本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon EMR 控制台或使用 Amazon CLI
本主题介绍使用 Amazon EMR 控制台和创建安全配置的一般过程 Amazon CLI,然后介绍构成 EMRFS 加密、身份验证和 IAM 角色的参数。有关这些功能的更多信息,请参阅以下主题:
+ [使用 Amazon EMR 加密静态数据和传输中数据](emr-data-encryption.md)
+ [使用 Kerberos 通过 Amazon EMR 进行身份验证](emr-kerberos.md)
+ [为处理 EMRFS 对 Amazon S3 的请求配置 IAM 角色](emr-emrfs-iam-roles.md)
**使用控制台创建安全配置**
1. [在 /emr 上打开亚马逊 EMR 控制台。https://console.aws.amazon.com](https://console.amazonaws.cn/emr/)
1. 在导航窗格中,选择 **Security Configurations (安全配置)**、**Create security configuration (创建安全配置)**。
1. 键入安全配置的 **Name (名称)**。
1. 按照以下部分中所述选择 **Encryption (加密)**、**Authentication (身份认证)** 选项,然后选择 **Create (创建)**。
**要使用创建安全配置 Amazon CLI**
+ 使用以下示例中所示的 `create-security-configuration` 命令。
+ 对于*SecConfigName*,请指定安全配置的名称。这是您在创建使用此安全配置的集群时指定的名称。
+ 对于 `SecConfigDef`,指定内联 JSON 结构或本地 JSON 文件的路径,例如 `file://MySecConfig.json`。JSON 参数定义 **Encryption (加密)**、**IAM Roles for EMRFS access to Amazon S3 (用于处理 EMRFS 对 Amazon S3 的访问的 IAM 角色)** 和 **Authentication (身份验证)** 的选项,如下面部分所述。
```
aws emr create-security-configuration --name "SecConfigName" --security-configuration SecConfigDef
```
## 配置数据加密
在配置安全配置中的加密之前,创建用于加密的密钥和凭证。有关更多信息,请参阅[提供加密静态数据的密钥](emr-encryption-enable.md#emr-encryption-create-keys)和[为通过 Amazon EMR 加密来加密传输中的数据提供凭证](emr-encryption-enable.md#emr-encryption-certificates)。
在创建安全配置时,需要指定两组加密选项:静态数据加密和传输中数据加密。静态数据加密选项包括采用 EMRFS 的 Amazon S3 和本地磁盘加密。传输中加密选项为支持传输层安全性 (TLS) 的某些应用程序启用开源加密功能。静态选项和传输中选项可以同时启用或分别启用。有关更多信息,请参阅 [使用 Amazon EMR 加密静态数据和传输中数据](emr-data-encryption.md)。
**注意**
使用时 Amazon KMS,会收取加密密钥的存储和使用费用。有关更多信息,请参阅[Amazon KMS 定价](https://www.amazonaws.cn/kms/pricing/)。
### 使用控制台指定加密选项
根据以下准则选择 **Encryption (加密)** 下的选项。
+ 选择**静态加密**下的选项以加密存储在文件系统中的数据。
您可以选择加密 Amazon S3 和/或本地磁盘中的数据。
+ 在 **S3 data encryption (S3 数据加密)** 下,对于 **Encryption mode (加密模式)**,选择一个值以确定 Amazon EMR 如何使用 EMRFS 加密 Amazon S3 数据。
下一步取决于所选的加密模式:
+ **SSE-S3**
指定[使用 Amazon S3 托管密钥进行服务器端加密](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。您无需执行任何其它操作,因为 Amazon S3 将为您处理密钥。
+ **SSE-KMS** 或 **CSE-KMS**
[使用 Amazon KMS托管密钥 (SSE-KMS) 指定服务器端加密或使用托管密钥 (CSE Amazon KMS-KMS)](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingKMSEncryption.html) [进行客户端加密](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。对于 **Amazon KMS key**,选择一个键。该密钥必须与您的 EMR 集群同在一个区域中。有关密钥要求,请参阅[Amazon KMS keys 用于加密](emr-encryption-enable.md#emr-awskms-keys)。
+ **CSE-Custom (自定义 CSE)**
指定[使用自定义客户端根密钥(自定义 CSE)进行客户端加密](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-client-side-master-key-intro)。对于 **S3 object (S3 对象)**,输入您的自定义密钥提供程序 JAR 文件在 Amazon S3 中或 Amazon S3 ARN 的位置。然后,在**密钥提供程序类**中,输入在实现该EncryptionMaterialsProvider 接口的应用程序中声明的类的完整类名。
+ 在 **Local disk encryption (本地磁盘加密)** 下,为 **Key provider type (密钥提供程序类型)** 选择一个值。
+ **Amazon KMS key**
选择此选项以指定一个 Amazon KMS key。对于 **Amazon KMS key**,选择一个键。该密钥必须与您的 EMR 集群同在一个区域中。有关密钥要求的更多信息,请参阅[Amazon KMS keys 用于加密](emr-encryption-enable.md#emr-awskms-keys)。
**EBS 加密**
当您指定 Amazon KMS 为密钥提供程序时,可以启用 EBS 加密来加密 EBS 根设备和存储卷。要启用此选项,您必须向 Amazon EMR 服务角色 `EMR_DefaultRole` 使用您指定的 Amazon KMS key 的权限。有关密钥要求的更多信息,请参阅[通过为 KMS 密钥提供额外的权限来启用 EBS 加密](emr-encryption-enable.md#emr-awskms-ebs-encryption)。
+ **自定义**
选择此选项可指定自定义密钥提供程序。对于 **S3 object (S3 对象)**,输入您的自定义密钥提供程序 JAR 文件在 Amazon S3 中或 Amazon S3 ARN 的位置。在**密钥提供程序类**中,输入在实现 EncryptionMaterialsProvider 接口的应用程序中声明的类的完整类名。这里提供的类名必需与为 CSE-Custom 提供的类名不同。
+ 选择 **In-transit encryption (传输中加密)** 为传输中的数据启用开源 TLS 加密功能。根据以下指南选择 **Certificate provider type (凭证提供程序类型)**:
+ **PEM**
选择此选项将使用您在 zip 文件中提供的 PEM 文件。zip 文件中需要有两个构件:privateKey.pem 和 certificateChain.pem。第三个文件 trustedCertificates.pem 是可选文件。有关详细信息,请参阅 [为通过 Amazon EMR 加密来加密传输中的数据提供凭证](emr-encryption-enable.md#emr-encryption-certificates)。对于 **S3 object (S3 对象)**,指定 zip 文件字段在 Amazon S3 中的位置或 Amazon S3 ARN。
+ **自定义**
选择此选项可指定一个自定义凭证提供程序,然后在 **S3 object (S3 对象)** 中输入您的自定义凭证提供程序 JAR 文件在 Amazon S3 中的位置或 Amazon S3 ARN。在**密钥提供程序类**中,输入在实现 TLSArtifacts提供者接口的应用程序中声明的类的完整类名。
### 使用指定加密选项 Amazon CLI
下面部分使用示例方案,说明对不同配置和密钥提供程序的正确 **--security-configuration** JSON 格式,再提供 JSON 参数和相应值的参考信息。
#### 传输中数据加密选项示例
下面的示例将说明以下情景:
+ 传输中的数据加密已启用,静态数据加密已禁用。
+ Amazon S3 中一个包含凭证的 zip 文件用作密钥提供程序(请参阅[为通过 Amazon EMR 加密来加密传输中的数据提供凭证](emr-encryption-enable.md#emr-encryption-certificates)了解凭证要求)。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": true,
"EnableAtRestEncryption": false,
"InTransitEncryptionConfiguration": {
"TLSCertificateConfiguration": {
"CertificateProviderType": "PEM",
"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中的数据加密已启用,静态数据加密已禁用。
+ 使用了自定义密钥提供程序 (请参阅[为通过 Amazon EMR 加密来加密传输中的数据提供凭证](emr-encryption-enable.md#emr-encryption-certificates)了解凭证要求)。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": true,
"EnableAtRestEncryption": false,
"InTransitEncryptionConfiguration": {
"TLSCertificateConfiguration": {
"CertificateProviderType": "Custom",
"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
"CertificateProviderClass": "com.mycompany.MyCertProvider"
}
}
}
}'
```
#### 静态数据加密选项示例
下面的示例将说明以下情景:
+ 传输中的数据加密已禁用,而静态数据加密已启用。
+ SSE-S3 已用于 Amazon S3 加密。
+ 本地磁盘加密 Amazon KMS 用作密钥提供程序。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": false,
"EnableAtRestEncryption": true,
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "SSE-S3"
},
"LocalDiskEncryptionConfiguration": {
"EncryptionKeyProviderType": "AwsKms",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中数据加密已启用且使用 ARN 引用了 Amazon S3 中包含 PEM 凭证的 ZIP 文件。
+ SSE-KMS 已用于 Amazon S3 加密。
+ 本地磁盘加密 Amazon KMS 用作密钥提供程序。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": true,
"EnableAtRestEncryption": true,
"InTransitEncryptionConfiguration": {
"TLSCertificateConfiguration": {
"CertificateProviderType": "PEM",
"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
}
},
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "SSE-KMS",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
"LocalDiskEncryptionConfiguration": {
"EncryptionKeyProviderType": "AwsKms",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中数据加密已启用且引用了 Amazon S3 中包含 PEM 凭证的 ZIP 文件。
+ CSE-KMS 已用于 Amazon S3 加密。
+ 本地磁盘加密使用了通过其 ARN 引用的自定义密钥提供程序。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": true,
"EnableAtRestEncryption": true,
"InTransitEncryptionConfiguration": {
"TLSCertificateConfiguration": {
"CertificateProviderType": "PEM",
"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
}
},
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "CSE-KMS",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
"LocalDiskEncryptionConfiguration": {
"EncryptionKeyProviderType": "Custom",
"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 利用自定义密钥提供程序启用了传输中的数据加密。
+ CSE-Custom 已用于 Amazon S3 数据。
+ 本地磁盘加密使用了自定义密钥提供程序。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": "true",
"EnableAtRestEncryption": "true",
"InTransitEncryptionConfiguration": {
"TLSCertificateConfiguration": {
"CertificateProviderType": "Custom",
"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
"CertificateProviderClass": "com.mycompany.MyCertProvider"
}
},
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "CSE-Custom",
"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
},
"LocalDiskEncryptionConfiguration": {
"EncryptionKeyProviderType": "Custom",
"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中的数据加密已禁用,而静态数据加密已启用。
+ 通过 SSE-KMS 启用了 Amazon S3 加密。
+ 使用多个 Amazon KMS 密钥,每个 S3 存储桶一个,加密例外适用于这些单独的 S3 存储桶。
+ 本地磁盘加密已禁用。
```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
"EncryptionConfiguration": {
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "SSE-KMS",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
"Overrides": [
{
"BucketName": "amzn-s3-demo-bucket1",
"EncryptionMode": "SSE-S3"
},
{
"BucketName": "amzn-s3-demo-bucket2",
"EncryptionMode": "CSE-KMS",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
{
"BucketName": "amzn-s3-demo-bucket3",
"EncryptionMode": "SSE-KMS",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
},
"EnableInTransitEncryption": false,
"EnableAtRestEncryption": true
}
}'
```
下面的示例将说明以下情景:
+ 传输中的数据加密已禁用,而静态数据加密已启用。
+ 通过 SSE-S3 启用了 Amazon S3 加密,并且本地磁盘加密已禁用。
```
aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": false,
"EnableAtRestEncryption": true,
"AtRestEncryptionConfiguration": {
"S3EncryptionConfiguration": {
"EncryptionMode": "SSE-S3"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中的数据加密已禁用,而静态数据加密已启用。
+ 使用 Amazon KMS 作为密钥提供程序启用本地磁盘加密,并禁用 Amazon S3 加密。
```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": false,
"EnableAtRestEncryption": true,
"AtRestEncryptionConfiguration": {
"LocalDiskEncryptionConfiguration": {
"EncryptionKeyProviderType": "AwsKms",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
}
}
}'
```
下面的示例将说明以下情景:
+ 传输中的数据加密已禁用,而静态数据加密已启用。
+ 使用 Amazon KMS 作为密钥提供程序启用本地磁盘加密,并禁用 Amazon S3 加密。
+ EBS 加密已启用。
```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
"EncryptionConfiguration": {
"EnableInTransitEncryption": false,
"EnableAtRestEncryption": true,
"AtRestEncryptionConfiguration": {
"LocalDiskEncryptionConfiguration": {
"EnableEbsEncryption": true,
"EncryptionKeyProviderType": "AwsKms",
"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
}
}
}'
```
下面的示例将说明以下情景:
SSE-EMR-WAL 用于 EMR WAL 加密
```
aws emr create-security-configuration --name "MySecConfig" \
--security-configuration '{
"EncryptionConfiguration": {
"EMRWALEncryptionConfiguration":{ },
"EnableInTransitEncryption":false, "EnableAtRestEncryption":false
}
}'
```
如果要启用相关加密,`EnableInTransitEncryption` 和 `EnableAtRestEncryption` 仍可能为 true。
下面的示例将说明以下情景:
+ SSE-KMS-WAL 用于 EMR WAL 加密
+ 服务器端加密 Amazon Key Management Service 用作密钥提供程序
```
aws emr create-security-configuration --name "MySecConfig" \
--security-configuration '{
"EncryptionConfiguration": {
"EMRWALEncryptionConfiguration":{
"AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
"EnableInTransitEncryption":false, "EnableAtRestEncryption":false
}
}'
```
如果要启用相关加密,`EnableInTransitEncryption` 和 `EnableAtRestEncryption` 仍可能为 true。
#### 加密设置的 JSON 引用
下表列出了用于加密设置的 JSON 参数并提供了每个参数的可接受值描述。
| 参数 | 说明 |
| --- |--- |
| "EnableInTransitEncryption" : true \$1 false | 指定 true 可启用传输中加密,指定 false 则禁用。如果省略,则假定是 false,传输中加密禁用。 |
| "EnableAtRestEncryption": true \$1 false | 指定 true 可启用静态加密,指定 false 则禁用。如果省略,则假定是 false,静态加密禁用。 |
| **传输中加密参数** |
| --- |
| "InTransitEncryptionConfiguration" : | 指定当 EnableInTransitEncryption 为 true 时用于配置传输中加密的值的集合。 |
| "CertificateProviderType": "PEM" \$1 "Custom" | 指定是使用通过压缩文件引用的 PEM 证书还是使用 Custom 证书提供程序。如果PEM已指定,则S3Object必须引用包含证书的 zip 文件在 Amazon S3 中的位置。如果指定了 “自定义”,则S3Object必须引用 JAR 文件在 Amazon S3 中的位置,后跟一个CertificateProviderClass条目。 |
| "S3Object" : "ZipLocation" \$1 "JarLocation" | 如果已指定,则在 Amazon S3 中PEM为 zip 文件提供位置,如果指定,则Custom为 JAR 文件提供位置。格式可以是路径 (例如,s3://MyConfig/artifacts/CertFiles.zip) 或 ARN (例如,arn:aws:s3:::Code/MyCertProvider.jar)。如果指定 zip 文件,则其中必须包含名为 privateKey.pem 和 certificateChain.pem 的文件。名为 trustedCertificates.pem 的文件是可选的。 |
| "CertificateProviderClass" : "MyClassID" | 仅当Custom为指定时才需要CertificateProviderType。 MyClassID指定在 JAR 文件中声明的完整类名,该文件实现了 P TLSArtifacts rovider 接口。例如 com.mycompany.MyCertProvider。 |
| **静态加密参数** |
| --- |
| "AtRestEncryptionConfiguration" : | 指定静态加密值的集合true,包括 Amazon S3 加密和本地磁盘加密。EnableAtRestEncryption |
| 亚马逊 S3 加密参数 |
| "S3EncryptionConfiguration" : | 指定用于使用亚马逊 EMR 文件系统 (EMRFS) 进行亚马逊 S3 加密的值集合。 |
| "EncryptionMode": "SSE-S3" \$1 "SSE-KMS" \$1 "CSE-KMS" \$1 "CSE-Custom" | 指定要使用的 Amazon S3 加密类型。如果SSE-S3已指定,则不需要其他 Amazon S3 加密值。如果指定了SSE-KMS或,CSE-KMS则必须 Amazon KMS key 将 ARN 指定为AwsKmsKey值。如果指定 CSE-Custom,则必需指定 S3Object 和 EncryptionKeyProviderClass 值。 |
| "AwsKmsKey" : "MyKeyARN" | 仅当为 EncryptionMode 指定 SSE-KMS 或 CSE-KMS 时才是必需的。MyKeyARN 必须是密钥的完全指定 ARN(例如,arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012)。 |
| "S3Object" : "JarLocation" | 仅在CSE-Custom为指定时才需要CertificateProviderType。 JarLocation提供了 JAR 文件在 Amazon S3 中的位置。格式可以是路径 (例如,s3://MyConfig/artifacts/MyKeyProvider.jar) 或 ARN (例如,arn:aws:s3:::Code/MyKeyProvider.jar)。 |
| "EncryptionKeyProviderClass" : "MyS3KeyClassID" | 仅在CSE-Custom为指定时才需要EncryptionMode。 MyS3KeyClassID指定在实现 EncryptionMaterialsProvider接口的应用程序中声明的类的完整类名;例如,com.mycompany.MyS3KeyProvider。 |
| 本地磁盘加密参数 |
| "LocalDiskEncryptionConfiguration" | 指定要用于本地磁盘加密的密钥提供程序和相应的值。 |
| "EnableEbsEncryption": true \$1 false | 指定启true用 EBS 加密。EBS 加密对 EBS 根设备卷和连接的存储卷进行加密。要使用 EBS 加密,必须指定AwsKms为。EncryptionKeyProviderType |
| "EncryptionKeyProviderType": "AwsKms" \$1 "Custom" | 指定密钥提供程序。如果AwsKms已指定,则必须将 KMS 密钥 ARN 指定为AwsKmsKey值。如果指定 Custom,则必需指定 S3Object 和 EncryptionKeyProviderClass 值。 |
| "AwsKmsKey : "MyKeyARN" | 仅在AwsKms为指定时才需要Type。 MyKeyARN必须是密钥的完全指定的 ARN(例如)。arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123 |
| "S3Object" : "JarLocation" | 仅在CSE-Custom为指定时才需要CertificateProviderType。 JarLocation提供了 JAR 文件在 Amazon S3 中的位置。格式可以是路径 (例如,s3://MyConfig/artifacts/MyKeyProvider.jar) 或 ARN (例如,arn:aws:s3:::Code/MyKeyProvider.jar)。 |
| `"EncryptionKeyProviderClass" : "MyLocalDiskKeyClassID"` | 仅在Custom为指定时才需要Type。 MyLocalDiskKeyClassID指定在实现 EncryptionMaterialsProvider接口的应用程序中声明的类的完整类名;例如,com.mycompany.MyLocalDiskKeyProvider。 |
| **EMR WAL 加密参数** |
| --- |
| "EMRWALEncryptionConfiguration" | 指定 EMR WAL 加密的值。 |
| "AwsKmsKey" | 指定 CMK 密钥 ID Arn。 |
## 配置 Kerberos 身份验证
包含 Kerberos 设置的安全配置只能由使用 Kerberos 属性创建的集群使用,否则会发生错误。有关更多信息,请参阅[使用 Kerberos 通过 Amazon EMR 进行身份验证](emr-kerberos.md)。仅在 Amazon EMR 发行版 5.10.0 及更高版本中提供了 Kerberos。
### 使用控制台指定 Kerberos 设置
根据以下准则选择 **Kerberos authentication (Kerberos 身份验证)** 下的选项。
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-create-security-configuration.html)
### 使用指定 Kerberos 设置 Amazon CLI
以下参考表显示了安全配置中 Kerberos 设置的 JSON 参数。有关示例配置,请参阅[配置示例](emr-kerberos-config-examples.md)。
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-create-security-configuration.html)
## 为处理 EMRFS 对 Amazon S3 的请求配置 IAM 角色
EMRFS 的 IAM 角色让您能够为 Amazon S3 中的 EMRFS 数据提供不同权限。您可以创建角色映射,来指定在访问请求包含您指定的标识符时用来获得权限的 IAM 角色。标识符可以是 Hadoop 用户或角色,或 Amazon S3 前缀。
有关更多信息,请参阅 [为处理 EMRFS 对 Amazon S3 的请求配置 IAM 角色](emr-emrfs-iam-roles.md)。
### 使用 EMRFS 指定 IAM 角色 Amazon CLI
以下是一个示例 JSON 代码段,用于在安全配置中为 EMRFS 指定自定义 IAM 角色。它演示了三种不同标识符类型的角色映射,后跟参数引用。
```
{
"AuthorizationConfiguration": {
"EmrFsConfiguration": {
"RoleMappings": [{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
"IdentifierType": "User",
"Identifiers": [ "user1" ]
},{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets",
"IdentifierType": "Prefix",
"Identifiers": [ "s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/" ]
},{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
"IdentifierType": "Group",
"Identifiers": [ "AdminGroup" ]
}]
}
}
}
```
| 参数 | 说明 |
| --- | --- |
| `"AuthorizationConfiguration":` | 必需。 |
| `"EmrFsConfiguration":` | 必需。包含角色映射。 |
| `"RoleMappings":` | 必需。包含一个或多个角色映射定义。按照角色映射的先后顺序对角色映射进行评估。对于 Amazon S3 中的 EMRFS 数据调用,如果角色映射评估为 true,则不会评估其它角色映射,并且 EMRFS 将使用指定的 IAM 角色进行请求。角色映射由以下必需参数组成: |
| `"Role":` | 以 `arn:aws:iam::account-id:role/role-name` 格式指定 IAM 角色的 ARN 标识符。如果 EMRFS 对 Amazon S3 的请求与指定的任何 `Identifiers` 匹配,则这是 Amazon EMR 承担的 IAM 角色。 |
| `"IdentifierType":` | 可以是以下值之一: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-create-security-configuration.html) |
| `"Identifiers":` | 指定一个或多个相应标识符类型的标识符。用逗号分隔多个标识符,不含空格。 |
## 配置到 Amazon EC2 实例的元数据服务请求
实例元数据 是有关您的实例的数据,可以用来配置或管理正在运行的实例。您可以使用以下其中一种方法,从正在运行的实例中访问实例元数据:
+ 实例元数据服务版本 1 (IMDSv1)-一种请求/响应方法
+ 实例元数据服务版本 2 (IMDSv2)-一种面向会话的方法
虽然亚马逊 EC2 同时支持 IMDSv1 和 IMDSv2,但亚马逊 EMR 在亚马逊 EMR 5.23.1、5.27.1、5.32 或更高版本以及 6.2 或更高版本中支持 IMDSv2 。在这些版本中,Amazon EMR 组件 IMDSv2 用于所有 IMDS 调用。对于应用程序代码中的 IMDS 调用,您可以同时使用 IMDSv1 和 IMDSv2,或者将 IMDS 配置 IMDSv2 为仅用于提高安全性。当您指定 IMDSv2 必须使用时,将 IMDSv1 不再起作用。
有关更多信息,请参阅《Amazon EC2 用户指南》**中的[配置实例元数据服务](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。
**注意**
在早期的 Amazon EMR 5.x 或 6.x 版本中,关闭 IMDSv1 会导致集群启动失败,因为所有 IMDS 调用都使用亚马逊 EMR 组件。 IMDSv1 关闭时 IMDSv1,请确保使用的所有自定义软件都已更新 IMDSv1 为。 IMDSv2
### 使用指定实例元数据服务配置 Amazon CLI
以下是一个示例 JSON 代码段,用于在安全配置中指定 Amazon EC2 实例元数据服务(IMDS)。使用自定义安全配置是可选的。
```
{
"InstanceMetadataServiceConfiguration" : {
"MinimumInstanceMetadataServiceVersion": integer,
"HttpPutResponseHopLimit": integer
}
}
```
| 参数 | 说明 |
| --- | --- |
| `"InstanceMetadataServiceConfiguration":` | 如果您未在安全配置中指定 IMDS,而是使用需要的 Amazon EMR 版本 IMDSv1,则 Amazon EMR 将默认 IMDSv1 使用作为实例元数据服务的最低版本。如果要使用自己的配置,则需要以下两个参数。 |
| `"MinimumInstanceMetadataServiceVersion":` | 必需。指定 `1` 或 `2`。值为 “`1`允许” IMDSv1 和 IMDSv2。值为 “仅`2`允许” IMDSv2。 |
| `"HttpPutResponseHopLimit":` | 必需。实例元数据请求的所需 HTTP PUT 响应跃点限制。该数字越大,实例元数据请求传播得越远。默认值:`1`。您可以指定 `1` 到 `64` 之间的整数。 |
### 使用控制台指定实例元数据服务配置
当您从 Amazon EMR 控制台启动集群时,您可以为集群配置 IMDS 的使用。
**要使用控制台配置 IMDS 的使用,请执行以下操作:**
1. 在创建新的安全配置时,**Security configurations (安全配置)** 页面上,在 **EC2 Instance Metadata Service (EC2 实例元数据服务) **设置下选择 **Configure EC2 Instance metadata service (配置 EC2 实例元数据服务)**。此配置仅在 Amazon EMR 5.23.1、5.27.1、5.32 或更高版本以及 6.2 或更高版本中受支持。
1. 对于 **Minimum Instance Metadata Service Version (最低实例元数据服务版本)** 选项,请选择以下任一项:
+ 如果您@@ **只想在此集群 IMDSv2 上允许 IMDSv2,请关闭 IMDSv1 **并仅允许。请参阅《Amazon EC2 用户指南》**中的[过渡到使用实例元数据服务版本 2](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2)。
+ 如果要在此@@ **集群 IMDSv2 上允许 IMDSv1 和**以会话为导向,则允许在集群 IMDSv2 上同时使用 IMDSv1 和。
1. 对于 IMDSv2,您还可以通过将 **HTTP put 响应跳数限制设置为介于和之间的`1`整数,为元数据令牌配置允许的网络跳跃**数。`64`
有关更多信息,请参阅《Amazon EC2 用户指南》**中的[配置实例元数据服务](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。
请参阅《Amazon EC2 用户指南》**中的[配置实例详细信息](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/launching-instance.html#configure_instance_details_step)和[配置实例元数据服务](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。