As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Noções básicas da criptografia em trânsito
<a name="emr-encryption-support-matrix"></a>

Você pode configurar um cluster do EMR para executar estruturas de código aberto, como [Apache Spark](https://aws.amazon.com/emr/features/spark/), [Apache Hive](https://aws.amazon.com/emr/features/hive/) e [Presto](https://aws.amazon.com/emr/features/presto/). Cada uma dessas estruturas de código aberto tem um conjunto de processos em execução nas instâncias do EC2 de um cluster. Cada um desses processos pode hospedar endpoints de rede para comunicação de rede.

Se a criptografia em trânsito estiver habilitada em um cluster do EMR, diferentes endpoints de rede usarão mecanismos de criptografia distintos. Consulte as seções a seguir para saber mais sobre os endpoints de rede específicos da estrutura de código aberto compatíveis com criptografia em trânsito, os mecanismos de criptografia relacionados e qual versão do Amazon EMR adicionou suporte. Cada aplicação de código aberto também pode ter diferentes práticas recomendadas e configurações da estrutura de código aberto que você pode alterar. 

 Para obter a maior cobertura de criptografia em trânsito, recomendamos que você habilite a criptografia em trânsito e o Kerberos. Se você habilitar somente a criptografia em trânsito, ela estará disponível somente para os endpoints de rede compatíveis com TLS. O Kerberos é necessário porque alguns endpoints de rede da estrutura de código aberto usam Simple Authentication and Security Layer (SASL) para criptografia em trânsito.

Observe que qualquer estrutura de código aberto sem suporte nas versões 7.x.x do Amazon EMR não está incluída.

## Spark
<a name="emr-encryption-support-matrix-spark"></a>

Quando você ativa a criptografia em trânsito nas configurações de segurança, ela `spark.authenticate` é automaticamente configurada `true` e usa AES-based criptografia para conexões RPC.

A partir do Amazon EMR 7.3.0, se você usar criptografia em trânsito e autenticação do Kerberos, não poderá usar aplicações Spark que dependam do Hive Metastore. O Hive 3 corrige esse problema em [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340). [HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114)resolve totalmente esse problema quando o Spark de código aberto pode ser atualizado para o Hive 3. Enquanto isso, você pode definir `hive.metastore.use.SSL` para `false` e contornar esse problema. Para obter mais informações, consulte [Configure applications](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obter mais informações, consulte [Spark security](https://spark.apache.org/docs/latest/security) da documentação do Apache Spark.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Servidor de histórico do Spark | spark.ssl.history.port | 18480 | TLS | emr-5.3.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Interface do usuário do Spark | spark.ui.port | 4440 | TLS | emr-5.3.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Driver do Spark | spark.driver.port | Dinâmico | Criptografia Spark AES-based  | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Executor do Spark | Porta do executor (sem configuração nomeada) | Dinâmico | Criptografia Spark AES-based  | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| FIO NodeManager | spark.shuffle.service.port1 | 7337 | Criptografia Spark AES-based  | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 

1 `spark.shuffle.service.port` está hospedado no YARN NodeManager , mas é usado somente pelo Apache Spark.

**Problema conhecido**

Em clusters habilitados em trânsito, a configuração `spark.yarn.historyServer.address` atualmente usa a porta `18080`, que impede o acesso à interface do usuário da aplicação Spark usando o URL de rastreamento do YARN. **Versão afetada:** EMR - 7.3.0 a EMR - 7.9.0.

Use a seguinte solução alternativa:

1. Modifique a configuração `spark.yarn.historyServer.address` em `/etc/spark/conf/spark-defaults.conf` para usar o número da porta `HTTPS` `18480` em um cluster em execução.

1. Isso também pode ser fornecido em substituições de configuração durante a inicialização do cluster.

Exemplo de configuração:

```
[
                               {
                                 "Classification": "spark-defaults",
                                 "Properties": {
                                     "spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
                                 }
                               }
  
                               ]
```

## YARN do Hadoop
<a name="emr-encryption-support-matrix-hadoop-yarn"></a>

[O Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) está configurado `privacy` e usa SASL-based criptografia em trânsito. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança. Se você não quiser criptografia em trânsito para o Hadoop RPC, configure `hadoop.rpc.protection = authentication`. Recomendamos usar a configuração padrão para obter a segurança máxima.

Se os certificados TLS não atenderem aos requisitos de verificação do nome de host TLS, você poderá configurar `hadoop.ssl.hostname.verifier = ALLOW_ALL`. Recomendamos que você use a configuração padrão de `hadoop.ssl.hostname.verifier = DEFAULT`, que impõe a verificação do nome de host TLS. 

Para desabilitar o HTTPS nos endpoints da aplicação Web do YARN, configure `yarn.http.policy = HTTP_ONLY`. Isso faz com que o tráfego para esses endpoints permaneça sem criptografia. Recomendamos usar a configuração padrão para obter a segurança máxima.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| ResourceManager | yarn.resourcemanager.webapp.address | 8088 | TLS | emr-7.3.0\+ | 
| ResourceManager | yarn.resourcemanager.resource-tracker.address | 8025 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| ResourceManager | yarn.resourcemanager.scheduler.address | 8030 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| ResourceManager | yarn.resourcemanager.address | 8032 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| ResourceManager | yarn.resourcemanager.admin.address | 8033 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| TimelineServer | yarn.timeline-service.address | 10200 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| TimelineServer | yarn.timeline-service.webapp.address | 8188 | TLS | emr-7.3.0\+ | 
| WebApplicationProxy | yarn.web-proxy.address | 2088 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| NodeManager | yarn.nodemanager.address | 8041 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| NodeManager | yarn.nodemanager.localizer.address | 8040 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| NodeManager | yarn.nodemanager.webapp.address | 8044 | TLS | emr-7.3.0\+ | 
| NodeManager | mapreduce.shuffle.port1 | 13562 | TLS | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| NodeManager | spark.shuffle.service.port2 | 7337 | Criptografia Spark AES-based  | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 

1 `mapreduce.shuffle.port` está hospedado no YARN NodeManager , mas é usado somente pelo MapReduce Hadoop.

2 `spark.shuffle.service.port` está hospedado no YARN NodeManager , mas é usado apenas pelo Apache Spark.

**Problema conhecido**

Atualmente, a configuração `yarn.log.server.url` em está usando HTTP com a porta 19888, o que impede o acesso aos logs da aplicação a partir da interface do usuário do Resource Manager. **Versão afetada:** EMR - 7.3.0 a EMR - 7.8.0.

Use a seguinte solução alternativa:

1. Modifique a configuração `yarn.log.server.url` em `yarn-site.xml` para usar o protocolo `HTTPS` e o número da porta `19890`.

1. Reinicie o YARN Resource Manager: `sudo systemctl restart hadoop-yarn-resourcemanager.service`.

## HDFS do Hadoop
<a name="emr-encryption-support-matrix-hadoop-hdfs"></a>

O nó de nome, o nó de dados e o nó de diário do Hadoop oferecem suporte a TLS por padrão se a criptografia em trânsito estiver habilitada nos clusters do EMR.

[O Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) está configurado para `privacy` e usa SASL-based criptografia em trânsito. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança.

Recomendamos não alterar as portas padrão usadas em endpoints HTTPS.

A [criptografia de dados na transferência de blocos HDFS](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.) usa AES 256 e requer que a criptografia em repouso esteja habilitada na configuração de segurança.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Namenode | dfs.namenode.https-address | 9871 | TLS | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Namenode | dfs.namenode.rpc-address | 8020 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Datanode | dfs.datanode.https.address | 9865 | TLS | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Datanode | dfs.datanode.address | 986 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Nó de diário | dfs.journalnode.https-address | 8481 | TLS | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Nó de diário | dfs.journalnode.rpc-address | 8485 | SASL \+ Kerberos | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| DFSZKFailoverController | dfs.ha.zkfc.port | 8019 | Nenhum | O TLS para ZKFC só é compatível com o Hadoop 3.4.0. Consulte [HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919) para obter mais informações. A versão 7.1.0 do Amazon EMR está atualmente no Hadoop 3.3.6. Versões superiores do Amazon EMR estarão no Hadoop 3.4.0 | 

## Hadoop MapReduce
<a name="emr-encryption-support-matrix-hadoop-mapreduce"></a>

O Hadoop MapReduce, o servidor de histórico de tarefas e o MapReduce shuffle oferecem suporte a TLS por padrão quando a criptografia em trânsito está habilitada nos clusters do EMR.

O [shuffle MapReduce criptografado do Hadoop](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html) usa TLS.

Recomendamos que você não altere as portas padrão para endpoints HTTPS.

Para obter mais informações, consulte [Hadoop in secure mode](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html), na documentação do Apache Hadoop.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| JobHistoryServer | mapreduce.jobhistory.webapp.https.address | 1980 a 90 | TLS | emr-7.3.0\+ | 
| FIO NodeManager | mapreduce.shuffle.port1 | 13562 | TLS | emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, emr-7.0.0\+ | 

1 `mapreduce.shuffle.port` está hospedado no YARN NodeManager , mas é usado somente pelo MapReduce Hadoop.

## Presto
<a name="emr-encryption-support-matrix-presto"></a>

Nas versões 5.6.0 e superiores do Amazon EMR, a comunicação interna entre o coordenador do Presto e os trabalhadores usa TLS. O Amazon EMR define todas as configurações necessárias para permitir a [comunicação interna segura](https://prestodb.io/docs/current/security/internal-communication.html) no Presto. 

Se o conector usar o metastore do Hive como armazenamento de metadados, a comunicação entre o comunicador e o metastore do Hive também será criptografada com TLS.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Coordenador do Presto | http-server.https.port | 846 | TLS | emr-5.6.0\+, emr-6.0.0\+, emr-7.0.0\+ | 
| Trabalhador do Presto | http-server.https.port | 846 | TLS | emr-5.6.0\+, emr-6.0.0\+, emr-7.0.0\+ | 

## Trino
<a name="emr-encryption-support-matrix-trino"></a>

Nas versões 6.1.0 e posteriores do Amazon EMR, a comunicação interna entre o coordenador do Presto e os trabalhadores usa TLS. O Amazon EMR define todas as configurações necessárias para permitir a [comunicação interna segura](https://trino.io/docs/current/security/internal-communication.html) no Trino. 

Se o conector usar o metastore do Hive como armazenamento de metadados, a comunicação entre o comunicador e o metastore do Hive também será criptografada com TLS.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Trino Coordinator | http-server.https.port | 846 | TLS | emr-6.1.0\+, emr-7.0.0\+ | 
| Trino Worker | http-server.https.port | 846 | TLS | emr-6.1.0\+, emr-7.0.0\+ | 

## Hive e Tez
<a name="emr-encryption-support-matrix-hive-tez"></a>

Por padrão, o servidor Hive 2, o servidor Hive Metastore, a interface de usuário da Web do daemon do LLAP do Hive e o shuffle do LLAP do Hive oferecem suporte ao TLS quando a criptografia em trânsito está habilitada nos clusters do EMR. Para obter mais informações sobre as configurações do Hive, consulte [Configuration properties](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties).

A interface do usuário Tez que está hospedada no servidor Tomcat também funciona HTTPS-enabled quando a criptografia em trânsito está habilitada no cluster do EMR. No entanto, o HTTPS está desabilitado para o serviço de interface do usuário da Web do Tez AM, portanto, os usuários do AM não têm acesso ao arquivo de keystore do receptor de SSL de abertura. Você também pode habilitar esse comportamento com as configurações booleanas `tez.am.tez-ui.webservice.enable.ssl` e `tez.am.tez-ui.webservice.enable.client.auth`.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| HiveServer2 | hive.server2.thrift.port | 10000 | TLS | emr-6.9.0\+, emr-7.0.0\+ | 
| HiveServer2 | hive.server2.thrift.http.port | 10001 | TLS | emr-6.9.0\+, emr-7.0.0\+ | 
| HiveServer2 | hive.server2.webui.port | 10002 | TLS | emr-7.3.0\+ | 
| HiveMetastoreServer | hive.metastore.port | 9083 | TLS | emr-7.3.0\+ | 
| Daemon do LLAP | hive.llap.daemon.yarn.shuffle.port | 15551 | TLS | emr-7.3.0\+ | 
| Daemon do LLAP | hive.llap.daemon.web.port | 15002 | TLS | emr-7.3.0\+ | 
| Daemon do LLAP | hive.llap.daemon.output.service.port | 15003 | Nenhum | O Hive não oferece suporte à criptografia em trânsito para esse endpoint | 
| Daemon do LLAP | hive.llap.management.rpc.port | 15004 | Nenhum | O Hive não oferece suporte à criptografia em trânsito para esse endpoint | 
| Daemon do LLAP | hive.llap.plugin.rpc.port | Dinâmico | Nenhum | O Hive não oferece suporte à criptografia em trânsito para esse endpoint | 
| Daemon do LLAP | hive.llap.daemon.rpc.port | Dinâmico | Nenhum | O Hive não oferece suporte à criptografia em trânsito para esse endpoint | 
| WebHCat | templeton.port | 50111 | TLS | emr-7.3.0\+ | 
| Tez Application Master | tez.am.client.am.port-range<br />tez.am.task.am.port-range | Dinâmico | Nenhum | O Tez não oferece suporte à criptografia em trânsito para esse endpoint | 
| Tez Application Master | tez.am.tez-ui.webservice.port-range | Dinâmico | Nenhum | Desabilitado por padrão. Pode ser habilitado usando as configurações do Tez no emr-7.3.0\+ | 
| Tarefa do Tez | N/A - não configurável | Dinâmico | Nenhum | O Tez não oferece suporte à criptografia em trânsito para esse endpoint | 
| IU Tez | Configurável por meio do servidor Tomcat no qual a interface de usuário do Tez está hospedada | 8080 | TLS | emr-7.3.0\+ | 

## Flink
<a name="emr-encryption-support-matrix-flink"></a>

 Os endpoints REST do Apache Flink e a comunicação interna entre os processos do Flink oferecem suporte ao TLS por padrão quando você habilita a criptografia em trânsito nos clusters do EMR. 

 [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled) está definido como `true` e usa criptografia em trânsito para comunicação interna entre os processos do Flink. Se você não quiser criptografia em trânsito para comunicação interna, desabilite essa configuração. Recomendamos usar a configuração padrão para obter segurança máxima. 

 O Amazon EMR define [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled) como `true` e usa criptografia em trânsito para os endpoints REST. Além disso, o Amazon EMR define [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled) como verdadeiro para usar a comunicação TLS com o servidor de histórico do Flink. Se você não quiser criptografia em trânsito para os pontos REST, desabilite essas configurações. Recomendamos usar a configuração padrão para obter segurança máxima. 

O Amazon EMR usa [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms). para especificar a lista de cifras que usam criptografia. AES-based Substitua essa configuração para usar as cifras desejadas.

Para obter mais informações, consulte [SSL Setup](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/) na documentação do Flink.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Servidor de histórico do Flink | historyserver.web.port | 8082 | TLS | emr-7.3.0\+ | 
| Servidor REST do gerenciador de trabalhos | rest.bind-port<br />rest.port | Dinâmico | TLS | emr-7.3.0\+ | 

## HBase
<a name="emr-encryption-support-matrix-hbase"></a>

 O Amazon EMR define o [Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) como `privacy`. HMaster e RegionServer use criptografia SASL-based em trânsito. Isso requer que a autenticação do Kerberos esteja habilitada na configuração de segurança. 

O Amazon EMR define `hbase.ssl.enabled` como verdadeiro e usa TLS para endpoints de interface do usuário. Se não quiser usar o TLS para endpoints da interface do usuário, desabilite essa configuração. Recomendamos usar a configuração padrão para obter a segurança máxima.

O Amazon EMR define `hbase.rest.ssl.enabled` e `hbase.thrift.ssl.enabled` e usa TLS para os endpoints do servidor REST e Thrift, respectivamente. Se não quiser usar o TLS para esses endpoints, desabilite essa configuração. Recomendamos usar a configuração padrão para obter a segurança máxima.

A partir do EMR 7.6.0, o TLS é suportado no HMaster e nos endpoints. RegionServer O Amazon EMR também define `hbase.server.netty.tls.enabled` e `hbase.client.netty.tls.enabled`. Se não quiser usar o TLS para esses endpoints, desabilite essa configuração. Recomendamos usar a configuração padrão, que fornece criptografia e, portanto, maior segurança. Para saber mais, consulte [Transport Level Security (TLS) na comunicação RPC do HBase](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication), no *Guia de Referência do Apache HBase*. 


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| HMaster | HMaster | 16000 | SASL \+ Kerberos<br />TLS | SASL \+ Kerberos in emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+ e emr-7.0.0\+<br />TLS no emr-7.6.0\+ | 
| HMaster | HMaster UI | 16010 | TLS | emr-7.3.0\+ | 
| RegionServer | RegionServer | 16020 | SASL \+ Kerberos<br />TLS | SASL \+ Kerberos in emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+ e emr-7.0.0\+<br />TLS no emr-7.6.0\+ | 
| RegionServer | RegionServer Informações | 16030 | TLS | emr-7.3.0\+ | 
| Servidor REST do HBase | Servidor REST | 8070 | TLS | emr-7.3.0\+ | 
| Servidor REST do HBase | Interface do usuário REST | 8085 | TLS | emr-7.3.0\+ | 
| Servidor Thrift do Hbase | Servidor Thrift | 9090 | TLS | emr-7.3.0\+ | 
| Servidor Thrift do Hbase | Interface do usuário do servidor Thrift | 9095 | TLS | emr-7.3.0\+ | 

## Phoenix
<a name="emr-encryption-support-matrix-phoenix"></a>

 Se você habilitou a criptografia em trânsito no cluster do EMR, o Phoenix Query Server será compatível com a propriedade `phoenix.queryserver.tls.enabled` do TLS, que é definida como `true` por padrão. 

Para saber mais, consulte [Configurations relating to HTTPS](https://phoenix.apache.org/docs/features/query-server#query-server-configuration) na documentação do Phoenix Query Server.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Query Server | phoenix.queryserver.http.port | 8765 | TLS | emr-7.3.0\+ | 

## Oozie
<a name="emr-encryption-support-matrix-oozie"></a>

[OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673)está disponível no Amazon EMR se você executar o Oozie no Amazon EMR 7.3.0 e superior. Se precisar configurar protocolos SSL ou TLS personalizados ao executar uma ação de e-mail, você pode definir a propriedade `oozie.email.smtp.ssl.protocols` no arquivo `oozie-site.xml`. Por padrão, se você habilitou a criptografia em trânsito, o Amazon EMR usa o protocolo TLS v1.3.

[OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677)e também [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674)estão disponíveis no Amazon EMR se você executar o Oozie no Amazon EMR 7.3.0 e superior. Isso permite que você especifique as propriedades `keyStoreType` e `trustStoreType` a entrada`oozie-site.xml`. OOZIE-3674 adiciona o parâmetro `--insecure` ao cliente Oozie para que ele possa ignorar os erros do certificado.

O Oozie impõe a verificação do nome de host TLS, o que significa que qualquer certificado usado para criptografia em trânsito deve atender aos requisitos de verificação do nome de host. Se o certificado não atender aos critérios, o cluster pode ficar preso no estágio `oozie share lib update` quando o Amazon EMR provisiona o cluster. Recomendamos que você atualize seus certificados para garantir que eles estejam em conformidade com a verificação do nome de host. No entanto, se você não conseguir atualizar os certificados, poderá desabilitar o SSL para o Oozie definindo a propriedade `oozie.https.enabled` como `false` na configuração do cluster. 


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| EmbeddedOozieServer | oozie.https.port | 11443 | TLS | emr-7.3.0\+ | 
| EmbeddedOozieServer | oozie.email.smtp.port | 25 | TLS | emr-7.3.0\+ | 

## Hue
<a name="emr-encryption-support-matrix-hue"></a>

Por padrão, o Hue oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Hue, consulte [Configurar o Hue com HTTPS/SSL](https://gethue.com/configure-hue-with-https-ssl/). 


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Hue | http\_port | 888 | TLS | emr-7.4.0\+ | 

## Livy
<a name="emr-encryption-support-matrix-livy"></a>

Por padrão, o Livy oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Livy, consulte [Habilitar o HTTPS com o Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).

A partir do Amazon EMR 7.3.0, se você usar criptografia em trânsito e autenticação do Kerberos, não poderá usar o servidor Livy para aplicações Spark que dependem do metastore Hive. Esse problema foi corrigido [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340)e totalmente resolvido [SPARK-44114](https://issues.apache.org/jira/browse/SPARK-44114)quando o aplicativo Spark de código aberto puder ser atualizado para o Hive 3. Enquanto isso, você pode contornar esse problema definindo `hive.metastore.use.SSL` como `false`. Para obter mais informações, consulte [Configure applications](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).

Para obter mais informações, consulte [como habilitar o HTTPS com o Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| livy-server | livy.server.port | 8998 | TLS | emr-7.4.0\+ | 

## JupyterEnterpriseGateway
<a name="emr-encryption-matrix-jupyter-enterprise"></a>

Por padrão, o Jupyter Enterprise Gateway oferece suporte a TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações sobre as configurações do Jupyter Enterprise Gateway, consulte [Proteção do Enterprise Gateway Server](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server).


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| jupyter\_enterprise\_gateway | c. EnterpriseGatewayApp.port | 9547 | TLS | emr-7.4.0\+ | 

## JupyterHub
<a name="emr-encryption-matrix-jupyter-hub"></a>

Por padrão, é JupyterHub compatível com TLS quando a criptografia em trânsito está habilitada nos clusters do Amazon EMR. Para obter mais informações, consulte [Habilitar a criptografia SSL](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption) na JupyterHub documentação. Não é recomendável desabilitar a criptografia. 


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| jupyter\_hub | c. JupyterHub.port | 9443 | TLS | emr-5.14.0\+, emr-6.0.0\+, emr-7.0.0\+ | 

## Zeppelin
<a name="emr-encryption-matrix-zeppelin"></a>

 Por padrão, o Zeppelin é compatível com TLS ao habilitar a criptografia em trânsito no cluster do EMR. Para obter mais informações sobre as configurações do Zeppelin, consulte [ SSL Configuration](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration) na documentação do Zeppelin. 


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| zeppelin | zeppelin.server.ssl.port | 8890 | TLS | 7.3.0\+ | 

## Zookeeper
<a name="emr-encryption-matrix-zookeeper"></a>

O Amazon EMR define `serverCnxnFactory` como `org.apache.zookeeper.server.NettyServerCnxnFactory` para habilitar o TLS para o quorum do Zookeeper e a comunicação com o cliente.

`secureClientPort` especifica a porta que escuta as conexões TLS. Se o cliente não oferecer suporte para conexões TLS com o Zookeeper, os clientes poderão se conectar à porta não segura 2181 especificada em `clientPort`. Você pode substituir ou desabilitar essas duas portas.

O Amazon EMR define `sslQuorum` e `admin.forceHttps` como `true` para habilitar a comunicação TLS para o quórum e o servidor administrativo. Se não quiser criptografia em trânsito para o quórum e o servidor de administração, você pode desabilitar essas configurações. Recomendamos usar as configurações padrão para obter a segurança máxima.

Para obter mais informações, consulte [Opções de criptografia, autenticação e autorização](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions), na documentação do Zookeeper.


| Componente | Endpoint | Porta | In-Transit Mecanismo de criptografia | Com suporte da versão | 
| --- | --- | --- | --- | --- | 
| Zookeeper Server | seguro ClientPort | 2281 | TLS | emr-7.4.0\+ | 
| Zookeeper Server | Portas de quórum | Existem 2:<br />Os seguidores usam 2888 para se conectar ao líder.<br />A eleição do líder usa 3888 | TLS | emr-7.4.0\+ | 
| Zookeeper Server | admin.serverPort | 8341 | TLS | emr-7.4.0\+ |