すべてのプロダクト
Search
ドキュメントセンター

E-MapReduce:Kerberos

最終更新日:Jun 23, 2026

E-MapReduce (EMR) V3.43.0、V5.9.0、またはそれ以降のマイナーバージョンでは、オープンソースコンポーネントが Kerberos セキュリティモードで起動される高セキュリティクラスターを作成できます。これにより、認証されたクライアントのみが Hadoop 分散ファイルシステム (HDFS) などのクラスターサービスにアクセスできるようになります。

背景情報

クラスターで Kerberos 認証を有効にすると、次のメリットが得られます。

  • クライアント:信頼できるクライアントが認証され、ジョブを適切に送信できます。悪意のあるユーザーが他のユーザーになりすましてクラスターにアクセスすることはできません。これにより、悪意のあるユーザーがクライアントとしてジョブを送信することを効果的に防ぎます。

  • サーバー:クラスター内のすべてのサービスは信頼されており、キーを使用して相互に通信できます。これにより、サービス偽装攻撃を防ぎます。

Kerberos 認証はクラスターのセキュリティ向上に役立ちますが、クラスター使用の複雑さが増します。

  • Kerberos 認証を有効にした後、送信するジョブに Kerberos 認証関連のコンテンツを追加する必要があります。

  • Kerberos 認証を有効にする前に、Kerberos の仕組みと効率的な使用方法を理解する必要があります。

  • クラスターで Kerberos 認証を有効にすると、クラスター内のサービス間の通信に Kerberos 認証が必要になります。Kerberos 認証には時間がかかります。クラスター内のジョブは、Kerberos 認証が無効になっている同じ仕様のクラスター内のジョブよりも長い処理時間が必要になります。

Kerberos 認証

Kerberos は、対称鍵暗号に基づく ID 認証プロトコルであり、シングルサインオン (SSO) をサポートしています。クライアントが認証されると、HBase や HDFS などの複数のサービスにアクセスできます。

Kerberos 認証には、次のオブジェクトが含まれます。

  • キー配布センター (KDC):Kerberos サーバーです。

  • クライアント:サービスにアクセスする必要があるクライアント (プリンシパル) です。KDC とサービスは、クライアントの ID を認証します。

  • サービス:HDFS、YARN、HBase など、Kerberos と統合されたクラスターのサービスです。

次の図は、Kerberos 認証プロセスを示しています。kerbers

Kerberos 認証プロセスは、2 つの段階に分かれています。

  • ステージ 1:KDC ベースの ID 認証

    クライアントが Kerberos と統合されたクラスター内のサービスにアクセスする前に、KDC によって認証される必要があります。

    クライアントが認証されると、チケット発行チケット (TGT) を取得します。その後、クライアントはこの TGT を使用してクラスター内のサービスにアクセスできます。

  • ステージ 2:サービスベースの ID 認証

    クライアントが TGT を取得した後、その TGT を使用してクラスター内のサービスにアクセスできます。

    クライアントは TGT とアクセスしたいサービスの名前を使用して KDC からサービス発行チケット (SGT) を取得し、その SGT を使用してサービスにアクセスします。たとえば、サービスが HDFS の場合、サービスは関連情報を使用してクライアントを認証します。クライアントが認証されると、サービスにアクセスできるようになります。

Kerberos 認証の有効化

クラスターを作成する際、Software Configuration ページ、Advanced Settings セクションで、Kerberos ID 認証 スイッチをオンにします。

Kerberos はクラスター作成時にのみ有効にできます。実行中のクラスターで有効または無効にすることはできません。各ノードに手動で Linux ユーザーを追加する必要があります。追加しない場合、YARN ジョブは失敗します。このタスクにはブートストラップスクリプトを使用することを推奨します。

説明

EMR V3.43.1、EMR V5.9.1、およびそれ以降のマイナーバージョンでは、KDC ソースを指定できます。

次の KDC ソースがサポートされています。

  • [セルフマネージド KDC]:クラスターによって作成される KDC です。これはデフォルト値です。

  • [外部 KDC]:外部の KDC です。この場合、外部 KDC に関連するパラメーターを設定する必要があります。詳細については、「EMR クラスターを外部 KDC に接続する」をご参照ください。

リファレンス