EMRStudio-Benutzer zuweisen und verwalten - Amazon EMR
Benutzer zuweisenBenutzerberechtigungen aktualisierenBenutzer entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EMRStudio-Benutzer zuweisen und verwalten

Nachdem Sie ein EMR Studio erstellt haben, können Sie ihm Benutzer und Gruppen zuweisen. Die Methode, mit der Sie Benutzer zuweisen, aktualisieren und entfernen, hängt vom Studio-Authentifizierungsmodus ab.

  • Wenn Sie den IAM Authentifizierungsmodus verwenden, konfigurieren Sie die EMR Studio-Benutzerzuweisung und -berechtigungen in IAM oder mit IAM Ihrem Identitätsanbieter.

  • Im IAM Identity Center-Authentifizierungsmodus verwenden Sie die Amazon EMR Management Console oder die AWS CLI , um Benutzer zu verwalten.

Weitere Informationen zur Authentifizierung für Amazon EMR Studio finden Sie unterWählen Sie einen Authentifizierungsmodus für Amazon EMR Studio.

Weisen Sie einem EMR Studio einen Benutzer oder eine Gruppe zu

IAM

Wenn Sie es verwendenIAMAuthentifizierungsmodus für Amazon EMR Studio einrichten, müssen Sie die CreateStudioPresignedUrl Aktion in der IAM Berechtigungsrichtlinie eines Benutzers zulassen und den Benutzer auf ein bestimmtes Studio beschränken. Sie können CreateStudioPresignedUrl in Ihre eigene Benutzerberechtigungen für den IAM-Authentifizierungsmodus aufnehmen oder eine separate Richtlinie verwenden.

Um einen Benutzer auf ein Studio (oder eine Gruppe von Studios) zu beschränken, können Sie die attributebasierte Zugriffskontrolle (ABAC) verwenden oder den Amazon-Ressourcennamen (ARN) eines Studios im Resource Element der Berechtigungsrichtlinie angeben.

Beispiel Weisen Sie mithilfe eines Studios einen Benutzer einem Studio zu ARN

Die folgende Beispielrichtlinie gewährt einem Benutzer Zugriff auf ein bestimmtes EMR Studio, indem sie die CreateStudioPresignedUrl Aktion zulässt und den Amazon-Ressourcennamen (ARN) des Studios im Resource Element angibt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}
Beispiel Weisen Sie einen Benutzer ABAC zur IAM Authentifizierung einem Studio mit zu

Es gibt mehrere Möglichkeiten, die attributbasierte Zugriffskontrolle (ABAC) für ein Studio zu konfigurieren. Sie können beispielsweise einem EMR Studio ein oder mehrere Tags zuordnen und dann eine IAM Richtlinie erstellen, die die CreateStudioPresignedUrl Aktion auf ein bestimmtes Studio oder eine Gruppe von Studios mit diesen Tags beschränkt.

Sie können Tags während oder nach der Erstellung von Studio hinzufügen. Verwenden Sie den Befehl AWS CLIemr add-tags, um Tags zu einem bestehenden Studio hinzuzufügen. Im folgenden Beispiel wird einem Studio ein Tag mit dem Schlüssel-Wert-Paar Team = Data Analytics hinzugefügt. EMR 

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

Das folgende Beispiel für eine Berechtigungsrichtlinie ermöglicht die CreateStudioPresignedUrl Aktion für EMR Studios mit dem Schlüssel-Wert-Paar des Tags. Team = DataAnalytics Weitere Informationen zur Verwendung von Tags zur Zugriffssteuerung finden Sie unter Zugriffskontrolle für Benutzer und Rollen mithilfe von Tags oder Zugriffskontrolle auf AWS -Ressourcen mithilfe von Tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}
Beispiel Weisen Sie einem Studio mithilfe des SourceIdentity globalen Bedingungsschlüssels aws: einen Benutzer zu

Wenn Sie den IAM Verbund verwenden, können Sie den globalen Bedingungsschlüssel aws:SourceIdentity in einer Berechtigungsrichtlinie verwenden, um Benutzern Zugriff auf Studio zu gewähren, wenn sie Ihre IAM Rolle für den Verbund übernehmen.

Sie müssen zunächst Ihren Identitätsanbieter (IdP) so konfigurieren, dass er eine identifizierende Zeichenfolge zurückgibt, z. B. eine E-Mail-Adresse oder einen Benutzernamen, wenn sich ein Benutzer authentifiziert und Ihre IAM Rolle für den Verbund übernimmt. IAMsetzt den globalen Bedingungsschlüssel aws:SourceIdentity auf die identifizierende Zeichenfolge, die von Ihrem IdP zurückgegeben wurde.

Weitere Informationen finden Sie im Blogbeitrag Wie man IAM Rollenaktivitäten mit Corporate Identity in Beziehung setzt im AWS Security Blog und im SourceIdentity Eintrag aws: in der Referenz zu globalen Bedingungsschlüsseln.

Die folgende Beispielrichtlinie ermöglicht die CreateStudioPresignedUrl Aktion und gibt Benutzern eineaws:SourceIdentity, die der <example-source-identity> Zugriff auf das EMR Studio, angegeben durch <example-studio-arn>.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}
IAM Identity Center

Wenn Sie einem EMR Studio einen Benutzer oder eine Gruppe zuweisen, geben Sie eine Sitzungsrichtlinie an, die detaillierte Berechtigungen für diesen Benutzer oder diese Gruppe definiert, z. B. die Möglichkeit, einen neuen EMR Cluster zu erstellen. Amazon EMR speichert diese Zuordnungen von Sitzungsrichtlinien. Sie können die Sitzungsrichtlinie eines Benutzers oder einer Gruppe nach der Zuweisung aktualisieren.

Anmerkung

Die endgültigen Berechtigungen für einen Benutzer oder eine Gruppe stellen eine Schnittmenge zwischen den in Ihrer EMR Studio-Benutzerrolle definierten Berechtigungen und den in der Sitzungsrichtlinie für diesen Benutzer oder diese Gruppe definierten Berechtigungen dar. Wenn ein Benutzer zu mehr als einer Gruppe gehört, die dem Studio zugewiesen ist, verwendet EMR Studio eine Kombination von Berechtigungen für diesen Benutzer.

So weisen Sie einem EMR Studio mithilfe der EMR Amazon-Konsole Benutzer oder Gruppen zu

  1. Navigieren Sie zur neuen EMR Amazon-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMRStudio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Wählen Sie die Benutzer hinzufügen um die Suchtabelle Benutzer und Gruppen anzuzeigen.

  5. Wählen Sie die Registerkarte Benutzer oder die Registerkarte Gruppen und geben Sie einen Suchbegriff in die Suchleiste ein, um einen Benutzer oder eine Gruppe zu finden.

  6. Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Suchergebnisliste aus. Sie können zwischen der Registerkarte Benutzer und der Registerkarte Gruppen hin- und herwechseln.

  7. Nachdem Sie Benutzer und Gruppen ausgewählt haben, die Sie dem Studio hinzufügen möchten, wählen Sie Hinzufügen. Sie sollten sehen, dass die Benutzer und Gruppen in der Studio-Benutzerliste angezeigt werden. Es kann einige Sekunden dauern, bis die Liste aktualisiert wird.

  8. Folgen Sie den Anweisungen unter Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist, um die Studio-Berechtigungen für einen Benutzer oder eine Gruppe zu verfeinern.

Um einem EMR Studio einen Benutzer oder eine Gruppe zuzuweisen, verwenden Sie AWS CLI

Fügen Sie Ihre eigenen Werte für die folgenden create-studio-session-mapping-Argumente ein. Weitere Informationen über den Befehl create-studio-session-mapping finden Sie unter AWS CLI -Befehlsreferenz.

  • --studio-id – Die ID des Studios, dem Sie den Benutzer oder die Gruppe zuweisen möchten. Anleitungen zum Abrufen einer Studio-ID finden Sie unter Studio-Details anzeigen.

  • --identity-name – Der Name des Benutzers oder der Gruppe aus dem Identitätsspeicher. Weitere Informationen finden Sie unter UserNameFür Benutzer und DisplayNamefür Gruppen in der Identity API Store-Referenz.

  • --identity-type – Verwenden Sie entweder USER oder GROUP, um den Identitätstyp anzugeben.

  • --session-policy-arn— Der Amazon-Ressourcenname (ARN) für die Sitzungsrichtlinie, die Sie dem Benutzer oder der Gruppe zuordnen möchten. Beispiel, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Weitere Informationen finden Sie unter Erstellen Sie Berechtigungsrichtlinien für EMR Studio-Benutzer.

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
Anmerkung

Linux-Zeilenfortsetzungszeichen (\) sind aus Gründen der Lesbarkeit enthalten. Sie können entfernt oder in Linux-Befehlen verwendet werden. Entfernen Sie sie unter Windows oder ersetzen Sie sie durch ein Caret-Zeichen (^).

Verwenden Sie den get-studio-session-mapping-Befehl, um die neue Zuweisung zu überprüfen. Ersetzen <example-identity-name> mit dem IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist

IAM

Um Benutzer- oder Gruppenberechtigungen zu aktualisieren, wenn Sie den IAM Authentifizierungsmodus verwendenIAM, können Sie die IAM Berechtigungsrichtlinien ändern, die Ihren IAM Identitäten (Benutzern, Gruppen oder Rollen) zugeordnet sind.

Weitere Informationen finden Sie unter Benutzerberechtigungen für den IAM-Authentifizierungsmodus.

IAM Identity Center
So aktualisieren Sie die EMR Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der Konsole

  1. Navigieren Sie zur neuen EMR Amazon-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMRStudio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Suchen Sie in der Studio-Benutzerliste auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aktualisieren möchten. Sie können nach Namen oder Identitätstyp suchen.

  5. Wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie aktualisieren möchten, und wählen Sie Richtlinie zuweisen, um das Dialogfeld Sitzungsrichtlinie zu öffnen.

  6. Wählen Sie eine Richtlinie aus, die auf den Benutzer oder die Gruppe angewendet werden soll, den Sie in Schritt 5 ausgewählt haben, und klicken Sie dann auf Richtlinie anwenden. In der Liste Studio-Benutzer sollte der Richtlinienname in der Spalte Sitzungsrichtlinie für den Benutzer oder die Gruppe angezeigt werden, den Sie aktualisiert haben.

Um die EMR Studio-Berechtigungen für einen Benutzer oder eine Gruppe mit dem zu aktualisieren AWS CLI

Fügen Sie Ihre eigenen Werte für die folgenden update-studio-session-mappings-Argumente ein. Weitere Informationen über den Befehl update-studio-session-mappings finden Sie unter AWS CLI -Befehlsreferenz.

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Verwenden Sie den get-studio-session-mapping-Befehl, um die neue Zuweisung der Sitzungsrichtlinie zu überprüfen. Ersetzen <example-identity-name> mit dem IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Einen Benutzer oder eine Gruppe aus einem Studio entfernen

IAM

Um einen Benutzer oder eine Gruppe aus einem EMR Studio zu entfernen, wenn Sie den IAM Authentifizierungsmodus verwenden, müssen Sie dem Benutzer den Zugriff auf das Studio entziehen, indem Sie die IAM Berechtigungsrichtlinie des Benutzers neu konfigurieren.

Gehen Sie in der folgenden Beispielrichtlinie davon aus, dass Sie über ein EMR Studio mit dem Schlüssel-Wert-Paar des Tags verfügen. Team = Quality Assurance Gemäß der Richtlinie kann der Benutzer auf Studios zugreifen, die mit dem Team-Schlüssel gekennzeichnet sind, dessen Wert entweder Data Analytics oder Quality Assurance entspricht. Um den Benutzer aus dem Studio zu entfernen, das mit Team = Quality Assurance markiert ist, entfernen Sie Quality Assurance aus der Liste der Tag-Werte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}
IAM Identity Center
Um einen Benutzer oder eine Gruppe mithilfe der Konsole aus einem EMR Studio zu entfernen

  1. Navigieren Sie zur neuen EMR Amazon-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMRStudio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Suchen Sie in der Liste Studio-Benutzer auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aus dem Studio entfernen möchten. Sie können nach Namen oder Identitätstyp suchen.

  5. Wählen Sie den Benutzer oder die Gruppe aus, die Sie löschen möchten, wählen Sie Löschen und bestätigen Sie das Löschen. Der Benutzer oder die Gruppe, den Sie gelöscht haben, verschwindet aus der Liste Studio-Benutzer.

Um einen Benutzer oder eine Gruppe aus einem EMR Studio zu entfernen, verwenden Sie AWS CLI

Fügen Sie Ihre eigenen Werte für die folgenden delete-studio-session-mapping-Argumente ein. Weitere Informationen über den Befehl delete-studio-session-mapping finden Sie unter AWS CLI -Befehlsreferenz.

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \