本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon EMR 上 Kerberos 的安全配置和集群设置
<a name="emr-kerberos-configure-settings"></a>

当您创建使用 Kerberos 的集群时，您可以指定安全配置以及特定于集群的 Kerberos 属性。您不能指定一组属性而不指定另一组，否则会发生错误。

本主题提供了在您创建安全配置和集群时可用于 Kerberos 的配置参数概览。此外，针对常见架构提供了创建兼容安全配置和集群的 CLI 示例。

## 安全配置的 Kerberos 设置
<a name="emr-kerberos-security-configuration"></a>

您可以使用 Amazon EMR 控制台、 Amazon CLI或 EMR API 创建指定 Kerberos 属性的安全配置。安全配置也可以包含其它安全选项，如加密。有关更多信息，请参阅[使用 Amazon EMR 控制台或使用 Amazon CLI](emr-create-security-configuration.md)。

使用以下参考来了解您选择的 Kerberos 架构的可用安全配置设置。此时将显示 Amazon EMR 控制台设置。有关对应的 CLI 选项，请参阅[使用指定 Kerberos 设置 Amazon CLI](emr-create-security-configuration.md#emr-kerberos-cli-parameters)或[配置示例](emr-kerberos-config-examples.md)。

[See the AWS documentation website for more details](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-kerberos-configure-settings.html)

## 集群的 Kerberos 设置
<a name="emr-kerberos-cluster-configuration"></a>

您可以在使用 Amazon EMR 控制台、 Amazon CLI或 EMR API 创建集群时指定 Kerberos 设置。

使用以下参考来了解您选择的 Kerberos 架构的可用集群配置设置。此时将显示 Amazon EMR 控制台设置。有关对应的 CLI 选项，请参阅[配置示例](emr-kerberos-config-examples.md)。


| 参数 | 说明 | 
| --- | --- | 
| 领域 | 集群的 Kerberos 领域名称。Kerberos 约定是将此项设置为与域名相同，但使用大写字母。例如，对于域 `ec2.internal`，使用 `EC2.INTERNAL` 作为领域名称。 | 
| KDC 管理员密码 | 集群中为 `kadmin` 或 `kadmin.local` 使用的密码。这些是 Kerberos V5 管理系统的命令行接口，该系统保存了集群的 Kerberos 委托人、密码策略和 keytab。 | 
| 跨领域信任委托人密码 (可选) | 在建立跨领域信任时是必需的。跨领域主体密码，这必须跨领域相同。使用强密码。 | 
| Active Directory 域加入用户（可选） | 在跨领域信任中使用 Active Directory 时必需。这是 Active Directory 账户的用户登录名，该账户具有将计算机加入域的权限。Amazon EMR 使用此身份将集群加入域。有关更多信息，请参阅[步骤 3：将用户账户添加到 EMR 集群的域中](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)。 | 
| Active Directory 域加入密码（可选） | Active Directory 域加入用户的密码。有关更多信息，请参阅[步骤 3：将用户账户添加到 EMR 集群的域中](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)。 |