编辑“︁Apache Hadoop云端安全”︁（章节）

== 核心安全机制 ==  

=== 1. 身份认证与授权 ===  
Hadoop云端安全依赖以下技术实现身份验证：  
* '''Kerberos''': 用于强身份认证的协议。  
* '''IAM（身份和访问管理）''': 云平台提供的权限管理系统。  

示例：AWS EMR（Elastic MapReduce）中配置IAM角色限制Hadoop访问权限：  
<syntaxhighlight lang="bash">  
# 创建IAM策略限制S3访问  
{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": ["s3:GetObject"],  
      "Resource": ["arn:aws:s3:::my-secure-bucket/*"]  
    }  
  ]  
}  
</syntaxhighlight>  

=== 2. 数据加密 ===  
* '''传输加密''': 使用TLS/SSL保护节点间通信。  
* '''静态加密''': 通过云存储服务（如AWS KMS）加密HDFS数据。  

示例：在Hadoop配置中启用HDFS静态加密：  
<syntaxhighlight lang="xml">  
<!-- core-site.xml -->  
<property>  
  <name>hadoop.security.crypto.codec</name>  
  <value>org.apache.hadoop.crypto.AesCtrCryptoCodec</value>  
</property>  
</syntaxhighlight>  

=== 3. 网络隔离 ===  
使用云平台的VPC（虚拟私有云）和网络安全组限制流量：  
<mermaid>  
graph LR  
  A[Client] -->|HTTPS only| B(VPC)  
  B --> C[Master Node]  
  B --> D[Worker Node]  
  C & D -->|Internal TLS| E[Cloud Storage]  
</mermaid>