本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 适用于 Apache Ranger 的 Amazon EMR 组件 Amazon EMR 通过以下组件支持 Apache Ranger 的精细访问控制。有关这些 Amazon EMR 组件与 Apache Ranger 插件的可视化表示,请参阅[架构图](emr-ranger-architecture.md)。 **私有代理**:私有代理安全存储密钥并将密钥分发到其它 Amazon EMR 组件或应用程序。密钥可以包括临时用户凭证、加密密钥或 Kerberos 票证。私有代理在集群中的每个节点上运行并拦截对实例元数据服务的调用。对于对实例配置文件角色凭证的请求,在使用 EMRFS S3 Ranger 插件授权请求后,私有代理根据请求用户和请求的资源提供凭证。秘密代理以*`emrsecretagent`*用户身份运行,并将日志写入/ emr/secretagent/log 目录。该过程依赖于一组特定 `iptables` 规则来发挥作用。务必要确保 `iptables` 没有被禁用。如果您自定义 `iptables` 配置,则必须保留 NAT 表规则并保持不变。 **EMR 记录服务器**:记录服务器接收从 Spark 访问数据的请求。然后,它通过将请求的资源转发到适用于 Amazon EMR 的 Spark Ranger 插件来授权请求。记录服务器从 Amazon S3 读取数据,并根据 Ranger 策略返回用户有权访问的筛选数据。记录服务器以 emr\$1record\$1server 用户的身份在群集中的每个节点上运行,并将日志写入/-record-server 目录。var/log/emr