投稿日: Nov 21, 2017
HAQM EMR クラスターで、HAQM S3 アクセス用の Kerberos を使用した認証と詳細に設定された EMRFS 許可を有効化できるようになりました。Kerberos を使用して、クラスターで実行されているサービス間のリクエスト、クラスターのユーザーアクション、およびリモートサービスからの外部クライアントのリクエストを認証できます。HAQM EMR は、クラスターのマスターノードで MIT KDC を作成し、クラスターで特定のアプリケーションコンポーネントのオープンソース Kerberos 認証設定を使用します。さらに、Microsoft Active Directory で領域間の信頼を簡単に有効化できるため、ディレクトリのユーザーは Kerberos を使用してシームレスに認証し、クラスターにアクセスしてワークロードを実行できます。
また、EMRFS 許可を使用して、特定のユーザーが HAQM S3 にアクセスしたときに使用する AWS Identity and Access Management (IAM) ロールを指定できるようになりました。Apache Spark や Apache Hive などのアプリケーションは、HAQM S3 用の HAQM EMR のコネクタである EMRFS をデータアクセスに使用します。デフォルトでは、クラスターで EC2 ロール (インスタンスプロファイル) にアタッチされているポリシーによって、HAQM S3 でアクセスできるデータが決まります。EMRFS 許可では、ユーザーまたはグループが EMRFS を使用して HAQM S3 にアクセスしたときに引き受ける IAM ロールを指定できます。各ユーザーまたはグループの IAM ロールを選択すると、マルチユーザーの HAQM EMR クラスターで HAQM S3 の詳細に設定されたアクセスコントロールが有効になります。さらに、IAM ロールを HAQM S3 バケット別に指定して使用できるため、クロスアカウント HAQM S3 アクセスの有効化が容易になります。
HAQM EMR クラスターで Kerberos を使用した認証および EMRFS 許可を有効にするには、これらのオプションをセキュリティ設定および対応するクラスター設定で指定します。HAQM EMR コンソール、AWS コマンドラインインターフェイス (CLI)、HAQM EMR API を使用する HAQM SDK のセキュリティ設定ページでセキュリティ設定を作成することができます。Microsoft Active Directory で領域間のドメイン結合を作成する場合は、こちらの追加のステップに従ってください。Kerberos を使用した認証および EMRFS 許可は、HAQM EMR リリース 5.10.0 以降で利用できます。Kerberos を使用した認証、EMRFS 許可、およびセキュリティ設定の詳細については、HAQM EMR のドキュメントを参照してください。
Kerberos を使用した認証と EMRFS 許可は、米国東部 (バージニア北部)、欧州 (アイルランド)、および南米 (サンパウロ) で利用できます。これらの機能は、すべての HAQM EMR をサポートするリージョンでまもなく利用可能になります。