本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Apache Livy 搭配 Amazon EMR on EKS 的安全性
請參閱下列主題,進一步了解如何使用 Amazon EMR on EKS 設定 Apache Livy 的安全性。這些選項包括使用傳輸層安全性、角色型存取控制,這是根據個人在組織內的角色進行存取,以及使用 IAM 角色,根據授予的許可提供對資源的存取。
**Topics**
+ [使用 TLS/SSL 設定安全的 Apache Livy 端點](job-runs-apache-livy-secure-endpoint.md)
+ [使用角色型存取控制 (RBAC) 設定 Apache Livy 和 Spark 應用程式許可](job-runs-apache-livy-rbac.md)
+ [使用服務帳戶的 IAM 角色設定存取許可 (IRSA)](job-runs-apache-livy-irsa.md)
# 使用 TLS/SSL 設定安全的 Apache Livy 端點
請參閱下列各節,進一步了解如何使用end-to-end TLS 和 SSL 加密為 Amazon EMR on EKS 設定 Apache Livy。
## 設定 TLS 和 SSL 加密
若要在 Apache Livy 端點上設定 SSL 加密,請遵循下列步驟。
+ [安裝 Secrets Store CSI 驅動程式和 AWS Secrets and Configuration Provider (ASCP)](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_csi_driver.html) – Secrets Store CSI Driver 和 ASCP 安全地存放 Livy 伺服器裝置啟用 SSL 所需的 Livy 的 JKS 憑證和密碼。您也可以僅安裝 Secrets Store CSI Driver,並使用任何其他支援的秘密提供者。
+ [建立 ACM 憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) – 需要此憑證才能保護用戶端與 ALB 端點之間的連線。
+ 為 - 設定 JKS 憑證、金鑰密碼和金鑰存放區密碼 AWS Secrets Manager ,以保護 ALB 端點與 Livy 伺服器之間的連線。
+ 將許可新增至 Livy 服務帳戶以從中擷取秘密 AWS Secrets Manager – Livy 伺服器需要這些許可才能從 ASCP 擷取秘密,並新增 Livy 組態以保護 Livy 伺服器。若要將 IAM 許可新增至服務帳戶,請參閱使用服務帳戶 (IRSA) 的 IAM 角色設定存取許可。
### 使用 的金鑰和金鑰存放區密碼設定 JKS 憑證 AWS Secrets Manager
請依照下列步驟,使用金鑰和金鑰存放區密碼來設定 JKS 憑證。
1. 產生 Livy 伺服器的金鑰存放區檔案。
```
keytool -genkey -alias -keyalg RSA -keysize 2048 –dname CN=,OU=hw,O=hw,L=,ST=,C= –keypass -keystore -storepass --validity 3650
```
1. 建立憑證。
```
keytool -export -alias -keystore mykeystore.jks -rfc -file mycertificate.cert -storepass
```
1. 建立信任存放區檔案。
```
keytool -import -noprompt -alias -file -keystore -storepass
```
1. 將 JKS 憑證儲存在其中 AWS Secrets Manager。將 取代`livy-jks-secret`為您的秘密,並將 `fileb://mykeystore.jks` 取代為金鑰存放區 JKS 憑證的路徑。
```
aws secretsmanager create-secret \
--name livy-jks-secret \
--description "My Livy keystore JKS secret" \
--secret-binary fileb://mykeystore.jks
```
1. 在 Secrets Manager 中儲存金鑰存放區和金鑰密碼。請務必使用您自己的參數。
```
aws secretsmanager create-secret \
--name livy-jks-secret \
--description "My Livy key and keystore password secret" \
--secret-string "{\"keyPassword\":\"\",\"keyStorePassword\":\"\"}"
```
1. 使用下列命令建立 Livy 伺服器命名空間。
```
kubectl create ns
```
1. 為具有 JKS 憑證和密碼的 Livy 伺服器建立 `ServiceProviderClass` 物件。
```
cat >livy-secret-provider-class.yaml << EOF
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-secrets
spec:
provider: aws
parameters:
objects: |
- objectName: "livy-jks-secret"
objectType: "secretsmanager"
- objectName: "livy-passwords"
objectType: "secretsmanager"
EOF
kubectl apply -f livy-secret-provider-class.yaml -n
```
## 啟用 SSL 的 Apache Livy 入門
在 Livy 伺服器上啟用 SSL 之後,您必須設定 `serviceAccount` 才能存取 `keyStore`和 `keyPasswords`秘密 AWS Secrets Manager。
1. 建立 Livy 伺服器命名空間。
```
kubectl create namespace
```
1. 設定 Livy 服務帳戶以存取 Secrets Manager 中的秘密。如需設定 IRSA 的詳細資訊,請參閱在[安裝 Apache Livy 時設定 IRSA](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-irsa.html#job-runs-apache-livy-irsa)。
```
aws ecr get-login-password \--region region-id | helm registry login \
--username AWS \
--password-stdin ECR-registry-account.dkr.ecr.region-id.amazonaws.com
```
1. 安裝 Livy。對於 Helm Chart --version 參數,請使用您的 Amazon EMR 發行標籤,例如 `7.1.0`。您也必須將 Amazon ECR 登錄帳戶 ID 和區域 ID 取代為您自己的 IDs。您可以從 AWS 區域 [Amazon ECR 登錄帳戶依區域](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/docker-custom-images-tag.html#docker-custom-images-ECR)尋找 的對應`ECR-registry-account`值。
```
helm install \
oci://895885662937.dkr.ecr.region-id.amazonaws.com/livy \
--version 7.12.0 \
--namespace livy-namespace-name \
--set image=..amazonaws.com/livy/emr-7.12.0:latest \
--set sparkNamespace=spark-namespace \
--set ssl.enabled=true
--set ssl.CertificateArn=livy-acm-certificate-arn
--set ssl.secretProviderClassName=aws-secrets
--set ssl.keyStoreObjectName=livy-jks-secret
--set ssl.keyPasswordsObjectName=livy-passwords
--create-namespace
```
1. 從[在 Amazon EMR on EKS 上安裝 Apache Livy 的步驟 ](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-setup.html#job-runs-apache-livy-install)5 繼續。
# 使用角色型存取控制 (RBAC) 設定 Apache Livy 和 Spark 應用程式許可
若要部署 Livy,Amazon EMR on EKS 會建立伺服器服務帳戶和角色,以及 Spark 服務帳戶和角色。這些角色必須具備必要的 RBAC 許可,才能完成設定並執行 Spark 應用程式。
**伺服器服務帳戶和角色的 RBAC 許可**
Amazon EMR on EKS 會建立 Livy 伺服器服務帳戶和角色,以管理 Spark 任務的 Livy 工作階段,以及將流量路由到輸入和其他資源或從中路由。
此服務帳戶的預設名稱為 `emr-containers-sa-livy`。它必須具有下列許可。
```
rules:
- apiGroups:
- ""
resources:
- "namespaces"
verbs:
- "get"
- apiGroups:
- ""
resources:
- "serviceaccounts"
"services"
"configmaps"
"events"
"pods"
"pods/log"
verbs:
- "get"
"list"
"watch"
"describe"
"create"
"edit"
"delete"
"deletecollection"
"annotate"
"patch"
"label"
- apiGroups:
- ""
resources:
- "secrets"
verbs:
- "create"
"patch"
"delete"
"watch"
- apiGroups:
- ""
resources:
- "persistentvolumeclaims"
verbs:
- "get"
"list"
"watch"
"describe"
"create"
"edit"
"delete"
"annotate"
"patch"
"label"
```
**Spark 服務帳戶和角色的 RBAC 許可**
Spark 驅動程式 Pod 需要與該 Pod 位於相同命名空間的 Kubernetes 服務帳戶。此服務帳戶需要管理執行器 Pod 和驅動程式 Pod 所需任何資源的許可。除非命名空間中的預設服務帳戶具有必要的許可,否則驅動程式會失敗並結束。需要下列 RBAC 許可。
```
rules:
- apiGroups:
- ""
"batch"
"extensions"
"apps"
resources:
- "configmaps"
"serviceaccounts"
"events"
"pods"
"pods/exec"
"pods/log"
"pods/portforward"
"secrets"
"services"
"persistentvolumeclaims"
"statefulsets"
verbs:
- "create"
"delete"
"get"
"list"
"patch"
"update"
"watch"
"describe"
"edit"
"deletecollection"
"patch"
"label"
```
# 使用服務帳戶的 IAM 角色設定存取許可 (IRSA)
根據預設,Livy 伺服器和 Spark 應用程式的驅動程式和執行程式無法存取 AWS 資源。伺服器服務帳戶和 Spark 服務帳戶控制對 Livy 伺服器和 Spark 應用程式 Pod AWS 資源的存取。若要授予存取權,您需要將服務帳戶對應至具有必要 AWS 許可的 IAM 角色。
您可以在安裝 Apache Livy 之前、安裝期間或完成安裝之後設定 IRSA 映射。
## 在安裝 Apache Livy 時設定 IRSA (適用於伺服器服務帳戶)
**注意**
只有伺服器服務帳戶才支援此映射。
1. 請確定您已完成[為 Amazon EMR on EKS 設定 Apache Livy,](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-setup.html)並且正在[搭配 Amazon EMR on EKS 安裝 Apache Livy](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-install.html)。
1. 為 Livy 伺服器建立 Kubernetes 命名空間。在此範例中,命名空間的名稱為 `livy-ns`。
1. 建立 IAM 政策,其中包含您希望 Pod 存取 AWS 服務 的 許可。下列範例會建立 IAM 政策,以取得 Spark 進入點的 Amazon S3 資源。
```
cat >my-policy.json <trust-relationship.json <
將 IRSA 映射至 Spark 服務帳戶之前,請確定您已完成下列項目:
+ 請確定您已完成[為 Amazon EMR on EKS 設定 Apache Livy,](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-setup.html)並且正在[搭配 Amazon EMR on EKS 安裝 Apache Livy](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/job-runs-apache-livy-install.html)。
+ 您必須為叢集擁有現有的 IAM OpenID Connect (OIDC) 提供者。若要查看您是否已經擁有或如何建立,請參閱[為您的叢集建立 IAM OIDC 提供者](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)。
+ 請確定您已安裝 或 的 `eksctl` CLI 版本 0.171.0 或更新版本 AWS CloudShell。若要安裝或更新 `eksctl`,請參閱[安裝](https://eksctl.io/installation/) `eksctl` 文件。
請依照下列步驟將 IRSA 映射到您的 Spark 服務帳戶:
1. 使用下列命令來取得 Spark 服務帳戶。
```
SPARK_NAMESPACE=
LIVY_APP_NAME=
kubectl --namespace $SPARK_NAMESPACE describe sa -l "app.kubernetes.io/instance=$LIVY_APP_NAME" | awk '/^Name:/ {print $2}'
```
1. 為服務帳戶的命名空間和名稱設定變數。
```
export namespace=default
export service_account=my-service-account
```
1. 使用下列命令為 IAM 角色建立信任政策檔案。下列範例會授予 命名空間內所有服務帳戶的許可,以使用 角色。若要這樣做,請將 取代`StringEquals`為 `StringLike`,並將 取代`$service_account`為 \$1。
```
cat >trust-relationship.json <