interface de ligne de commande AWS (CLI), ou le SDK d'AWS à l'aide de l'API HAQM EMR. Si vous êtes en train de créer une jointure de domaine inter-royaume avec Microsoft Active Directory, veuillez suivre les étapes supplémentaires suivantes. L'authentification avec Kerberos et l'autorisation EMRFS est disponible dans la version 5.10.0 et ultérieure d'HAQM EMR. Veuillez consulter la documentation d'HAQM EMR pour plus d'informations sur l'authentification avec Kerberos, l'autorisation EMRFS et les configurations de sécurité.
L'authentification avec Kerberos et l'autorisation EMRFS est disponible dans les régions USA Est (Virginie du Nord), UE (Irlande) et Amérique du Sud (São Paulo). Ces fonctions seront prochainement disponibles dans toutes les régions où HAQM EMR est pris en charge.