Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用 Kerberos 身份验证

Amazon EMR 发布版 5.10.0 及更高版本支持 Kerberos,这是麻省理工学院 (MIT) 创建的一种网络身份验证协议。Kerberos 使用私有密钥加密来提供强大的身份验证,以便不会通过网络以未加密的格式发送密码或其他凭证。

在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域 中。在该领域中,称为密钥分发中心 (KDC) 的 Kerberos 服务器为委托人提供身份验证方法。KDC 通过颁发用于身份验证的票证 来执行此操作。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。KDC 还可以接受来自其他领域中的委托人的身份验证凭证,这称为跨领域信任。建立跨领域信任关系的常见情形是对来自 Active Directory 域的用户进行身份验证,以便他们可以使用其域用户账户访问 EMR 集群,使用 SSH 连接到集群,或使用大数据应用程序和查看 Web 界面。

在使用 Amazon EMR 配置 Kerberos 之前,我们建议您熟悉 Kerberos 概念、KDC 上运行的服务和用于管理 Kerberos 服务的工具。有关更多信息,请参阅 MIT Kerberos 文档,这由 Kerberos Consortium 发布。

在您创建使用 Kerberos 的集群时,Amazon EMR 会创建并配置一个在主节点上运行的集群专用的 KDC。Amazon EMR 为集群上安装的应用程序、组件和子系统配置 Kerberos,以便它们可以相互进行身份验证。要设置使用 Kerberos 进行身份验证的用户,您可以建立跨领域信任来对来自不同 KDC 的用户进行身份验证,也可以手动将用户添加到集群专用的 KDC 中。然后,您可以配置 Hadoop 用户目录,以便用户可以使用其 Kerberos 凭证来运行任务和连接到集群。