Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erste Schritte mit der AWS IAM Identity Center Integration für Amazon EMR
Dieser Abschnitt hilft Ihnen bei der Konfiguration von Amazon EMR für die Integration mit AWS IAM Identity Center.
Themen
- Eine Identity-Center-Instance erstellen
- Erstellen Sie eine IAM Rolle für Identity Center
- Eine Identity-Center-fähige Sicherheitskonfiguration erstellen
- Einen Identity-Center-fähigen Cluster erstellen und starten
- Lake Formation für einen IAM Identity Center-fähigen EMR Cluster konfigurieren
- Arbeiten mit S3 Access Grants auf einem IAM Identity Center-fähigen EMR Cluster
Eine Identity-Center-Instance erstellen
Wenn Sie noch keine haben, erstellen Sie dort, AWS-Region wo Sie Ihren EMR Cluster starten möchten, eine Identity Center-Instance. Eine Identity-Center-Instance kann nur in einer einzigen Region für ein AWS-Konto existieren.
Verwenden Sie den folgenden AWS CLI Befehl, um eine neue Instanz mit dem Namen zu erstellen
:MyInstance
aws sso-admin create-instance --name
MyInstance
Erstellen Sie eine IAM Rolle für Identity Center
Um Amazon zu EMR integrieren AWS IAM Identity Center, erstellen Sie eine IAM Rolle, die sich über den EMR Cluster bei Identity Center authentifiziert. Unter der Haube EMR verwendet Amazon SigV4 Anmeldeinformationen, um die Identity Center-Identität an nachgelagerte Dienste weiterzuleiten, wie AWS Lake Formation z. Ihre Rolle sollte auch über die entsprechenden Berechtigungen zum Aufrufen der nachgelagerten Services verfügen.
Verwenden Sie die folgende Berechtigungsrichtlinie zum Erstellen der Rolle:
{ "Statement": [ { "Sid": "IdCPermissions", "Effect": "Allow", "Action": [ "sso-oauth:*" ], "Resource": "*" }, { "Sid": "GlueandLakePermissions", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" }, { "Sid": "AccessGrantsPermissions", "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ], "Resource": "*" } ] }
Die Vertrauensrichtlinie für diese Rolle ermöglicht es der InstanceProfile-Rolle, sie die Rolle übernehmen zu lassen.
{ "Sid": "AssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] }
Wenn die Rolle keine vertrauenswürdigen Anmeldeinformationen hat und auf eine durch Lake Formation geschützte Tabelle zugreift, setzt Amazon den Wert principalId
der angenommenen Rolle EMR automatisch auf.
Im Folgenden finden Sie einen Auszug aus einem Ereignis, das den anzeigt. CloudTrail userID
-untrustedprincipalId
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted", "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted", "accountId": "123456789012", "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3" ...
Eine Identity-Center-fähige Sicherheitskonfiguration erstellen
Um einen EMR Cluster mit IAM Identity Center-Integration zu starten, verwenden Sie den folgenden Beispielbefehl, um eine EMR Amazon-Sicherheitskonfiguration zu erstellen, für die Identity Center aktiviert ist. Jede Konfiguration wird im Folgenden erklärt.
aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{ "AuthenticationConfiguration":{ "IdentityCenterConfiguration":{ "EnableIdentityCenter":true, "IdentityCenterApplicationAssigmentRequired":false, "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789", "IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role" } }, "AuthorizationConfiguration": { "LakeFormationConfiguration": { "EnableLakeFormation": true } }, "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": false, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "s3://my-bucket/cert/my-certs.zip" } } } }'
-
EnableIdentityCenter
– (erforderlich) Aktiviert die Identity-Center-Integration. -
IdentityCenterApplicationARN
— (erforderlich) Die Identity Center-InstanzARN. -
IAMRoleForEMRIdentityCenterApplicationARN
— (erforderlich) Die IAM Rolle, die Identity Center-Token aus dem Cluster beschafft. -
IdentityCenterApplicationAssignmentRequired
– (boolean) Legt fest, ob für die Nutzung der Identity-Center-Anwendung eine Zuweisung erforderlich ist. Der Standardwert isttrue
. -
AuthorizationConfiguration
/LakeFormationConfiguration
— Konfigurieren Sie optional die Autorisierung:-
EnableLakeFormation
– Aktivieren Sie die Lake-Formation-Autorisierung auf dem Cluster.
-
Um die Identity Center-Integration mit Amazon zu aktivierenEMR, müssen Sie EncryptionConfiguration
und angebenIntransitEncryptionConfiguration
.
Einen Identity-Center-fähigen Cluster erstellen und starten
Nachdem Sie nun die IAM Rolle eingerichtet haben, die sich bei Identity Center authentifiziert, und eine EMR Amazon-Sicherheitskonfiguration erstellt haben, für die Identity Center aktiviert ist, können Sie Ihren identitätsbewussten Cluster erstellen und starten. Schritte zum Starten Ihres Clusters mit der erforderlichen Sicherheitskonfiguration finden Sie unter Angabe einer Sicherheitskonfiguration für einen Cluster.
Lesen Sie optional den folgenden Abschnitt, wenn Sie Ihren Identity Center-fähigen Cluster mit anderen Sicherheitsoptionen verwenden möchten, die Amazon EMR unterstützt: