在 Amazon EMR 上的 Presto 中使用 SSL/TLS 和配置 LDAPS - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon EMR 上的 Presto 中使用 SSL/TLS 和配置 LDAPS

对于 Amazon EMR 发行版 5.6.0 及更高版本,您可以启用 SSL/TLS 以帮助您安全的内部通信在 Presto 节点之间。您可以为传输中加密设置安全配置以执行该操作。有关更多信息,请参阅 。加密选项使用安全配置设置群集安全中的Amazon EMR 管理指南

在将安全配置与传输中加密一起使用时,Amazon EMR 为 Presto 执行以下操作:

  • 在整个 Presto 集群中分发为传输中加密指定的加密项目或证书。有关更多信息,请参阅 。为在途数据加密提供证书

  • 使用 presto-config 配置分类设置以下属性,该分类对应于 Presto 的 config.properties 文件:

    • http-server.http.enabledfalse,这会禁用 HTTP 以支持 HTTPS。这要求您在设置传输加密的安全配置时提供适用于公共和私有 DNS 的证书。执行此操作的一种方法是使用支持多个域的 SAN(使用者备用名称)证书。

    • http-server.https.*值。有关配置详细信息,请参阅LDAP 身份验证在普雷斯托文档中。

  • 对于 EMR 6.1.0 版及更高版本上的 Trino (PrestoSQL),Amazon EMR 会自动配置共享密钥,以实现集群节点之间的安全内部通信。您无需进行任何额外的配置即可启用该安全功能,并且可以使用自己的密钥覆盖配置。有关 Trino 内部身份验证的信息,请参阅Tlino 353 文档:安全的内部通信。

此外,对于 Amazon EMR 发行版 5.10.0 及更高版本,您可以设置LDAP 身份验证用于使用 HTTPS 连接到普雷斯托协调器的客户端。该设置使用安全 LDAP (LDAPS)。必须在 LDAP 服务器上启用 TLS,并且 Presto 集群必须使用启用了传输中数据加密的安全配置。需要使用额外的配置。配置选项因使用的 Amazon EMR 发行版而有所不同。有关更多信息,请参阅 在亚马逊 EMR 上使用 LDAP 身份验证

默认情况下,Amazon EMR 上的 Presto 使用端口 8446 进行内部 HTTPS 通信。用于内部通信的端口必须与用于对 Presto 协调器进行的客户端 HTTPS 访问的端口相同。http-server.https.port 配置分类中的 presto-config 属性指定该端口。