E-MapReduce(EMR)V3.43.0、V5.9.0、または V3.43.0 または V5.9.0 以降のマイナーバージョンでは、オープンソースコンポーネントが Kerberos セキュリティモードで起動される高セキュリティクラスターを作成できます。これにより、認証されたクライアントのみが Hadoop 分散ファイルシステム(HDFS)などのクラスターサービスにアクセスできるようになります。
背景情報
クラスターの Kerberos 認証を有効にすると、次の利点があります。
クライアント:信頼できるクライアントは、ジョブを適切に送信するために認証されます。悪意のあるユーザーは、他のユーザーになりすましてクラスターにアクセスすることはできません。これにより、悪意のあるユーザーがクライアントとしてジョブを送信することを効果的に防ぎます。
サーバー:クラスター内のすべてのサービスは信頼されており、キーを使用して相互に通信できます。これにより、サービスのなりすまし攻撃を防ぎます。
Kerberos 認証はクラスターのセキュリティを向上させるのに役立ちますが、クラスターの使用の複雑さを増します。
Kerberos 認証を有効にした後、送信するジョブに Kerberos 認証に関連するコンテンツを追加する必要があります。
Kerberos 認証を有効にする前に、Kerberos のしくみと Kerberos を効率的に使用する方法を理解する必要があります。
クラスターの Kerberos 認証を有効にすると、クラスター内のサービス間の通信に Kerberos 認証が必要になります。 Kerberos 認証には時間がかかります。クラスター内のジョブは、Kerberos 認証が無効になっている同じ仕様のクラスター内のジョブよりも処理時間が長くなります。
Kerberos 認証
Kerberos は、シングルサインオン(SSO)をサポートする、対称鍵暗号方式に基づく ID 認証プロトコルです。クライアントが認証されると、クライアントは HBase や HDFS などの複数のサービスにアクセスできます。
Kerberos 認証には、次のオブジェクトが関係します。
キー配布センター(KDC):Kerberos サーバー。
クライアント:サービスにアクセスする必要があるクライアント(プリンシパル)。 KDC とサービスは、クライアントの ID を認証します。
サービス:HDFS、YARN、HBase など、Kerberos と統合されたクラスターのサービス。
次の図は、Kerberos 認証プロセスを示しています。
Kerberos 認証プロセスは、次の 2 つの段階に分かれています。
ステージ 1:KDC ベースの ID 認証
クライアントが Kerberos と統合されたクラスター内のサービスにアクセスするには、クライアントが KDC によって認証される必要があります。
クライアントが認証されると、クライアントはチケット供与チケット(TGT)を取得します。その後、クライアントは TGT を使用してクラスター内のサービスにアクセスできます。
ステージ 2:サービスベースの ID 認証
クライアントが TGT を取得すると、クライアントは TGT を使用してクラスター内のサービスにアクセスできます。
クライアントは、TGT とアクセスするサービスの名前を使用して、KDC からサービス供与チケット(SGT)を取得し、SGT を使用してサービスにアクセスします。たとえば、サービスは HDFS です。次に、サービスは関連情報を使用してクライアントを認証します。クライアントが認証されると、クライアントはサービスにアクセスできます。
Kerberos 認証の有効化
クラスターを作成するときに、[kerberos 認証] を [詳細設定] セクションの [ソフトウェア設定] 手順で有効にすることができます。
EMR V3.43.1、EMR V5.9.1、および EMR V3.43.1 または EMR V5.9.1 以降のマイナーバージョンでは、KDC ソースを指定できます。
次の KDC ソースがサポートされています。
[セルフマネージド KDC]:クラスターによって作成された KDC。これはデフォルト値です。
[外部 KDC]:外部 KDC。この場合、外部 KDC に関連するパラメーターを設定する必要があります。詳細については、「外部 KDC への接続」をご参照ください。
参照
Kerberos の使用方法については、「Kerberos の基本操作」をご参照ください。
外部 KDC への接続方法については、「外部 KDC への接続」をご参照ください。