使用 Kerberos 身份验证将 Amazon EMR 与 Microsoft Active Directory 集成（一）

许多企业使用 Microsoft Active Directory 来管理网络中的用户、组和计算机。他们经常会问一个问题：Active Directory 用户如何通过访问 Active Directory 网络中的资源时的单点登录 (SSO) 体验，访问在

Amazon EMR 上运行的大数据工作负载？

本文将指导您完成整个流程，使用 AWS CloudFormation 建立跨领域信任，并将身份验证从 Active Directory 网络扩展到启用了 Kerberos 的 Amazon EMR 集群。建立跨领域信任后，Active Directory 用户可以使用自己的 Active Directory 凭证访问 Amazon EMR 集群，并以自己的身份运行作业。

演练概览

在此示例中，您将构建一个解决方案，使 Active Directory 用户能够无缝访问 Amazon EMR 集群并运行大数据作业。下面是设置此解决方案之前的准备工作：

• AWS 账户

• Amazon EC2 密钥对
  

• 根据需要提升账户限额（注意：通常不必提升限额。如果您在构建解决方案时遇到限额错误，请参阅 AWS 服务限制文档。）

为了让您更容易上手，我创建了 AWS CloudFormation 模板，可自动为您配置和部署解决方案。设置解决方案涉及以下步骤和资源：

1. 创建和配置 Amazon Virtual Private Cloud (Amazon VPC)。

2. 启动 Amazon EC2 Windows 实例（Active Directory 域控制器）。

3. 为 Kerberos 和跨领域信任创建 Amazon EMR 安全配置。

4. 启动启用了 Kerberos 且具有跨领域信任配置的 Amazon EMR 集群。

您可以使用 AWS CloudFormation 模板单独完成每个步骤，也可以通过一个步骤部署整个解决方案。

• 要跳过基本操作并通过单步 AWS CloudFormation 模板部署整个解决方案，请转至一步式解决方案部署
  

• 要单独设置每个组件，请转至单独部署每个组件
  

注意：如果您想手动创建和配置此解决方案的组件，而不使用 AWS CloudFormation，请参阅 Amazon EMR 跨领域文档。

重要提示：本文中使用的 AWS CloudFormation 模板仅可在 us-east-1（弗吉尼亚北部）区域使用。如果不进行修改，则不适用于生产用途。

本文转载自 AWS 技术博客。

原文链接：https://amazonaws-china.com/cn/blogs/china/use-kerberos-authentication-to-integrate-amazon-emr-with-microsoft-active-directory/