Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure un servidor Ranger Admin para integrarlo con Amazon EMR
<a name="emr-ranger-admin"></a>

Para la integración de Amazon EMR, los complementos de la aplicación Apache Ranger deben comunicarse con el servidor de administración mediante TLS/SSL.

**Requisito previo: habilitación del protocolo SSL del servidor de Ranger Admin**

Apache Ranger en Amazon EMR requiere una comunicación SSL bidireccional entre los complementos y el servidor de Ranger Admin. Para garantizar que los complementos se comuniquen con el servidor Apache Ranger a través de SSL, habilite el siguiente atributo dentro de ranger-admin-site .xml en el servidor de administración de Ranger.

```
<property>
    <name>ranger.service.https.attrib.ssl.enabled</name>
    <value>true</value>
</property>
```

Además, se requieren las siguientes configuraciones:

```
<property>
    <name>ranger.https.attrib.keystore.file</name>
    <value>_<PATH_TO_KEYSTORE>_</value>
</property>

<property>
    <name>ranger.service.https.attrib.keystore.file</name>
    <value>_<PATH_TO_KEYSTORE>_</value>
</property>

<property>
    <name>ranger.service.https.attrib.keystore.pass</name>
    <value>_<KEYSTORE_PASSWORD>_</value>
</property>

<property>
    <name>ranger.service.https.attrib.keystore.keyalias</name>
    <value><PRIVATE_CERTIFICATE_KEY_ALIAS></value>
</property>

<property>
    <name>ranger.service.https.attrib.clientAuth</name>
    <value>want</value>
</property>

<property>
    <name>ranger.service.https.port</name>
    <value>6182</value>
</property>
```

# Certificados TLS para la integración de Apache Ranger con Amazon EMR
<a name="emr-ranger-admin-tls"></a>

La integración de Apache Ranger con Amazon EMR requiere que el tráfico desde los nodos de Amazon EMR al servidor de Ranger Admin esté cifrado mediante TLS y que los complementos de Ranger se autentiquen en el servidor de Apache Ranger mediante una autenticación TLS mutua bidireccional. El servicio Amazon EMR necesita el certificado público de su servidor de Ranger Admin (especificado en el ejemplo anterior) y el certificado privado.

**Certificados del complemento Apache Ranger**

El servidor de Apache Ranger Admin debe poder acceder a los certificados TLS públicos del complemento Apache Ranger para validarlos cuando se conecten los complementos. Hay tres métodos diferentes para hacerlo.

**Método 1: configuración de un almacén de confianza en el servidor de Apache Ranger Admin**

Rellene las siguientes configuraciones en ranger-admin-site .xml para configurar un almacén de confianza.

```
<property>
    <name>ranger.truststore.file</name>
    <value><LOCATION TO TRUSTSTORE></value>
</property>

<property>
    <name>ranger.truststore.password</name>
    <value><PASSWORD FOR TRUSTSTORE></value>
</property>
```

**Método 2: carga del certificado en el almacén de confianza de certificados CA (cacerts) de Java**

Si el servidor de Ranger Admin no especifica un almacén de confianza en sus opciones de JVM, puede colocar los certificados públicos del complemento en el almacén de cacerts predeterminado.

**Método 3: creación de un almacén de confianza y configuración como parte de las opciones de JVM**

En `{RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh`, modifique `JAVA_OPTS` para que incluya `"-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>"` y `"-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>"`. Por ejemplo, agregue la siguiente línea después de la variable JAVA\$1OPTS existente.

```
JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
```

**nota**  
Esta especificación puede exponer la contraseña del almacén de confianza si algún usuario puede iniciar sesión en el servidor de Apache Ranger Admin y ver los procesos en ejecución, por ejemplo, cuando utiliza el comando `ps`.

**Uso de certificados autofirmados**

Los certificados autofirmados no se recomiendan como certificados. Los certificados autofirmados no se pueden revocar y los certificados autofirmados pueden no cumplir con los requisitos de seguridad internos.

# Instalación de definición de servicio para la integración de Ranger con Amazon EMR
<a name="emr-ranger-admin-servicedef-install"></a>

El servidor de Ranger Admin utiliza una definición de servicio para describir los atributos de las políticas de una aplicación. Luego, las políticas se almacenan en un repositorio de políticas para que los clientes las descarguen. 

Para poder configurar las definiciones de servicio, las llamadas REST se deben realizar al servidor de Ranger Admin. Consulte [Apache Ranger Public APIsv2](https://ranger.apache.org/apidocs/resource_PublicAPIsv2.html#resource_PublicAPIsv2_createServiceDef_POST) para ver si es APIs obligatorio en la siguiente sección.

**Instalación de la definición de servicio de Apache Spark**

Para instalar la definición de servicio de Apache Spark, consulte [Complemento de Apache Spark para la integración de Ranger con Amazon EMR](emr-ranger-spark.md).

**Instalación de la definición de servicio de EMRFS**

Para instalar la definición de servicio de S3 para Amazon EMR, consulte [Complemento EMRFS S3 para la integración de Ranger con Amazon EMR](emr-ranger-emrfs.md).

**Uso de la definición de servicio de Hive**

Apache Hive puede usar la definición de servicio de Ranger existente que se incluye con Apache Ranger 2.0 y versiones posteriores. Para obtener más información, consulte [Complemento de Apache Hive para la integración de Ranger con Amazon EMR](emr-ranger-hive.md).

# Reglas de tráfico de red para la integración con Amazon EMR
<a name="emr-ranger-network"></a>

Cuando Apache Ranger se integra con su clúster de EMR, el clúster debe comunicarse con servidores adicionales y AWS.

Todos los nodos de Amazon EMR, incluidos los nodos principales y de tareas, deben poder comunicarse con los servidores de Apache Ranger Admin para descargar las políticas. Si su servidor de Apache Ranger Admin se ejecuta en Amazon EC2, debe actualizar el grupo de seguridad para poder captar el tráfico del clúster de EMR.

Además de comunicarse con el servidor Ranger Admin, todos los nodos deben poder comunicarse con los siguientes servicios: AWS 
+ Amazon S3
+ AWS KMS (si usa EMRFS SSE-KMS)
+ Amazon CloudWatch
+ AWS STS

Si planea ejecutar su clúster de EMR en una subred privada, configure la VPC para que pueda comunicarse con estos servicios mediante [AWS PrivateLink y puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) en la *Guía del usuario de Amazon VPC* o mediante una [instancia de traducción de direcciones de red (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html) de la *Guía del usuario de Amazon VPC*.