Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie eine Sicherheitskonfiguration mit der Amazon EMR-Konsole oder mit AWS CLI
<a name="emr-create-security-configuration"></a>

Dieses Thema behandelt allgemeine Verfahren zum Erstellen einer Sicherheitskonfiguration mit der Amazon EMR-Konsole und der AWS CLI, gefolgt von einer Referenz zu den Parametern, die Verschlüsselung, Authentifizierung und IAM-Rollen für EMRFS umfassen. Weitere Informationen zu diesen Funktionen finden Sie in den folgenden Themen:
+ [Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung mit Amazon EMR](emr-data-encryption.md)
+ [Verwenden Sie Kerberos für die Authentifizierung mit Amazon EMR](emr-kerberos.md)
+ [Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3](emr-emrfs-iam-roles.md)

**So erstellen Sie eine Sicherheitskonfiguration mithilfe der Konsole**

1. Öffnen Sie die Amazon-EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr/).

1. Wählen Sie im Navigationsbereich **Security Configurations (Sicherheitskonfigurationen)**, **Create security configuration (Sicherheitskonfiguration erstellen)** aus. 

1. Geben Sie in **Name (Name)** einen Namen für die Sicherheitskonfiguration ein.

1. Wählen Sie Optionen für **Verschlüsselung**, und **Authentifizierung** aus wie in den folgenden Abschnitten beschrieben. Wählen Sie anschließend **Erstellen** aus.

**Um eine Sicherheitskonfiguration mit dem zu erstellen AWS CLI**
+ Verwenden Sie den Befehl `create-security-configuration` wie im folgenden Beispiel gezeigt.
  + Geben Sie für {{SecConfigName}} den Namen der Sicherheitskonfiguration an. Dies ist der Name, den Sie angeben, wenn Sie einen Cluster erstellen, der diese Sicherheitskonfiguration verwendet.
  + Geben Sie in `{{SecConfigDef}}` eine Inline-JSON-Struktur oder den Pfad zu einer lokalen JSON-Datei an, z. B. `{{file://MySecConfig.json}}`. Die JSON-Parameter definieren Optionen für **Verschlüsselung**, **IAM Rollen für EMRFS-Zugriff auf Amazon S3** und **Authentifizierung**, wie in den folgenden Abschnitten beschrieben.

  ```
  aws emr create-security-configuration --name "{{SecConfigName}}" --security-configuration {{SecConfigDef}}
  ```

## Datenverschlüsselung konfigurieren
<a name="emr-security-configuration-encryption"></a>

Bevor Sie die Verschlüsselung in einer Sicherheitskonfiguration konfigurieren, erstellen Sie die Schlüssel und Zertifikate, die für die Verschlüsselung verwendet werden. Weitere Informationen erhalten Sie unter [Bereitstellung von Schlüsseln für die Verschlüsselung von Daten im Ruhezustand](emr-encryption-enable.md#emr-encryption-create-keys) und [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates).

Beim Erstellen einer Sicherheits-Konfiguration legen Sie zwei Verschlüsselungsoptionen fest: Verschlüsselung von Daten während der Übertragung und im Ruhezustand. Zu den Optionen für die Verschlüsselung ruhender Daten gehören sowohl Amazon S3 mit EMRFS als auch lokale Festplattenverschlüsselung. In-transitVerschlüsselungsoptionen aktivieren die Open-Source-Verschlüsselungsfunktionen für bestimmte Anwendungen, die Transport Layer Security (TLS) unterstützen. At-rest Optionen und Optionen für die Übertragung können zusammen oder getrennt aktiviert werden. Weitere Informationen finden Sie unter [Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung mit Amazon EMR](emr-data-encryption.md).

**Anmerkung**  
Bei der Nutzung AWS KMS fallen Gebühren für die Speicherung und Verwendung von Verschlüsselungsschlüsseln an. Weitere Informationen finden Sie unter [AWS KMS  – Preise](https://aws.amazon.com/kms/pricing/).

### Angeben von Verschlüsselungsoptionen mit der Konsole
<a name="emr-security-configuration-encryption-console"></a>

Wählen Sie Optionen unter **Encryption (Verschlüsselung)** entsprechend den folgenden Anleitungen aus.
+ Wählen Sie Optionen unter **At rest encryption (Verschlüsselung im Ruhezustand)** aus, um innerhalb des Dateisystems gespeicherte Daten zu verschlüsseln. 

  Sie können Daten in Amazon S3, auf lokalen Datenträgern oder in beiden Speichern verschlüsseln. 
+ Unter **S3-Datenverschlüsselung**, für die Option **Verschlüsselungsmodus** wählen Sie einen Wert aus, der festlegt, wie Amazon EMR; die Amazon-S3-Daten mit EMRFS verschlüsselt. 

  Der nächste Schritt hängt von dem von Ihnen gewählten Verschlüsselungsmodus ab:
  + **SSE-S3**

    Spezifiziert die [Server-sideVerschlüsselung mit S3-managed Amazon-Verschlüsselungsschlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Sie müssen nicht mehr tun, da Amazon S3 die Handhabung der Schlüssel für Sie übernimmt.
  + **SSE-KMS** oder **CSE-KMS**

    Gibt [serverseitige Verschlüsselung mit AWS KMS-verwalteten Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) oder [clientseitige Verschlüsselung mit AWS KMS-verwalteten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) Schlüsseln () an. CSE-KMS Wählen Sie für **AWS KMS key** einen Schlüssel aus. Der Schlüssel muss sich in derselben Region befinden wie Ihr EMR-Cluster. Schlüsselanforderungen finden Sie unter [AWS KMS keys Für die Verschlüsselung verwenden](emr-encryption-enable.md#emr-awskms-keys).
  + **CSE-Custom**

    Gibt die [clientseitige Verschlüsselung unter Verwendung eines benutzerdefinierten clientseitigen Stammschlüssels () an](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html#client-side-encryption-client-side-master-key-intro). CSE-custom Geben Sie für das **S3-Objekt** den Speicherort Ihrer benutzerdefinierten Schlüsselanbieter-JAR-Datei in Amazon S3 oder den Amazon-S3-ARN ein. Geben Sie dann für **Key Provider Class** den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die Schnittstelle implementiert. EncryptionMaterialsProvider 
+ Wählen Sie unter **Local disk encryption (Lokale Laufwerksverschlüsselung)** einen Wert für **Key provider type (Schlüsselanbietertyp)** aus.
  + **AWS KMS key**

    Wählen Sie diese Option, um eine AWS KMS key anzugeben. Wählen Sie für **AWS KMS key** einen Schlüssel aus. Der Schlüssel muss sich in derselben Region befinden wie Ihr EMR-Cluster. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter [AWS KMS keys Für die Verschlüsselung verwenden](emr-encryption-enable.md#emr-awskms-keys).

    **EBS Encryption (EBS-Verschlüsselung)**

    Wenn Sie dies AWS KMS als Ihren Schlüsselanbieter angeben, können Sie die EBS-Verschlüsselung aktivieren, um das EBS-Stammgerät und die Speichervolumes zu verschlüsseln. Um diese Option zu aktivieren, müssen Sie der Amazon-EMR-Servicerolle `EMR_DefaultRole` Berechtigungen zur Verwendung des von Ihnen angegebenen AWS KMS key erteilen. Weitere Informationen zu den Anforderungen für Schlüssel finden Sie unter [Aktivieren der EBS-Verschlüsselung durch Bereitstellung zusätzlicher Berechtigungen für KMS-Schlüssel](emr-encryption-enable.md#emr-awskms-ebs-encryption).
  + **Custom (Benutzerdefiniert)**

    Wählen Sie diese Option aus, um einen benutzerdefinierten Schlüsselanbieter festzulegen. Geben Sie für das **S3-Objekt** den Speicherort Ihrer benutzerdefinierten Schlüsselanbieter-JAR-Datei in Amazon S3 oder den Amazon-S3-ARN ein. Geben Sie für **Key Provider Class** den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die Schnittstelle implementiert. EncryptionMaterialsProvider Der Klassenname, den Sie hier angeben, muss sich von dem angegebenen Klassennamen unterscheiden CSE-Custom.
+ Wählen Sie **In-transit Verschlüsselung**, um die Open-Source-TLS-Verschlüsselungsfunktionen für Daten bei der Übertragung zu aktivieren. Wählen Sie anhand der folgenden Anleitungen einen **Certificate provider type (Zertifikatanbietertyp)** aus: 
  + **EMR-managed**

    Wählen Sie diese Option, damit Amazon EMR private Zertifikate für Sie erstellt und speichert. Wenn Sie diese Option auswählen, lädt Amazon EMR das PEM-encoded Zertifikat der erstellten Zertifizierungsstelle AWS Secrets Manager in Ihr Konto hoch, damit Sie es in Ihren Trust Stores verwenden können. Sie können optional den KMS-Schlüssel und die für dieses Geheimnis verwendeten Tags konfigurieren. Sie können optional auch eine benutzerdefinierte Gültigkeitsdauer für die erstellten Zertifikate und ein benutzerdefiniertes Platzhaltersuffix für das Zertifikat-SAN zusätzlich zum standardmäßigen privaten DNS-Platzhalter (\*.ec2.internal in us-east-1 und \*) angeben. {{region}}.compute.internal in allen anderen Regionen).
  + **PEM (PEM)**

    Wählen Sie diese Option zur Verwendung von PEM-Dateien aus, die Sie in einer ZIP-Datei bereitstellen. In der ZIP-Datei sind zwei Artefakte erforderlich: privat und Zertifikat. Key.pem Chain.pem Eine dritte Datei, vertrauenswürdigCertificates.pem, ist optional. Details dazu finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates). Geben Sie in **S3-Objekt** den Speicherort in Amazon S3 oder den Amazon-S3-ARN des ZIP-Datei-Felds an. 
  + **Custom (Benutzerdefiniert)**

    Wählen Sie diese Option aus, um einen benutzerdefinierten Zertifikatanbieter anzugeben. Geben Sie anschließend in **S3-Objekt** den Speicherort in Amazon S3 oder den Amazon-S3-ARN der JAR-Datei Ihres benutzerdefinierten Zertifikatanbieters ein. Geben Sie für **Key Provider Class** den vollständigen Klassennamen einer Klasse ein, die in Ihrer Anwendung deklariert ist, die die TLSArtifactsProvider Schnittstelle implementiert. 

### Angeben von Verschlüsselungsoptionen mit dem AWS CLI
<a name="emr-security-configuration-encryption-cli"></a>

Die folgenden Abschnitte enthalten Beispielszenarien mit ordnungsgemäß formatiertem **--security-configuration** JSON für verschiedene Konfigurationen und Schlüsselanbieter, gefolgt von einer Referenz für JSON-Parameter und geeignete Werte.

#### Beispiel der Datenverschlüsselungsoptionen während der Übertragung
<a name="emr-encryption-intransit-cli"></a>

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist aktiviert und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
+ Amazon EMR erstellt und verwaltet private Zertifikate für Sie, wobei ein Platzhalter dem privaten EC2-DNS-Suffix für die Region vertraut. Der ARN des erstellten Geheimnisses wird dem CACertificateSecretARN Feld hinzugefügt, das in der API-Antwort describe-security-configuration sichtbar ist.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "EMR"
            }
        }
    }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung wird mit EMR-managed Amazon-Zertifikaten aktiviert, wobei ein Kunden-KMS-Schlüssel und Tags für die geheime Erstellung angegeben und das öffentliche EC2-DNS-Suffix für die Region zur SAN-Liste der erstellten Zertifikate hinzugefügt wird. Das generierte CA-Zertifikat läuft in 30 Tagen ab. Zu diesem Zeitpunkt muss die Sicherheitskonfiguration gelöscht und neu erstellt werden, damit sie weiterhin verwendet werden kann.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "EMR",
                "AwsKmsKey": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012",
                "SecretTags": [{"Key": "cluster-type", "Value": "test"}],
                "WildcardDnsSuffix": "us-east-2.compute.amazonaws.com",
                "ValidityInDays": 30
            }
        }
    }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist aktiviert und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
+ Eine ZIP-Datei mit Zertifikaten in Amazon S3 wird als Schlüsselanbieter verwendet (die Zertifikatanforderungen finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates)).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://MyConfigStore/artifacts/MyCerts.zip"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist aktiviert und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert.
+ Ein benutzerdefinierter Schlüsselanbieter wird verwendet (die Zertifikatanforderungen finden Sie unter [Bereitstellen von Zertifikaten für die Verschlüsselung von Daten während der Übertragung mit der Amazon-EMR-Verschlüsselung](emr-encryption-enable.md#emr-encryption-certificates)).

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		}
 	}
}'
```

#### Beispiel der Datenverschlüsselungsoptionen im Ruhezustand
<a name="emr-encryption-atrest-cli"></a>

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ SSE-S3 wird für die Amazon S3 S3-Verschlüsselung verwendet.
+ Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": false,
		"EnableAtRestEncryption": true,
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-S3"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
 	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist aktiviert und verweist mithilfe des ARN auf eine ZIP-Datei mit PEM-Zertifikaten in Amazon S3.
+ SSE-KMS wird für die Amazon S3 S3-Verschlüsselung verwendet.
+ Die lokale Festplattenverschlüsselung wird AWS KMS als Schlüsselanbieter verwendet.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "arn:aws:s3:::MyConfigStore/artifacts/MyCerts.zip"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "SSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "AwsKms",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung wird mit EMR-managed Amazon-Zertifikaten aktiviert, wobei ein Kunden-KMS-Schlüssel und Tags für die geheime Erstellung angegeben und der SAN-Liste der erstellten Zertifikate hinzugefügt `*.mydomain.com` werden.
+ CSE-KMS wird für die Amazon S3 S3-Verschlüsselung verwendet.
+ Die lokale Laufwerksverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter, auf den anhand des ARN verwiesen wird.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": true,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "EMR",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
				"SecretTags": [{"Key": "cluster-type", "Value": "test"}],
				"WildcardDnsSuffix": "mydomain.com"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-KMS",
				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
			},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "arn:aws:s3:::artifacts/MyKeyProvider.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist mit einem benutzerdefinierten Schlüsselanbieter aktiviert.
+ CSE-Custom wird für Amazon S3 S3-Daten verwendet.
+ Die lokale Laufwerksverschlüsselung verwendet einen benutzerdefinierten Schlüsselanbieter.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": "true",
		"EnableAtRestEncryption": "true",
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"CertificateProviderClass": "com.mycompany.MyCertProvider"
			}
		},
		"AtRestEncryptionConfiguration": {
			"S3EncryptionConfiguration": {
				"EncryptionMode": "CSE-Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar", 
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
				},
			"LocalDiskEncryptionConfiguration": {
				"EncryptionKeyProviderType": "Custom",
				"S3Object": "s3://MyConfig/artifacts/MyCerts.jar",
				"EncryptionKeyProviderClass": "com.mycompany.MyKeyProvider"
			}
		}
	}
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die Amazon S3 S3-Verschlüsselung ist aktiviert mit SSE-KMS.
+ Es werden mehrere AWS KMS Schlüssel verwendet, einer pro S3-Bucket, und Verschlüsselungsausnahmen werden auf diese einzelnen S3-Buckets angewendet.
+ Die lokale Laufwerksverschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MySecConfig" --security-configuration '{
  	"EncryptionConfiguration": {
   		"AtRestEncryptionConfiguration": {
      	     	"S3EncryptionConfiguration": {
        			"EncryptionMode": "SSE-KMS",
        			"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012",
        			"Overrides": [
         				 {
           				 "BucketName": "amzn-s3-demo-bucket1",
            				"EncryptionMode": "SSE-S3"
          				},
          				{
            				"BucketName": "amzn-s3-demo-bucket2",
           				 "EncryptionMode": "CSE-KMS",
            				"AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
         				 },
         				 {
           				 "BucketName": "amzn-s3-demo-bucket3",
          				  "EncryptionMode": "SSE-KMS",
           				 "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
          				}
        					]
      							}
   						 	},
   		"EnableInTransitEncryption": false,
    		"EnableAtRestEncryption": true
  }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die Amazon S3 S3-Verschlüsselung ist aktiviert SSE-S3 und die lokale Festplattenverschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MyS3EncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "S3EncryptionConfiguration": {
                "EncryptionMode": "SSE-S3"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ In-transit Die Datenverschlüsselung ist deaktiviert und die Verschlüsselung von Daten im Ruhezustand ist aktiviert.
+ Die lokale Festplattenverschlüsselung ist AWS KMS als Schlüsselanbieter aktiviert und die Amazon S3 S3-Verschlüsselung ist deaktiviert.
+ Die EBS-Verschlüsselung ist aktiviert. 

```
aws emr create-security-configuration --name "MyLocalDiskEncryptionConfig" --security-configuration '{
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": false,
        "EnableAtRestEncryption": true,
        "AtRestEncryptionConfiguration": {
            "LocalDiskEncryptionConfiguration": {
                "EnableEbsEncryption": true,
                "EncryptionKeyProviderType": "AwsKms",
                "AwsKmsKey": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
            }
        }
     }
}'
```

Das nachstehende Beispiel veranschaulicht das folgende Szenario:

SSE-EMR-WAL wird für die EMR-WAL-Verschlüsselung verwendet

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{ },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`und könnte `EnableAtRestEncryption` immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

Das nachstehende Beispiel veranschaulicht das folgende Szenario:
+ SSE-KMS-WAL wird für die EMR-WAL-Verschlüsselung verwendet
+ Serverseitige Verschlüsselung wird AWS Key Management Service als Schlüsselanbieter verwendet

```
aws emr create-security-configuration --name "MySecConfig" \
    --security-configuration '{
        "EncryptionConfiguration": {
            "EMRWALEncryptionConfiguration":{
                "AwsKmsKey":"arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
                },
            "EnableInTransitEncryption":false, "EnableAtRestEncryption":false
        }
    }'
```

`EnableInTransitEncryption`und könnte `EnableAtRestEncryption` immer noch wahr sein, wenn Sie die entsprechende Verschlüsselung aktivieren möchten.

#### JSON-Referenz für Verschlüsselungseinstellungen
<a name="emr-encryption-cli-parameters"></a>

In der folgenden Tabelle finden Sie die JSON-Parameter für die Verschlüsselungseinstellungen sowie eine Beschreibung der zulässigen Werte für die einzelnen Parameter.


| Parameter | Description | 
| --- |--- |
| "EnableInTransitEncryption" : true \| false | Geben Sie true an, um die Verschlüsselung der Daten während der Übertragung zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten während der Übertragung ist deaktiviert. | 
| "EnableAtRestEncryption": true \| false | Geben Sie true an, um die Verschlüsselung der Daten im Ruhezustand zu aktivieren, und false, um sie zu deaktivieren. Wenn der Parameter nicht definiert wird, gilt false und die Verschlüsselung von Daten im Ruhezustand ist deaktiviert. | 
| **In-transit Verschlüsselungsparameter** | 
| --- |
| "InTransitEncryptionConfiguration" : | Gibt eine Sammlung von Werten für die Verschlüsselung von Daten während der Übertragung an, wenn EnableInTransitEncryption true ist. | 
|  "CertificateProviderType": "EMR" \| "PEM" \| "Custom" | Gibt an, ob EMR erstellte und verwaltete Zertifikate, PEM Zertifikate, auf die in einer komprimierten Datei verwiesen wird, oder ein Custom Zertifikatsanbieter verwendet werden sollen. Wenn angegeben, S3Object muss PEM es sich um einen Verweis auf den Speicherort einer ZIP-Datei mit den Zertifikaten in Amazon S3 handeln. Wenn angegeben, S3Object muss Custom es sich um einen Verweis auf den Speicherort einer JAR-Datei in Amazon S3 handeln, gefolgt von einem CertificateProviderClass Eintrag. | 
|  "S3Object" : "{{ZipLocation}}" \| "{{JarLocation}}" | Stellt den Speicherort in Amazon S3 für eine ZIP-Datei bereit, wenn PEM angegeben, oder für eine JAR-Datei, wenn Custom angegeben. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/CertFiles.zip) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyCertProvider.jar) handeln. Wenn eine ZIP-Datei ausgewählt wurde, muss sie Dateien enthalten, deren Namen privateKey.pem und certificateChain.pem sind. Eine Datei mit dem Namen trustedCertificates.pem ist optional. | 
|  "CertificateProviderClass" : "{{MyClassID}}" | Nur erforderlich, wenn für angegeben Custom istCertificateProviderType. {{MyClassID}}gibt einen vollständigen Klassennamen an, der in der JAR-Datei deklariert ist, die die TLSArtifactsProvider Schnittstelle implementiert. Beispiel, com.mycompany.MyCertProvider. | 
|  "AwsKmsKey" : "{{MyKeyARN}}" | Optional, nur wenn für angegeben EMR istCertificateProviderType. Ein vom Kunden verwalteter Schlüssel zum Hochladen des erstellten CA-Zertifikats. AWS Secrets Manager{{MyKeyARN}}muss ein vollständig spezifizierter ARN für einen Schlüssel sein (z. B.arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123). | 
|  "SecretTags" : [{"Key":"mykey","Value":"myvalue"}] | Optional, nur wenn für angegeben EMR istCertificateProviderType. Tags, die dem erstellten CA-Zertifikat hinzugefügt werden sollen AWS Secrets Manager. Um dieses Feld einzuschließen, muss der Aufrufer über secretsmanager:TagResource Berechtigungen verfügen. | 
|  "ValidityInDays" : {{number}} | Optional, nur wenn für CertificateProviderType angegeben EMR ist. Wie viele Tage die erstellten Zertifikate ab dem Datum der Erstellung der Sicherheitskonfiguration gültig sein werden. Wenn nicht angegeben, werden standardmäßig 20 Jahre verwendet. | 
|  "WildcardDnsSuffix" : "mydomain.com" | Optional, nur wenn für CertificateProviderType angegeben EMR ist. Eine Domäne, die mit einem Platzhalterpräfix zur SAN-Liste der erstellten Zertifikate hinzugefügt werden soll. Unabhängig davon, ob dies angegeben ist oder nicht, wird das Zertifikat immer \*.ec2.internal in us-east-1 und \*.{{region}}.compute.internal in allen anderen Regionen enthalten sein. | 
| **At-rest Verschlüsselungsparameter** | 
| --- |
| "AtRestEncryptionConfiguration" :  | Gibt eine Sammlung von Werten für die Verschlüsselung im Ruhezustand an, wenn dies der EnableAtRestEncryption Fall isttrue, einschließlich Amazon S3 S3-Verschlüsselung und Verschlüsselung lokaler Festplatten. | 
| Amazon S3 S3-Verschlüsselungsparameter | 
| "S3EncryptionConfiguration" : | Gibt eine Sammlung von Werten an, die für die Amazon S3 S3-Verschlüsselung mit dem Amazon EMR File System (EMRFS) verwendet werden. | 
| "EncryptionMode": "SSE-S3" \| "SSE-KMS" \| "CSE-KMS" \| "CSE-Custom" | Gibt den Typ der zu verwendenden Amazon S3 S3-Verschlüsselung an. Wenn SSE-S3 angegeben, sind keine weiteren Amazon S3 S3-Verschlüsselungswerte erforderlich. Wenn entweder SSE-KMS oder angegeben CSE-KMS ist, muss ein AWS KMS key ARN als AwsKmsKey Wert angegeben werden. Wenn CSE-Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden. | 
| "AwsKmsKey" : "{{MyKeyARN}}" | Nur erforderlich, wenn SSE-KMS oder CSE-KMS für EncryptionMode angegeben wurden. {{MyKeyARN}} muss ein vollständig angegebener ARN für einen Schlüssel sein (z. B. arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012). | 
|  "S3Object" : "{{JarLocation}}" | Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. {{JarLocation}}gibt den Speicherort in Amazon S3 für eine JAR-Datei an. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/MyKeyProvider.jar) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyKeyProvider.jar) handeln. | 
| "EncryptionKeyProviderClass" : "{{MyS3KeyClassID}}" | Nur erforderlich, wenn für angegeben CSE-Custom istEncryptionMode. {{MyS3KeyClassID}}gibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispiel{{com.mycompany.MyS3KeyProvider}}. | 
| Parameter für Verschlüsselung auf dem lokalen Datenträger | 
| "LocalDiskEncryptionConfiguration" | Gibt die Schlüsselanbieter und die entsprechenden Werte an, die für die lokale Laufwerksverschlüsselung verwendet werden müssen. | 
| "EnableEbsEncryption": true \| false | Geben Sie true an, ob die EBS-Verschlüsselung aktiviert werden soll. Die EBS-Verschlüsselung verschlüsselt das EBS-Root-Geräte-Volume und die angeschlossenen Speichervolumes. Um die EBS-Verschlüsselung zu verwenden, müssen Sie als Ihr angeben. AwsKms EncryptionKeyProviderType | 
| "EncryptionKeyProviderType": "AwsKms" \| "Custom" | Gibt den Schlüsselanbieter an. Falls AwsKms angegeben, muss ein KMS-Schlüssel-ARN als AwsKmsKey Wert angegeben werden. Wenn Custom ausgewählt wurde, müssen S3Object- und EncryptionKeyProviderClass-Werte angegeben werden. | 
| "AwsKmsKey : "{{MyKeyARN}}" | Nur erforderlich, wenn für angegeben AwsKms istType. {{MyKeyARN}}muss ein vollständig spezifizierter ARN für einen Schlüssel sein (z. B.arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-456789012123). | 
| "S3Object" : "{{JarLocation}}" | Nur erforderlich, wenn für angegeben CSE-Custom istCertificateProviderType. {{JarLocation}}gibt den Speicherort in Amazon S3 für eine JAR-Datei an. Beim Format kann es sich um einen Pfad (beispielsweise s3://MyConfig/artifacts/MyKeyProvider.jar) oder einen ARN (beispielsweise arn:aws:s3:::Code/MyKeyProvider.jar) handeln. | 
| `"EncryptionKeyProviderClass" : "{{MyLocalDiskKeyClassID}}"` | Nur erforderlich, wenn für angegeben Custom istType. {{MyLocalDiskKeyClassID}}gibt den vollständigen Klassennamen einer Klasse an, die in der Anwendung deklariert ist, die die EncryptionMaterialsProvider Schnittstelle implementiert; zum Beispiel{{com.mycompany.MyLocalDiskKeyProvider}}. | 
| **EMR WAL-Verschlüsselungsparameter** | 
| --- |
| "EMRWALEncryptionConfiguration"  | Gibt den Wert für die EMR-WAL-Verschlüsselung an. | 
| "AwsKmsKey"  | Gibt die CMK-Schlüssel-ID Arn an. | 

## Konfiguration der Kerberos-Authentifizierung
<a name="emr-security-configuration-kerberos"></a>

Eine Sicherheitskonfiguration mit Kerberos-Einstellungen kann nur von einem Cluster verwendet werden, das mit Kerberos-Attributen erstellt wurde, andernfalls tritt ein Fehler auf. Weitere Informationen finden Sie unter [Verwenden Sie Kerberos für die Authentifizierung mit Amazon EMR](emr-kerberos.md). Kerberos ist nur in Amazon-EMR-Version 5.10.0 und höher verfügbar.

### Kerberos-Einstellungen unter Verwendung der Konsole angeben
<a name="emr-security-configuration-console-kerberos"></a>

Wählen Sie anhand der folgenden Anleitungen Optionen in **Kerberos authentication (Kerberos-Authentifizierung)** aus.


<table>
<thead>
  <tr><th colspan="3">Parameter</th><th>Description</th></tr>
</thead>
<tbody>
  <tr><td colspan="3">**Kerberos**</td><td>Gibt an, dass Kerberos für Cluster aktiviert ist, die diese Sicherheitskonfiguration verwenden. Wenn ein Cluster diese Sicherheitskonfiguration verwendet, müssen für den Cluster auch Kerberos-Einstellungen angegeben sein, andernfalls tritt ein Fehler auf.</td></tr>
  <tr><td rowspan="2">**Anbieter**</td><td colspan="2">**Cluster-dedicated KDC**</td><td>Gibt an, dass Amazon EMR einen KDC auf dem Primärknoten eines Clusters erstellt, der diese Sicherheitskonfiguration verwendet. Sie geben den Bereichsnamen und das KDC-Administratorkennwort an, wenn Sie den Cluster erstellen.<br />Bei Bedarf können Sie von anderen Clustern aus auf diesen KDC verweisen. Erstellen Sie diese Cluster mit einer anderen Sicherheitskonfiguration, geben Sie ein externes KDC an und verwenden Sie den Bereichsnamen und das KDC-Administratorkennwort, die Sie für das clusterspezifische KDC angeben.</td></tr>
  <tr><td colspan="2">**Externes KDC**</td><td>Nur in Amazon-EMR-Version 5.20.0 und höher verfügbar. Gibt an, dass Cluster, die diese Sicherheitskonfiguration verwenden, Kerberos-Prinzipale mithilfe eines KDC-Servers außerhalb des Clusters authentifizieren. Auf dem Cluster wird kein KDC erstellt. Sie geben den Bereichsnamen und das KDC-Administratorkennwort an, wenn Sie den Cluster erstellen.</td></tr>
  <tr><td colspan="3"> **Gültigkeitsdauer des Tickets**</td><td>Optional. Gibt den Zeitraum an, für den ein vom KDC ausgestelltes Kerberos-Ticket auf Clustern gültig ist, die diese Sicherheitskonfiguration verwenden.<br />Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die eine Verbindung mit dem Cluster über SSH mit Kerberos-Anmeldeinformationen einrichten, müssen `kinit` von der Befehlszeile des Primärknoten aus ausführen, um eine Verlängerung auszuführen, nachdem ein Ticket abgelaufen ist.</td></tr>
  <tr><td colspan="3">**Cross-realm vertrauen**</td><td>Gibt eine bereichsübergreifende Vertrauensstellung zwischen einem clusterspezifischen KDC auf Clustern, die diese Sicherheitskonfiguration verwenden, und einem KDC in einem anderen Kerberos-Bereich an.<br />Prinzipale (in der Regel Benutzer) aus einem anderen Bereich werden gegenüber Clustern authentifiziert, die diese Konfiguration verwenden. Eine zusätzliche Konfiguration im anderen Kerberos-Bereich ist erforderlich. Weitere Informationen finden Sie unter [Tutorial: Konfigurieren einer bereichsübergreifenden Vertrauensstellung mit einer Active-Directory-Domain](emr-kerberos-cross-realm.md).</td></tr>
  <tr><td rowspan="4">Cross-realm Immobilien vertrauen</td><td colspan="2"> **Bereich**</td><td>Gibt den Kerberos-Bereichsnamen des anderen Bereichs in der Vertrauensstellung an. Gemäß der Konvention sind Kerberos-Bereichsnamen mit dem Domainnamen identisch, jedoch ausschließlich in Großbuchstaben.</td></tr>
  <tr><td colspan="2"> **Domain**</td><td>Gibt den Domain-Namen des anderen Bereichs in der Vertrauensstellung an.</td></tr>
  <tr><td colspan="2"> **Admin-Server**</td><td>Gibt den Fully Qualified Domain Name (FQDN, vollständig qualifizierter Domainname) oder IP-Adresse des Admin-Servers im anderen Bereich der Vertrauensstellung an. Der Admin-Server und KDC-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, kommunizieren jedoch über andere Ports.<br />Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="2"> **KDC-Server**</td><td>Gibt den vollständig qualifizierten Domain-Namen (FQDN, Fully Qualified Domain Name) oder IP-Adresse des KDC-Servers im anderen Bereich der Vertrauensstellung an. Der KDC-Server und Admin-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, nutzen jedoch andere Ports.<br />Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="3">**Externes KDC**</td><td>Gibt an, dass das externe KDC des Clusters vom Cluster verwendet wird. </td></tr>
  <tr><td rowspan="6">Eigenschaften des externen KDCs</td><td colspan="2">**Admin-Server**</td><td>Gibt den vollqualifizierten Domainnamen oder die IP-Adresse des externen Admin-Servers an. Der Admin-Server und KDC-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, kommunizieren jedoch über andere Ports.<br />Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="2">**KDC-Server**</td><td>Gibt den vollqualifizierten Domainnamen des externen KDC-Servers an. Der KDC-Server und Admin-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, nutzen jedoch andere Ports.<br />Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="2">**Active-Directory-Integration**</td><td>Gibt an, dass die Kerberos-Prinzipalauthentifizierung in eine Microsoft-Active-Directory-Domain integriert ist.</td></tr>
  <tr><td rowspan="3">Active-Directory-Integrationseigenschaften</td><td>**Active-Directory-Bereich**</td><td>Gibt den Kerberos-Bereichsnamen der Active-Directory-Domain an. Gemäß der Konvention sind Kerberos-Bereichsnamen in der Regel identisch mit dem Domainnamen, jedoch ausschließlich in Großbuchstaben.</td></tr>
  <tr><td>**Active-Directory-Domain**</td><td>Gibt den Active-Directory-Domainnamen an.</td></tr>
  <tr><td>**Active-Directory-Server**</td><td>Gibt den vollqualifizierten Domainnamen des Microsoft Active Directory-Domain-Controllers an.</td></tr>
</tbody>
</table>


### Angeben von Kerberos-Einstellungen mithilfe der AWS CLI
<a name="emr-kerberos-cli-parameters"></a>

Die folgende Referenztabelle zeigt JSON-Parameter für Kerberos-Einstellungen in einer Sicherheitskonfiguration. Beispielkonfigurationen finden Sie unter [Beispiele für Konfigurationen](emr-kerberos-config-examples.md).


<table>
<thead>
  <tr><th colspan="6">Parameter</th><th>Description</th></tr>
</thead>
<tbody>
  <tr><td colspan="6">`"AuthenticationConfiguration": {`</td><td>Erforderlich für Kerberos. Gibt an, dass eine Authentifizierungskonfiguration Teil dieser Sicherheitskonfiguration ist.</td></tr>
  <tr><td rowspan="22"> </td><td colspan="5">```"KerberosConfiguration": {`</td><td>Erforderlich für Kerberos. Gibt die Kerberos-Konfigurationseigenschaften an.</td></tr>
  <tr><td rowspan="20"> </td><td colspan="4">```"Provider": {{"ClusterDedicatedKdc",}}`<br />``–*oder*–<br />```"Provider: {{"ExternalKdc",}}`</td><td>`{{ClusterDedicatedKdc}}` gibt an, dass Amazon EMR einen KDC auf dem Primärknoten eines Clusters erstellt, der diese Sicherheitskonfiguration verwendet. Sie geben den Bereichsnamen und das KDC-Administratorkennwort an, wenn Sie den Cluster erstellen. Bei Bedarf können Sie von anderen Clustern aus auf diesen KDC verweisen. Erstellen Sie diese Cluster mit einer anderen Sicherheitskonfiguration, geben Sie einen externen KDC an und verwenden Sie den Bereichsnamen und das KDC-Administratorkennwort, die Sie beim Erstellen des Clusters mit dem Cluster-dedizierten KDC angegeben haben.<br />`{{ExternalKdc}}` gibt an, dass der Cluster ein externes KDC verwendet. Amazon EMR erstellt kein KDC auf dem Primärknoten. Ein Cluster, der diese Sicherheitskonfiguration verwendet, muss den Bereichsnamen und das KDC-Administratorkennwort des externen KDC angeben. </td></tr>
  <tr><td colspan="4">"ClusterDedicatedKdcConfiguration": {</td><td>Erforderlich, wenn `{{ClusterDedicatedKdc}}` angegeben ist.</td></tr>
  <tr><td rowspan="7"></td><td colspan="3">`"TicketLifetimeInHours": {{24}},`</td><td>Optional. Gibt den Zeitraum an, für den ein vom KDC ausgestelltes Kerberos-Ticket auf Clustern gültig ist, die diese Sicherheitskonfiguration verwenden.<br />Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die eine Verbindung mit dem Cluster über SSH mit Kerberos-Anmeldeinformationen einrichten, müssen `kinit` von der Befehlszeile des Primärknoten aus ausführen, um eine Verlängerung auszuführen, nachdem ein Ticket abgelaufen ist.</td></tr>
  <tr><td colspan="3">`"CrossRealmTrustConfiguration": {`</td><td>Gibt eine bereichsübergreifende Vertrauensstellung zwischen einem clusterspezifischen KDC auf Clustern, die diese Sicherheitskonfiguration verwenden, und einem KDC in einem anderen Kerberos-Bereich an.<br />Prinzipale (in der Regel Benutzer) aus einem anderen Bereich werden gegenüber Clustern authentifiziert, die diese Konfiguration verwenden. Eine zusätzliche Konfiguration im anderen Kerberos-Bereich ist erforderlich. Weitere Informationen finden Sie unter [Tutorial: Konfigurieren einer bereichsübergreifenden Vertrauensstellung mit einer Active-Directory-Domain](emr-kerberos-cross-realm.md).</td></tr>
  <tr><td rowspan="4"></td><td colspan="2">`"Realm": "{{KDC2.COM}}",`</td><td>Gibt den Kerberos-Bereichsnamen des anderen Bereichs in der Vertrauensstellung an. Gemäß der Konvention sind Kerberos-Bereichsnamen mit dem Domainnamen identisch, jedoch ausschließlich in Großbuchstaben.</td></tr>
  <tr><td colspan="2">`"Domain": "{{kdc2.com}}",`</td><td>Gibt den Domain-Namen des anderen Bereichs in der Vertrauensstellung an.</td></tr>
  <tr><td colspan="2">`"AdminServer": "{{kdc.com:749}}",`</td><td>Gibt den Fully Qualified Domain Name (FQDN, vollständig qualifizierter Domainname) oder IP-Adresse des Admin-Servers im anderen Bereich der Vertrauensstellung an. Der Admin-Server und KDC-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, kommunizieren jedoch über andere Ports.<br />Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="2">`"KdcServer": "{{kdc.com:88}}"`</td><td>Gibt den vollständig qualifizierten Domain-Namen (FQDN, Fully Qualified Domain Name) oder IP-Adresse des KDC-Servers im anderen Bereich der Vertrauensstellung an. Der KDC-Server und Admin-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, nutzen jedoch andere Ports.<br />Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="4">`}`</td></tr>
  <tr><td colspan="5">`}`</td></tr>
  <tr><td colspan="4">"ExternalKdcConfiguration": {</td><td>Erforderlich, wenn `{{ExternalKdc}}` angegeben ist.</td></tr>
  <tr><td rowspan="8"></td><td colspan="3">`"TicketLifetimeInHours": {{24}},`</td><td>Optional. Gibt den Zeitraum an, für den ein vom KDC ausgestelltes Kerberos-Ticket auf Clustern gültig ist, die diese Sicherheitskonfiguration verwenden.<br />Ticket-Gültigkeitsdauern werden aus Sicherheitsgründen beschränkt. Cluster-Anwendungen und Services verlängern Tickets automatisch, wenn sie ablaufen. Benutzer, die eine Verbindung mit dem Cluster über SSH mit Kerberos-Anmeldeinformationen einrichten, müssen `kinit` von der Befehlszeile des Primärknoten aus ausführen, um eine Verlängerung auszuführen, nachdem ein Ticket abgelaufen ist.</td></tr>
  <tr><td colspan="3">`"KdcServerType": "Single",`</td><td>Gibt an, dass auf einen einzelnen KDC-Server verwiesen wird. `Single` ist derzeit der einzige unterstützte Wert.</td></tr>
  <tr><td colspan="3">"AdminServer": "{{kdc.com:749}}",</td><td>Gibt den vollqualifizierten Domainnamen oder die IP-Adresse des externen Admin-Servers an. Der Admin-Server und KDC-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, kommunizieren jedoch über andere Ports.<br />Falls kein Port angegeben ist, wird Port 749 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="3">"KdcServer": "{{kdc.com:88}}",</td><td>Gibt den vollqualifizierten Domainnamen des externen KDC-Servers an. Der KDC-Server und Admin-Server werden normalerweise auf demselben Rechner mit demselben FQDN ausgeführt, nutzen jedoch andere Ports.<br />Falls kein Port angegeben ist, wird Port 88 verwendet, da es dabei um den Kerberos-Standard handelt. Sie können optional einen Port angeben (beispielsweise `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="3">`"AdIntegrationConfiguration": {`</td><td>Gibt an, dass die Kerberos-Prinzipalauthentifizierung in eine Microsoft-Active-Directory-Domain integriert ist.</td></tr>
  <tr><td rowspan="3"> </td><td colspan="2">`"AdRealm": "{{AD.DOMAIN.COM}}",`</td><td>Gibt den Kerberos-Bereichsnamen der Active-Directory-Domain an. Gemäß der Konvention sind Kerberos-Bereichsnamen in der Regel identisch mit dem Domainnamen, jedoch ausschließlich in Großbuchstaben.</td></tr>
  <tr><td colspan="2">`"AdDomain": "{{ad.domain.com}}"`</td><td>Gibt den Active-Directory-Domainnamen an.</td></tr>
  <tr><td colspan="2">`"AdServer": "{{ad.domain.com}}"`</td><td>Gibt den vollqualifizierten Domainnamen des Microsoft Active Directory-Domain-Controllers an.</td></tr>
  <tr><td colspan="4">`}`</td><td></td></tr>
  <tr><td colspan="5">`}`</td><td></td></tr>
  <tr><td colspan="6">`}`</td><td></td></tr>
  <tr><td colspan="7">`}`</td></tr>
</tbody>
</table>


## Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3
<a name="emr-security-configuration-emrfs"></a>

Mit IAM-Rollen für EMRFS können Sie unterschiedliche Berechtigungen für EMRFS-Daten in Amazon S3 bereitstellen. Sie erstellen Rollenzuordnungen, die eine IAM-Rolle spezifizieren, die für Berechtigungen verwendet wird, wenn eine Zugriffsanforderung eine von Ihnen angegebene Kennung enthält. Bei der ID kann es sich um einen Hadoop-Benutzer oder eine Hadoop-Rolle oder ein Amazon-S3-Präfix handeln. 

Weitere Informationen finden Sie unter [Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3](emr-emrfs-iam-roles.md).

### Angeben von IAM-Rollen für EMRFS mithilfe von AWS CLI
<a name="w2aac30c17b9c15b7"></a>

Im Folgenden finden Sie ein JSON-Beispiel für die Angabe benutzerdefinierter IAM-Rollen für EMRFS innerhalb einer Sicherheitskonfiguration. Es zeigt Rollenzuordnungen für die drei verschiedenen Identifier-Typen, gefolgt von einer Parameterreferenz. 

```
{
  "AuthorizationConfiguration": {
    "EmrFsConfiguration": {
      "RoleMappings": [{
        "Role": "{{arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1}}",
        "IdentifierType": "User",
        "Identifiers": [ "{{user1}}" ]
      },{
        "Role": "{{arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets}}",
        "IdentifierType": "Prefix",
        "Identifiers": [ "{{s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/}}" ]
      },{
        "Role": "{{arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup}}",
        "IdentifierType": "Group",
        "Identifiers": [ "{{AdminGroup}}" ]
      }]
    }
  }
}
```


| Parameter | Description | 
| --- | --- | 
| `"AuthorizationConfiguration":` | Erforderlich | 
|  `"EmrFsConfiguration":` | Erforderlich Enthält Rollenzuordnungen. | 
|   `"RoleMappings":` | Erforderlich Enthält eine oder mehrere Rollenzuordnungsdefinitionen. Rollenzuordnungen werden in der Reihenfolge bewertet, in der sie von oben nach unten angezeigt werden. Wenn eine Rollenzuweisung für einen EMRFS-Datenaufruf in Amazon S3 als wahr bewertet wird, werden keine weiteren Rollenzuordnungen ausgewertet und EMRFS verwendet die angegebene IAM-Rolle für die Anfrage. Rollenzuordnungen bestehen aus den folgenden erforderlichen Parametern: | 
|    `"Role":` | Gibt den ARN-Bezeichner einer IAM-Rolle im Format `arn:aws:iam::{{account-id}}:role/{{role-name}}` an. Dies ist die IAM-Rolle, die Amazon EMR übernimmt, wenn die EMRFS-Anfrage an Amazon S3 mit einer der angegebenen `Identifiers` übereinstimmt. | 
|    `"IdentifierType":` | Kann einer der folgenden sein:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-create-security-configuration.html) | 
|    `"Identifiers":` | Gibt einen oder mehrere Kennungen des entsprechenden Kennungstyps an. Trennen Sie mehrere Bezeichner durch Kommas ohne Leerzeichen. | 

## Metadaten-Serviceanfragen an Amazon EC2-Instances konfigurieren
<a name="emr-security-configuration-imdsv2"></a>

*Instance-Metadaten* sind Daten über eine Instance, mit denen Sie die ausgeführte Instance konfigurieren und verwalten können. Sie können mit einer der folgenden Methoden auf Instance-Metadaten aus einer laufenden Instance zugreifen:
+ Instance Metadata Service Version 1 (IMDSv1) — eine Methode request/response
+ Instance-Metadatenservice Version 2 (IMDSv2) – Ein sitzungsorientiertes Verfahren

Während Amazon EC2 sowohl IMDSv1 als auch IMDSv2 unterstützt, unterstützt Amazon EMR IMDSv2 in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher. In diesen Versionen verwenden Amazon-EMR-Komponenten IMDSv2 für alle IMDS-Aufrufe. Für IMDS-Aufrufe in Ihrem Anwendungscode können Sie sowohl IMDSv1 als auch IMDSv2 verwenden oder das IMDS so konfigurieren, dass es aus Sicherheitsgründen nur IMDSv2 verwendet. Wenn Sie angeben, dass IMDSv2 verwendet werden muss, funktioniert IMDSv1 nicht mehr.

Weitere Informationen finden [Sie unter Konfiguration des Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

**Anmerkung**  
In früheren Amazon EMR 5.x- oder 6.x-Versionen führt das Ausschalten von IMDSv1 zu einem Cluster-Startup-Fehler, da Amazon-EMR-Komponenten IMDSv1 für alle IMDS-Aufrufe verwenden. Stellen Sie beim Ausschalten von IMDSv1 sicher, dass jede benutzerdefinierte Software, die IMDSv1 verwendet, auf IMDSv2 aktualisiert wird.

### Spezifizieren der Konfiguration des Instance-Metadatendienstes mit dem AWS CLI
<a name="w2aac30c17b9c17c13"></a>

Nachfolgend finden Sie ein JSON-Beispiel-Snippet für die Spezifizierung des Amazon EC2 Instance Metadata Service (IMDS) in einer Sicherheitskonfiguration. Die Verwendung einer benutzerdefinierten Sicherheitskonfiguration ist optional.

```
{
  "InstanceMetadataServiceConfiguration" : {
      "MinimumInstanceMetadataServiceVersion": integer,
      "HttpPutResponseHopLimit": integer
   }
}
```


| Parameter | Description | 
| --- | --- | 
| `"InstanceMetadataServiceConfiguration":` | Wenn Sie IMDS nicht innerhalb einer Sicherheitskonfiguration angeben und eine Amazon EMR-Version verwenden, für die IMDSv1 erforderlich ist, verwendet Amazon EMR standardmäßig IMDSv1 als Mindestversion des Instance-Metadatendienstes. Wenn Sie Ihre eigene Konfiguration verwenden möchten, sind die beiden folgenden Parameter erforderlich. | 
|  `"MinimumInstanceMetadataServiceVersion":` | Erforderlich Geben Sie `1` oder `2` an. Der Wert `1` ermöglicht IMDSv1 und IMDSv2. Ein Wert von `2` erlaubt nur IMDSv2. | 
|  `"HttpPutResponseHopLimit":` | Erforderlich Das gewünschte HTTP PUT-Antwort-Hop-Limit für Instance-Metadatenanfragen. Je größer die Zahl ist, desto weiter können sich die Instance-Metadatenanfragen bewegen. Standard: `1`. Einen Ganzzahlwert von `1` bis `64` angeben. | 

### Die Konfiguration des Instance Metadata Services mit der Konsole angeben
<a name="emr-security-configuration-imdsv2-console"></a>

Sie können die Verwendung von IMDS für einen Cluster konfigurieren, wenn Sie ihn von der Amazon-EMR-Konsole aus starten.

**So konfigurieren Sie die Verwendung von IMDS mithilfe der Konsole:**

1. Wenn Sie auf der Seite Sicherheitskonfigurationen eine neue **Sicherheitskonfiguration** erstellen, wählen Sie unter der Einstellung **EC2-Instance Metadata Service** die Option **EC2-Instance-Metadatenservice konfigurieren** aus. Diese Konfiguration wird nur in Amazon EMR 5.23.1, 5.27.1, 5.32 oder höher und 6.2 oder höher unterstützt.

1. Für **Minimum Instance Metadata Service Version** wählen Sie eine der folgenden Optionen aus:
   + **Schalten Sie IMDSv1 aus und lassen Sie nur IMDSv2** zu, wenn Sie nur IMDSv2 auf diesem Cluster zulassen möchten. Weitere Informationen finden Sie [unter Umstellung auf die Verwendung von Instance-Metadaten-Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2) *im Amazon EC2-Benutzerhandbuch*.
   + **Erlauben Sie sowohl IMDSv1 als auch IMDSv2 auf dem Cluster**, wenn Sie IMDSv1 und sitzungsorientierte IMDSv2 auf diesem Cluster zulassen möchten.

1. Für IMDSv2 können Sie auch die zulässige Anzahl von Netzwerk-Hops für das Metadaten-Token konfigurieren, indem Sie das **HTTP-Put-Antwort-Hop-Limit** auf eine Ganzzahl zwischen `1` und `64` festlegen.

Weitere Informationen finden [Sie unter Konfiguration des Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

Weitere Informationen finden [Sie unter Instance-Details](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html#configure_instance_details_step) [konfigurieren und Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) konfigurieren im *Amazon EC2 EC2-Benutzerhandbuch*.