

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EMR에서 Kerberos 보안 구성 및 클러스터 설정
<a name="emr-kerberos-configure-settings"></a>

Kerberos 인증을 사용하는 클러스터를 생성할 때 클러스터 고유의 Kerberos 속성과 함께 보안 구성을 지정합니다. 반드시 둘을 함께 구성해야 하며, 그렇지 않을 경우 오류가 발생합니다.

이 주제에서는 보안 구성 및 클러스터를 생성할 때 Kerberos에 사용할 수 있는 구성 파라미터의 개요를 제공합니다. 또한 범용 아키텍처에 호환 가능한 보안 구성 및 클러스터를 생성하기 위한 CLI 예제가 제공됩니다.

## 보안 구성에 대한 Kerberos 설정
<a name="emr-kerberos-security-configuration"></a>

Amazon EMR 콘솔 AWS CLI, 또는 EMR API를 사용하여 Kerberos 속성을 지정하는 보안 구성을 생성할 수 있습니다. 보안 구성에는 암호화 같은 기타 보안 옵션들도 포함될 수 있습니다. 자세한 내용은 [Amazon EMR 콘솔 또는를 사용하여 보안 구성 생성 AWS CLI](emr-create-security-configuration.md) 단원을 참조하십시오.

다음 참조를 사용하여 선택하는 Kerberos 아키텍처의 사용 가능한 보안 구성 설정을 파악합니다. Amazon EMR 콘솔 설정이 표시됩니다. 해당되는 CLI 옵션은 [를 사용하여 Kerberos 설정 지정 AWS CLI](emr-create-security-configuration.md#emr-kerberos-cli-parameters) 또는 [구성 예제](emr-kerberos-config-examples.md) 섹션을 참조하세요.


<table>
<thead>
  <tr><th colspan="3">파라미터</th><th>설명</th></tr>
</thead>
<tbody>
  <tr><td colspan="3">**Kerberos**</td><td>이 보안 구성을 사용하는 클러스터에 대해 Kerberos가 활성화되도록 지정합니다. 클러스터에서 이 보안 구성을 사용하는 경우 클러스터에는 Kerberos 설정이 지정되어 있어야 하며 그렇지 않을 경우 오류가 발생합니다.</td></tr>
  <tr><td rowspan="2">**공급자**</td><td colspan="2">**클러스터 전용 KDC**</td><td>Amazon EMR이 이 보안 구성을 사용하는 클러스터의 프라이머리 노드에서 KDC를 생성하도록 지정합니다. 클러스터를 생성할 때 영역 이름과 KDC 관리자 암호를 지정합니다.<br />필요할 경우 다른 클러스터에서 이 KDC를 참조할 수 있습니다. 다른 보안 구성을 사용하여 클러스터를 생성하고, 외부 KDC를 지정하고, 클러스터 전용 KDC에 지정한 영역 이름과 KDC 관리자 암호를 사용하세요.</td></tr>
  <tr><td colspan="2">**외부 KDC**</td><td>Amazon EMR 5.20.0 이상에서만 사용할 수 있습니다. 이 보안 구성을 사용하는 클러스터가 클러스터 외부의 KDC 서버를 사용하여 Kerberos 보안 주체를 인증하도록 지정합니다. KDC는 클러스터에서 생성되지 않습니다. 클러스터를 생성할 때 외부 KDC의 영역 이름과 KDC 관리자 암호를 지정합니다.</td></tr>
  <tr><td colspan="3"> **티켓 수명**</td><td>선택 사항. 클러스터 전용 KDC에서 발급한 Kerberos 티켓이 이 보안 구성을 사용하는 클러스터에서 유효한 기간을 지정합니다.<br />보안 상의 이유로 티켓 사용 기간이 제한됩니다. 클러스터 애플리케이션 및 서비스는 기간이 만료된 티켓을 자동 갱신합니다. Kerberos 보안 인증을 사용하여 SSH를 통해 클러스터를 연결하는 사용자는 티켓이 만료된 후 프라이머리 노드 명령줄에서 `kinit`를 실행해야 합니다.</td></tr>
  <tr><td colspan="3">**교차 영역 신뢰**</td><td>이 보안 구성을 사용하는 클러스터에서 클러스터 전용 KDC와 다른 Kerberos 영역에서 KDC 간의 교차 신뢰도를 지정합니다.<br />다른 영역의 보안 주체(주로 사용자)가 이 구성을 사용하는 클러스터에 인증을 받습니다. 다른 Kerberos 영역에서 추가 구성이 필요합니다. 자세한 내용은 [자습서: Active Directory 도메인과 교차 영역 신뢰 구성](emr-kerberos-cross-realm.md) 단원을 참조하십시오.</td></tr>
  <tr><td rowspan="4">교차 영역 신뢰 속성</td><td colspan="2"> **영역**</td><td>신뢰 관계에 있는 다른 영역의 Kerberos 영역 이름을 지정합니다. 규칙에 따라 Kerberos 영역 이름은 도메인 이름과 동일하고 모두 대문자입니다.</td></tr>
  <tr><td colspan="2"> **도메인**</td><td>신뢰 관계에 있는 다른 영역의 도메인 이름을 지정합니다.</td></tr>
  <tr><td colspan="2"> **관리자 서버**</td><td>신뢰 관계에 있는 다른 영역의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. 관리자 서버와 KDC 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 통신에는 서로 다른 포트를 이용합니다.<br />지정된 포트가 없으면 Kerberos 기본 설정인 포트 749 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="2"> **KDC 서버**</td><td>신뢰 관계의 다른 영역에 있는 KDC 서버의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. KDC 서버와 관리자 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 서로 다른 포트를 이용합니다.<br />지정된 포트가 없으면 Kerberos 기본 설정인 포트 88 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="3">**외부 KDC**</td><td>클러스터에서 클러스터 외부 KDC 클러스터를 사용함을 지정합니다.</td></tr>
  <tr><td rowspan="6">외부 KDC 속성</td><td colspan="2">**관리자 서버**</td><td>외부 도메인 서버의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. 관리자 서버와 KDC 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 통신에는 서로 다른 포트를 이용합니다.<br />지정된 포트가 없으면 Kerberos 기본 설정인 포트 749 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:749}}`).</td></tr>
  <tr><td colspan="2">**KDC 서버**</td><td>외부 KDC 서버의 정규화된 도메인 이름(FQDN)을 지정합니다. KDC 서버와 관리자 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 서로 다른 포트를 이용합니다.<br />지정된 포트가 없으면 Kerberos 기본 설정인 포트 88 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:88}}`).</td></tr>
  <tr><td colspan="2">**Active Directory 통합**</td><td>Kerberos 보안 주체 인증이 Microsoft Active Directory 도메인과 통합되도록 지정합니다.</td></tr>
  <tr><td rowspan="3">Active Directory 통합 속성</td><td>**Active Directory 영역**</td><td>Active Directory 도메인의 Kerberos 영역 이름을 지정합니다. 규칙에 따라 Kerberos 영역 이름은 일반적으로 도메인 이름과 동일하고 모두 대문자입니다.</td></tr>
  <tr><td>**Active Directory 도메인**</td><td>Active Directory 도메인 이름을 지정합니다.</td></tr>
  <tr><td>**Active Directory 서버**</td><td>Microsoft Active Directory 도메인 컨트롤러의 정규화된 도메인 이름(FQDN)을 지정합니다.</td></tr>
</tbody>
</table>


## 클러스터에 대한 Kerberos 설정
<a name="emr-kerberos-cluster-configuration"></a>

Amazon EMR 콘솔 AWS CLI, 또는 EMR API를 사용하여 클러스터를 생성할 때 Kerberos 설정을 지정할 수 있습니다.

다음 참조를 사용하여 선택하는 Kerberos 아키텍처의 사용 가능한 클러스터 구성 설정을 파악합니다. Amazon EMR 콘솔 설정이 표시됩니다. 해당되는 CLI 옵션은 [구성 예제](emr-kerberos-config-examples.md) 섹션을 참조하세요.


| 파라미터 | 설명 | 
| --- | --- | 
| Realm | 클러스터의 Kerberos 영역 이름. Kerberos 명명 규칙에 따르면 이 이름은 도메인 이름과 동일하되, 대문자로 설정됩니다. 예를 들어, 도메인 `ec2.internal`에서는 영역 이름으로 `EC2.INTERNAL`을 사용합니다. | 
| KDC 관리자 암호 | `kadmin` 또는 `kadmin.local`에서 클러스터 내에서 사용되는 암호. 이들은 Kerberos 보안 주체, 암호 정책 및 클러스터의 키 탭이 포함된 Kerberos V5 관리 시스템에 대한 명령줄 인터페이스입니다. | 
| 교차 영역 신뢰 보안 주체 암호(옵션) | 교차 영역 신뢰를 구축할 때 필요합니다. 교차 영역 보안 주체 암호는 영역 전반에서 동일해야 합니다. 강력한 암호를 사용하세요. | 
| Active Directory 도메인 조인 사용자(선택 사항) | 교차 영역 신뢰에서 Active Directory를 사용할 때 필요합니다. 컴퓨터를 도메인에 조인할 수 있는 권한을 가진 Active Directory 계정의 사용자 로그인 이름입니다. Amazon EMR은 이 ID를 사용하여 클러스터를 도메인에 조인합니다. 자세한 내용은 [3단계: EMR 클러스터에서 도메인에 사용자 계정 추가](emr-kerberos-cross-realm.md#emr-kerberos-ad-users) 단원을 참조하십시오. | 
| Active Directory 도메인 조인 암호(선택 사항) | Active Directory 도메인 조인 사용자용 암호입니다. 자세한 내용은 [3단계: EMR 클러스터에서 도메인에 사용자 계정 추가](emr-kerberos-cross-realm.md#emr-kerberos-ad-users) 단원을 참조하십시오. |
파라미터			설명
Kerberos			이 보안 구성을 사용하는 클러스터에 대해 Kerberos가 활성화되도록 지정합니다. 클러스터에서 이 보안 구성을 사용하는 경우 클러스터에는 Kerberos 설정이 지정되어 있어야 하며 그렇지 않을 경우 오류가 발생합니다.
공급자	클러스터 전용 KDC		Amazon EMR이 이 보안 구성을 사용하는 클러스터의 프라이머리 노드에서 KDC를 생성하도록 지정합니다. 클러스터를 생성할 때 영역 이름과 KDC 관리자 암호를 지정합니다. 필요할 경우 다른 클러스터에서 이 KDC를 참조할 수 있습니다. 다른 보안 구성을 사용하여 클러스터를 생성하고, 외부 KDC를 지정하고, 클러스터 전용 KDC에 지정한 영역 이름과 KDC 관리자 암호를 사용하세요.
공급자	외부 KDC		Amazon EMR 5.20.0 이상에서만 사용할 수 있습니다. 이 보안 구성을 사용하는 클러스터가 클러스터 외부의 KDC 서버를 사용하여 Kerberos 보안 주체를 인증하도록 지정합니다. KDC는 클러스터에서 생성되지 않습니다. 클러스터를 생성할 때 외부 KDC의 영역 이름과 KDC 관리자 암호를 지정합니다.
티켓 수명			선택 사항. 클러스터 전용 KDC에서 발급한 Kerberos 티켓이 이 보안 구성을 사용하는 클러스터에서 유효한 기간을 지정합니다. 보안 상의 이유로 티켓 사용 기간이 제한됩니다. 클러스터 애플리케이션 및 서비스는 기간이 만료된 티켓을 자동 갱신합니다. Kerberos 보안 인증을 사용하여 SSH를 통해 클러스터를 연결하는 사용자는 티켓이 만료된 후 프라이머리 노드 명령줄에서 `kinit`를 실행해야 합니다.
교차 영역 신뢰			이 보안 구성을 사용하는 클러스터에서 클러스터 전용 KDC와 다른 Kerberos 영역에서 KDC 간의 교차 신뢰도를 지정합니다. 다른 영역의 보안 주체(주로 사용자)가 이 구성을 사용하는 클러스터에 인증을 받습니다. 다른 Kerberos 영역에서 추가 구성이 필요합니다. 자세한 내용은 [자습서: Active Directory 도메인과 교차 영역 신뢰 구성](emr-kerberos-cross-realm.md) 단원을 참조하십시오.
교차 영역 신뢰 속성	영역		신뢰 관계에 있는 다른 영역의 Kerberos 영역 이름을 지정합니다. 규칙에 따라 Kerberos 영역 이름은 도메인 이름과 동일하고 모두 대문자입니다.
	도메인		신뢰 관계에 있는 다른 영역의 도메인 이름을 지정합니다.
	관리자 서버		신뢰 관계에 있는 다른 영역의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. 관리자 서버와 KDC 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 통신에는 서로 다른 포트를 이용합니다. 지정된 포트가 없으면 Kerberos 기본 설정인 포트 749 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:749}}`).
	KDC 서버		신뢰 관계의 다른 영역에 있는 KDC 서버의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. KDC 서버와 관리자 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 서로 다른 포트를 이용합니다. 지정된 포트가 없으면 Kerberos 기본 설정인 포트 88 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:88}}`).
외부 KDC			클러스터에서 클러스터 외부 KDC 클러스터를 사용함을 지정합니다.
외부 KDC 속성	관리자 서버		외부 도메인 서버의 정규화된 도메인 이름(FQDN) 또는 IP 주소를 지정합니다. 관리자 서버와 KDC 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 통신에는 서로 다른 포트를 이용합니다. 지정된 포트가 없으면 Kerberos 기본 설정인 포트 749 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:749}}`).
	KDC 서버		외부 KDC 서버의 정규화된 도메인 이름(FQDN)을 지정합니다. KDC 서버와 관리자 서버는 일반적으로 동일 FQDN의 동일 시스템에서 실행되지만, 서로 다른 포트를 이용합니다. 지정된 포트가 없으면 Kerberos 기본 설정인 포트 88 포트를 사용합니다. 아니면 포트를 지정해도 됩니다(예: `domain.example.com{{:88}}`).
	Active Directory 통합		Kerberos 보안 주체 인증이 Microsoft Active Directory 도메인과 통합되도록 지정합니다.
	Active Directory 통합 속성	Active Directory 영역	Active Directory 도메인의 Kerberos 영역 이름을 지정합니다. 규칙에 따라 Kerberos 영역 이름은 일반적으로 도메인 이름과 동일하고 모두 대문자입니다.
		Active Directory 도메인	Active Directory 도메인 이름을 지정합니다.
		Active Directory 서버	Microsoft Active Directory 도메인 컨트롤러의 정규화된 도메인 이름(FQDN)을 지정합니다.