Wählen Sie einen Authentifizierungsmodus für Amazon EMR Studio - Amazon EMR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen Sie einen Authentifizierungsmodus für Amazon EMR Studio

EMRStudio unterstützt zwei Authentifizierungsmodi: den IAM Authentifizierungsmodus und den IAM Identity Center-Authentifizierungsmodus. IAMDer Modus verwendet AWS Identity and Access Management (IAM), während der IAM Identity Center-Modus verwendet AWS IAM Identity Center. Wenn Sie ein EMR Studio erstellen, wählen Sie den Authentifizierungsmodus für alle Benutzer dieses Studios. Weitere Informationen zu diesen verschiedenen Authentifizierungsmodi finden Sie unter Authentifizierung und Benutzeranmeldung.

Verwenden Sie die folgende Tabelle, um einen Authentifizierungsmodus für EMR Studio auszuwählen.

Wenn Sie … Wir empfehlen...
Sie kennen sich bereits mit IAM Authentifizierung oder Verbund aus oder haben diese eingerichtet

IAMAuthentifizierungsmodus, welches die folgenden Vorteile bietet:

  • Bietet eine schnelle Einrichtung für EMR Studio, wenn Sie bereits Identitäten wie Benutzer und Gruppen in IAM verwalten.

  • Funktioniert mit Identitätsanbietern, die mit OpenID Connect (OIDC) oder Security Assertion Markup Language 2.0 (SAML2.0) kompatibel sind.

  • Unterstützt die Verwendung mehrerer Identitätsanbieter mit demselben AWS-Konto.

  • Verfügbar in einer Vielzahl von. AWS-Regionen

  • Konform mit SOC 2.

Neu bei AWS Amazon EMR

IAMIdentity Center-Authentifizierungsmodus, welches die folgenden Features bietet:

  • Unterstützt die einfache Zuweisung von Benutzern und Gruppen zu AWS Ressourcen.

  • Funktioniert mit Microsoft Active Directory und SAML 2.0-Identitätsanbietern.

  • Erleichtert die Einrichtung eines Verbunds für mehrere Konten, sodass Sie den Verbund nicht für jedes Konto AWS-Konto in Ihrer Organisation separat konfigurieren müssen.

IAMAuthentifizierungsmodus für Amazon EMR Studio einrichten

Im IAM Authentifizierungsmodus können Sie entweder die IAM Authentifizierung oder den IAM Verbund verwenden. IAMMit der Authentifizierung können Sie IAM Identitäten wie Benutzer, Gruppen und Rollen in IAM verwalten. Sie gewähren Benutzern Zugriff auf ein Studio mit IAM Berechtigungsrichtlinien und attributbasierter Zugriffskontrolle (). ABAC IAMMit einem Verbund können Sie Vertrauen zwischen einem externen Identitätsanbieter (IdP) aufbauen AWS und Benutzeridentitäten über Ihren IdP verwalten.

Anmerkung

Wenn Sie IAM den Zugriff auf AWS Ressourcen bereits steuern oder Ihren Identitätsanbieter (IdP) bereits für konfiguriert haben, finden Sie weitere Informationen unter Benutzerberechtigungen für den IAM-Authentifizierungsmodus So legen Sie Benutzerberechtigungen festIAM, wenn Sie den IAM Authentifizierungsmodus für EMR Studio verwenden.

Verwenden Sie den IAM Verbund für Amazon EMR Studio

Um den IAM Verbund für EMR Studio zu verwenden, erstellen Sie eine Vertrauensbeziehung zwischen Ihnen AWS-Konto und Ihrem Identitätsanbieter (IdP) und ermöglichen Verbundbenutzern den Zugriff auf. AWS Management Console Die Schritte, die Sie zum Aufbau dieser Vertrauensbeziehung ergreifen, hängen vom Verbundstandard Ihres IdP ab.

Im Allgemeinen führen Sie die folgenden Aufgaben aus, um den Verbund mit einem externen IdP zu konfigurieren. Vollständige Anweisungen finden Sie unter Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console und Aktivieren des benutzerdefinierten Identity Broker-Zugriffs auf das AWS Management ConsoleAWS Identity and Access Management im Benutzerhandbuch.

  1. Sammeln Sie Informationen von Ihrem IdP. Dies bedeutet in der Regel die Generierung eines Metadatendokuments, um SAML Authentifizierungsanfragen von Ihrem IdP zu validieren.

  2. Erstellen Sie eine IAM Identitätsanbieter-Entität, um Informationen über Ihren IdP zu speichern. Anweisungen finden Sie unter IAMIdentitätsanbieter erstellen.

  3. Erstellen Sie eine oder mehrere IAM Rollen für Ihren IdP. EMRStudio weist einem Verbundbenutzer eine Rolle zu, wenn sich der Benutzer anmeldet. Die Rolle ermöglicht es dem Identitätsanbieter, temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS anzufordern. Anweisungen finden Sie unter Erstellen einer Rolle für einen Drittanbieter-Identitätsanbieter (Verbund). Die Berechtigungsrichtlinien, die Sie der Rolle zuweisen, bestimmen, was Verbundbenutzer in AWS und in einem Studio tun können. EMR Weitere Informationen finden Sie unter Benutzerberechtigungen für den IAM-Authentifizierungsmodus.

  4. (Für SAML Anbieter) Vervollständigen Sie die SAML Vertrauensstellung, indem Sie Ihren IdP mit Informationen zu AWS und den Rollen konfigurieren, die Verbundbenutzer annehmen sollen. Dieser Konfigurationsprozess schafft Vertrauen zwischen Ihrem IdP und AWS. Weitere Informationen finden Sie unter Konfiguration Ihres SAML 2.0-IdP mit dem Vertrauen der vertrauenden Partei und Hinzufügen von Ansprüchen.

Um ein EMR Studio als SAML Anwendung in Ihrem IdP-Portal zu konfigurieren

Sie können ein bestimmtes EMR Studio über einen Deep-Link zum Studio als SAML Anwendung konfigurieren. Auf diese Weise können sich Benutzer bei Ihrem IdP-Portal anmelden und ein bestimmtes Studio starten, anstatt durch die EMR Amazon-Konsole zu navigieren.

  • Verwenden Sie das folgende Format, um einen Deep-Link zu Ihrem EMR Studio als Landing URL nach der SAML Bestätigung der Bestätigung zu konfigurieren.

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

IAMIdentity Center-Authentifizierungsmodus für Amazon EMR Studio einrichten

Um sich auf EMR Studio AWS IAM Identity Center vorzubereiten, müssen Sie Ihre Identitätsquelle konfigurieren und Benutzer und Gruppen bereitstellen. Bei der Bereitstellung werden Benutzer- und Gruppeninformationen für Identity Center und Anwendungen, die IAM Identity Center verwendenIAM, zur Verfügung gestellt. Weitere Informationen finden Sie unter Benutzer- und Gruppenbereitstellung.

EMRStudio unterstützt die Verwendung der folgenden Identitätsanbieter für IAM Identity Center:

So richten Sie IAM Identity Center für Studio ein EMR
  1. Um IAM Identity Center for EMR Studio einzurichten, benötigen Sie Folgendes:

    • Ein Verwaltungskonto in Ihrer AWS Organisation, wenn Sie mehrere Konten in Ihrer Organisation verwenden.

      Anmerkung

      Sie sollten Ihr Verwaltungskonto nur verwenden, um IAM Identity Center zu aktivieren und Benutzer und Gruppen bereitzustellen. Nachdem Sie IAM Identity Center eingerichtet haben, verwenden Sie ein Mitgliedskonto, um ein EMR Studio zu erstellen und Benutzer und Gruppen zuzuweisen. Weitere Informationen zur AWS Terminologie finden Sie unter AWS Organizations Terminologie und Konzepte.

    • Wenn Sie IAM Identity Center vor dem 25. November 2019 aktiviert haben, müssen Sie möglicherweise Anwendungen aktivieren, die IAM Identity Center für die Konten in Ihrer AWS Organisation verwenden. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center-integrierten Anwendungen in AWS Konten.

    • Vergewissern Sie sich, dass die Voraussetzungen auf der Seite mit den Voraussetzungen für IAMIdentity Center aufgeführt sind.

  2. Folgen Sie den Anweisungen unter IAMIdentity Center aktivieren, um IAM Identity Center dort zu aktivieren, AWS-Region wo Sie das EMR Studio erstellen möchten.

  3. Connect IAM Identity Center mit Ihrem Identitätsanbieter und stellen Sie die Benutzer und Gruppen bereit, die Sie dem Studio zuweisen möchten.

    Wenn Sie … Vorgehensweise
    Ein Microsoft-AD-Verzeichnis verwenden
    1. Folgen Sie den Anweisungen unter Connect zu Ihrem Microsoft AD-Verzeichnis herstellen, um Ihr selbstverwaltetes Active Directory oder AWS Managed Microsoft AD Verzeichnis mithilfe von AWS Directory Service zu verbinden.

    2. Um Benutzer und Gruppen für IAM Identity Center bereitzustellen, können Sie Identitätsdaten aus Ihrem Quell-AD mit IAM Identity Center synchronisieren. Sie können Identitäten aus Ihrem Quell-AD auf viele Arten synchronisieren. Eine Möglichkeit besteht darin, AD-Benutzer oder -Gruppen einem AWS -Konto in Ihrer Organisation zuzuweisen. Anweisungen finden Sie unter Single Sign-On.

      Die Synchronisation kann bis zu zwei Stunden dauern. Nach diesem Schritt werden synchronisierte Benutzer und Gruppen in Ihrem Identitätsspeicher angezeigt.

      Anmerkung

      Benutzer und Gruppen werden erst in Ihrem Identity Store angezeigt, wenn Sie Benutzer- und Gruppeninformationen synchronisieren oder die Benutzerverwaltung just-in-time (JIT) verwenden. Weitere Informationen finden Sie unter Bereitstellung, wenn Benutzer von Active Directory kommen.

    3. (Optional) Nachdem Sie AD-Benutzer und -Gruppen synchronisiert haben, können Sie ihnen den Zugriff auf Ihr AWS Konto, das Sie im vorherigen Schritt konfiguriert haben, entziehen. Anweisungen finden Sie unter Benutzerzugriff entfernen.

    Ein externer Identitätsanbieter Folgen Sie den Anweisungen unter Verbindung zu Ihrem externen Identitätsanbieter herstellen.
    Das IAM Identity Center-Verzeichnis Wenn Sie Benutzer und Gruppen in IAM Identity Center erstellen, erfolgt die Bereitstellung automatisch. Weitere Informationen finden Sie unter Identitäten in IAM Identity Center verwalten.

Sie können jetzt Benutzer und Gruppen aus Ihrem Identity Store einem EMR Studio zuweisen. Detaillierte Anweisungen finden Sie unter Weisen Sie einem EMR Studio einen Benutzer oder eine Gruppe zu.