Elige un modo de autenticación para Amazon EMR Studio - Amazon EMR
IAMmodo de autenticaciónIAMModo de autenticación de Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Elige un modo de autenticación para Amazon EMR Studio

EMRStudio admite dos modos de autenticación: el modo de IAM autenticación y el modo de autenticación de IAM Identity Center. IAMel modo usa AWS Identity and Access Management (IAM), mientras que el modo IAM Identity Center usa AWS IAM Identity Center. Al crear un EMR estudio, se elige el modo de autenticación para todos los usuarios de ese estudio. Para obtener más información sobre los distintos modos de autenticación, consulte Autenticación e inicio de sesión de los usuarios.

Utilice la siguiente tabla para elegir un modo de autenticación para EMR Studio.

En caso de que... Recomendamos...
¿Ya estás familiarizado con la IAM autenticación o la federación o la has configurado anteriormente?

IAMmodo de autenticación, que ofrece los siguientes beneficios:

  • Proporciona una configuración rápida para EMR Studio si ya gestionas identidades como usuarios y gruposIAM.

  • Funciona con proveedores de identidad compatibles con OpenID Connect (OIDC) o Security Assertion Markup Language 2.0 (2.0). SAML

  • Admite el uso de varios proveedores de identidad con la misma Cuenta de AWS.

  • Disponible en un amplio número de. Regiones de AWS

  • Cumple con SOC 2.
AWS ¿Eres nuevo en Amazon? EMR

IAMModo de autenticación de Identity Center, que ofrece las siguientes características:

  • Permite una fácil asignación de AWS recursos por parte de usuarios y grupos.

  • Funciona con Microsoft Active Directory y proveedores de identidad SAML 2.0.

  • Facilita la configuración de la federación de varias cuentas para que no tenga que configurar la federación por separado para cada miembro Cuenta de AWS de la organización.

Configurar el modo de IAM autenticación para Amazon EMR Studio

Con el modo de IAM autenticación, puede utilizar la IAM autenticación o IAM la federación. IAMla autenticación le permite administrar IAM identidades como usuarios, grupos y roles enIAM. Concedes a los usuarios el acceso a un estudio con políticas de IAM permisos y un control de acceso basado en atributos () ABAC. IAMla federación le permite establecer la confianza entre un proveedor de identidades (IdP) externo y, de este AWS modo, puede administrar las identidades de los usuarios a través de su IdP.

nota

Si ya utilizas IAM para controlar el acceso a AWS los recursos, o si ya has configurado tu proveedor de identidad (IdP)IAM, consulta para configurar los permisos de usuario Permisos de usuario para el modo de autenticación de IAM al usar el modo de IAM autenticación de Studio. EMR

Utilice IAM la federación para Amazon EMR Studio

Para usar IAM la federación para EMR Studio, debe crear una relación de confianza entre usted Cuenta de AWS y su proveedor de identidad (IdP) y permitir que los usuarios federados accedan a. AWS Management Console Los pasos que debe seguir para crear esta relación de confianza varían según el estándar de federación de su IdP.

En general, debe completar las siguientes tareas para configurar la federación con un IdP externo. Para obtener instrucciones completas, consulte Habilitar el acceso de los usuarios federados SAML 2.0 AWS Management Console y Habilitar el acceso de agentes de identidad personalizados AWS Management Console en la Guía del usuario.AWS Identity and Access Management

  1. Recopile información de su IdP. Por lo general, esto implica generar un documento de metadatos para validar las solicitudes de SAML autenticación de su IdP.

  2. Cree una IAM entidad proveedora de identidad para almacenar información sobre su IdP. Para obtener instrucciones, consulte Crear proveedores de IAM identidad.

  3. Cree uno o más IAM roles para su IdP. EMRStudio asigna un rol a un usuario federado cuando el usuario inicia sesión. El rol permite al proveedor de identidades solicitar credenciales de seguridad temporales para obtener acceso a AWS. Para obtener instrucciones, consulte Creación de un rol para un proveedor de identidades de terceros (federación). Las políticas de permisos que se asignan al rol determinan lo que los usuarios federados pueden hacer en Studio AWS y dentro de él. EMR Para obtener más información, consulte Permisos de usuario para el modo de autenticación de IAM.

  4. (Para SAML los proveedores) Complete la SAML confianza configurando su IdP con información sobre AWS las funciones que desea que asuman los usuarios federados. Este proceso de configuración crea confianza entre la parte de confianza entre su IdP y. AWS Para obtener más información, consulte Configurar su IdP SAML 2.0 con la confianza de una parte de confianza y agregar reclamos.

Para configurar un EMR estudio como una SAML aplicación en su portal de IdP

Puede configurar un EMR estudio concreto como una SAML aplicación mediante un enlace directo al estudio. Esto permite a los usuarios iniciar sesión en tu portal de IdP y lanzar un estudio específico en lugar de tener que navegar por la consola de Amazon. EMR

  • Usa el siguiente formato para configurar un enlace directo a tu EMR Studio como destino URL tras la verificación de la SAML afirmación. 

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configurar el modo de autenticación de IAM Identity Center para Amazon EMR Studio

Para prepararse AWS IAM Identity Center para EMR Studio, debe configurar su fuente de identidad y aprovisionar usuarios y grupos. El aprovisionamiento es el proceso de hacer que la información de usuarios y grupos esté disponible para que la utilicen IAM Identity Center y las aplicaciones que utilizan IAM Identity Center. Para obtener más información, consulte Aprovisionamiento de usuarios y grupos.

EMRStudio admite el uso de los siguientes proveedores de identidad para IAM Identity Center:

Para configurar IAM Identity Center para EMR Studio

  1. Para configurar IAM Identity Center para EMR Studio, necesita lo siguiente:

    • Una cuenta de administración en su AWS organización si usa varias cuentas en su organización.

      nota

      Solo debe usar su cuenta de administración para habilitar IAM Identity Center y aprovisionar usuarios y grupos. Tras configurar IAM Identity Center, utilice una cuenta de miembro para crear un EMR Studio y asignar usuarios y grupos. Para obtener más información sobre AWS la terminología, consulte AWS Organizations Terminología y conceptos.

    • Si activó IAM Identity Center antes del 25 de noviembre de 2019, es posible que deba habilitar las aplicaciones que utilizan IAM Identity Center para las cuentas de su AWS organización. Para obtener más información, consulte Habilitar las aplicaciones integradas en IAM Identity Center en AWS las cuentas.

    • Asegúrese de que los requisitos previos figuran en la página de requisitos previos del Centro de IAM Identidad.

  2. Siga las instrucciones de Activar IAM Identity Center para activar IAM Identity Center en el Región de AWS lugar donde desee crear el EMR estudio.

  3. Connect IAM Identity Center con su proveedor de identidad y aprovisione los usuarios y grupos que desee asignar a Studio.

    Si usa… Haga lo siguiente...
    Un directorio de Microsoft AD

    1. Siga las instrucciones de Conectarse al directorio de Microsoft AD para conectar su Active Directory o AWS Managed Microsoft AD directorio autogestionado mediante AWS Directory Service.

    2. Para aprovisionar usuarios y grupos para IAM Identity Center, puedes sincronizar los datos de identidad de tu AD de origen con IAM Identity Center. Puede sincronizar las identidades de su AD de origen de muchas maneras. Una forma es asignar usuarios o grupos de AD a una cuenta de AWS de su organización. Para obtener instrucciones, consulte Inicio de sesión único.

      La sincronización puede tardar hasta dos horas. Una vez que complete este paso, los usuarios y grupos sincronizados aparecerán en su almacén de identidades.

      nota

      Los usuarios y los grupos no aparecen en su almacén de identidades hasta que sincronice la información de usuarios y grupos o utilice just-in-time (JIT) el aprovisionamiento de usuarios. Para obtener más información, consulte Aprovisionamiento cuando los usuarios provienen de Active Directory.

    3. (Opcional) Tras sincronizar los usuarios y grupos de AD, puedes eliminar su acceso a la AWS cuenta que configuraste en el paso anterior. Para obtener instrucciones, consulte Eliminar el acceso de los usuarios.

    Un proveedor de identidades externo Siga las instrucciones de Conectarse a su proveedor de identidades externo.
    El directorio del Centro de IAM Identidad Al crear usuarios y grupos en IAM Identity Center, el aprovisionamiento es automático. Para obtener más información, consulte Administrar identidades en IAM Identity Center.

Ahora puede asignar usuarios y grupos de su almacén de identidades a un EMR estudio. Para obtener instrucciones, consulte Asigne un usuario o un grupo a un EMR estudio.