Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Asigne y administre usuarios de EMR Studio
Después de crear un EMR estudio, puedes asignarle usuarios y grupos. El método que utilice para asignar, actualizar y eliminar usuarios depende del modo de autenticación de Studio.
-
Cuando utilizas el modo de IAM autenticación, configuras la asignación de usuarios y los permisos de EMR Studio en IAM o con IAM tu proveedor de identidades.
-
Con el modo de autenticación de IAM Identity Center, se utiliza la consola EMR de administración de Amazon o AWS CLI para gestionar los usuarios.
Para obtener más información sobre la autenticación de Amazon EMR Studio, consulteElige un modo de autenticación para Amazon EMR Studio.
Asigne un usuario o un grupo a un EMR estudio
- IAM
-
Cuando lo utilicesConfigurar el modo de IAM autenticación para Amazon EMR Studio, debes permitir la
CreateStudioPresignedUrl
acción en la política de IAM permisos de un usuario y restringirlo a un estudio concreto. Puede incluirCreateStudioPresignedUrl
en su Permisos de usuario para el modo de autenticación de IAM o utilizar una política independiente.Para restringir a un usuario a un estudio (o conjunto de estudios), puedes usar el control de acceso basado en atributos (ABAC) o especificar el nombre de recurso de Amazon (ARN) de un estudio en el
Resource
elemento de la política de permisos.ejemplo Asigne un usuario a un estudio mediante un estudio ARN
El siguiente ejemplo de política proporciona a un usuario acceso a un EMR estudio concreto al permitir la
CreateStudioPresignedUrl
acción y especificar el nombre del recurso de Amazon del estudio (ARN) en elResource
elemento.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/<studio-id>
" } ] }ejemplo Asigne un usuario a un Studio con ABAC fines de IAM autenticación
Hay varias formas de configurar el control de acceso basado en atributos (ABAC) para un Studio. Por ejemplo, puedes adjuntar una o más etiquetas a un EMR estudio y, a continuación, crear una IAM política que restrinja la
CreateStudioPresignedUrl
acción a un estudio concreto o a un conjunto de estudios con esas etiquetas.Puede agregar etiquetas durante o después de la creación del estudio. Para agregar etiquetas a un estudio existente, puede utilizar el comando AWS CLI
emr add-tags
. En el siguiente ejemplo, se añade una etiqueta con el par clave-valor Team = Data Analytics
a un estudio. EMRaws emr add-tags --resource-id
<example-studio-id>
--tags Team="Data Analytics"El siguiente ejemplo de política de permisos permite la
CreateStudioPresignedUrl
acción para los EMR estudios con el par clave-valor de la etiqueta.Team = DataAnalytics
Para obtener más información sobre el uso de etiquetas para el control de acceso, consulte Controlar el acceso a y para los usuarios y roles utilizando etiquetas o Controlar el acceso a los recursos de AWS utilizando etiquetas.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }ejemplo Asigne un usuario a un estudio mediante la clave de condición aws: SourceIdentity global
Cuando usas la IAM federación, puedes usar la clave de condición global
aws:SourceIdentity
en una política de permisos para que los usuarios accedan a Studio cuando asuman tu IAM función de federación.Primero debe configurar su proveedor de identidad (IdP) para que devuelva una cadena de identificación, como una dirección de correo electrónico o un nombre de usuario, cuando un usuario se autentique y asuma su IAM función de federación. IAMestablece la clave de condición global en
aws:SourceIdentity
la cadena de identificación devuelta por su IdP.Para obtener más información, consulte la entrada del blog Cómo relacionar la actividad del IAM rol con la identidad corporativa
en el blog de AWS seguridad y la referencia aws: SourceIdentity entry in the global condition keys. El siguiente ejemplo de política permite la
CreateStudioPresignedUrl
acción y proporciona a los usuarios unaaws:SourceIdentity
que coincide con la<example-source-identity>
acceso al EMR estudio especificado por<example-studio-arn>
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "
<example-studio-arn>
", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>
" } } } ] } - IAM Identity Center
-
Al asignar un usuario o un grupo a un EMR Studio, se especifica una política de sesión que define permisos específicos, como la posibilidad de crear un nuevo EMR clúster, para ese usuario o grupo. Amazon EMR almacena estas asignaciones de políticas de sesión. Puede actualizar la política de sesión de un usuario o grupo después de la asignación.
nota
Los permisos finales de un usuario o grupo son una intersección de los permisos definidos en tu rol de usuario de EMR Studio y los permisos definidos en la política de sesión para ese usuario o grupo. Si un usuario pertenece a más de un grupo asignado a Studio, EMR Studio utiliza una unión de permisos para ese usuario.
Para asignar usuarios o grupos a un EMR estudio mediante la EMR consola de Amazon
Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.
-
Selecciona EMRStudio en el menú de navegación de la izquierda.
-
Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.
-
Elija la pestaña Agregar usuarios para ver la tabla de búsqueda Usuarios y Grupos.
-
Seleccione la pestaña Usuarios o la pestaña Grupos e introduzca un término de búsqueda en la barra de búsqueda para buscar un usuario o grupo.
-
Seleccione uno o más usuarios o grupos de la lista de resultados de la búsqueda. Puede cambiar de una pestaña a otra de Usuarios y Grupos.
-
Tras seleccionar los usuarios y grupos para agregarlos al estudio, seleccione Agregar. Debería ver los usuarios y grupos en la lista Usuarios del estudio. La lista puede tardar unos segundos en actualizarse.
-
Siga las instrucciones que se indican en Actualizar los permisos de un usuario o grupo asignado a un estudio para ajustar los permisos de Studio de un usuario o un grupo.
Para asignar un usuario o un grupo a un EMR estudio mediante el AWS CLI
Inserte sus propios valores para los siguientes argumentos de
create-studio-session-mapping
. Para obtener más información sobre el comandocreate-studio-session-mapping
, consulte la Referencia de comandos de la AWS CLI .-
--studio-id
: el ID del estudio al que quiere asignar el usuario o grupo. Para obtener instrucciones sobre cómo recuperar un ID de Studio, consulte Ver detalles del estudio. -
--identity-name
: el nombre del usuario o grupo del Almacén de identidades. Para obtener más información, consulte UserNamela sección sobre usuarios y DisplayNamegrupos en la APIReferencia del almacén de identidades. -
--identity-type
: utiliceUSER
oGROUP
para especificar el tipo de identidad. -
--session-policy-arn
— El nombre del recurso de Amazon (ARN) de la política de sesión que desea asociar al usuario o grupo. Por ejemplo,arn:aws:iam::
. Para obtener más información, consulte Crea políticas de permisos para los usuarios de EMR Studio.<aws-account-id>
:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<example-identity-name>
\ --identity-type<USER-or-GROUP>
\ --session-policy-arn<example-session-policy-arn>
nota
Se incluyen caracteres de continuación de línea de Linux (\) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).
Utilice el comando
get-studio-session-mapping
para comprobar la nueva asignación. Reemplazar<example-identity-name>
con el nombre del centro de IAM identidad del usuario o grupo que ha actualizado.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Actualizar los permisos de un usuario o grupo asignado a un estudio
- IAM
-
Para actualizar los permisos de usuario o grupo al utilizar el modo de IAM autenticación, utilice esta opción IAM para cambiar las políticas de IAM permisos asociadas a sus IAM identidades (usuarios, grupos o funciones).
Para obtener más información, consulte Permisos de usuario para el modo de autenticación de IAM.
- IAM Identity Center
-
Para actualizar los permisos de EMR Studio para un usuario o grupo mediante la consola
Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.
-
Selecciona EMRStudio en el menú de navegación de la izquierda.
-
Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.
-
En la lista Usuarios del estudio de la página de detalles del estudio, busque el usuario o grupo que desee actualizar. Puede buscar por nombre o tipo de identidad.
-
Seleccione el usuario o grupo que desee actualizar y seleccione Asignar política para abrir el cuadro de diálogo Política de sesión.
-
Seleccione una política para aplicarla al usuario o grupo que eligió en el paso 5 y seleccione Aplicar política. La lista Usuarios del estudio mostrará el nombre de la política en la columna Política de sesión del usuario o grupo que haya actualizado.
Para actualizar los permisos de EMR Studio para un usuario o grupo mediante el AWS CLI
Inserte sus propios valores para los siguientes argumentos de
update-studio-session-mappings
. Para obtener más información sobre el comandoupdate-studio-session-mappings
, consulte la Referencia de comandos de la AWS CLI .aws emr update-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<name-of-user-or-group-to-update>
\ --session-policy-arn<new-session-policy-arn-to-apply>
\ --identity-type<USER-or-GROUP>
\Utilice el comando
get-studio-session-mapping
para comprobar la nueva asignación de la política de sesión. Reemplazar<example-identity-name>
con el nombre del centro de IAM identidad del usuario o grupo que ha actualizado.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Eliminar un usuario o grupo de un estudio
- IAM
-
Para eliminar un usuario o un grupo de un EMR Studio al usar el modo de IAM autenticación, debe revocar el acceso del usuario al Studio reconfigurando la política de IAM permisos del usuario.
En el siguiente ejemplo de política, suponga que tiene un EMR Studio con el par clave-valor de la etiqueta.
Team = Quality Assurance
Según la política, el usuario puede acceder a los estudios etiquetados con la claveTeam
cuyo valor sea igual aData Analytics
oQuality Assurance
. Para eliminar al usuario del estudio etiquetado conTeam = Quality Assurance
, elimineQuality Assurance
de la lista de valores de etiqueta.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
Para eliminar un usuario o un grupo de un EMR estudio mediante la consola
Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.
-
Selecciona EMRStudio en el menú de navegación de la izquierda.
-
Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.
-
En la lista Usuarios del estudio, en la página de detalles del estudio, busque el usuario o grupo que desee eliminar del estudio. Puede buscar por nombre o tipo de identidad.
-
Seleccione el usuario o grupo que desea eliminar, seleccione Eliminar y confirme la eliminación. El usuario o grupo que ha eliminado desaparece de la lista Usuarios del estudio.
Para eliminar un usuario o un grupo de un EMR Studio mediante el AWS CLI
Inserte sus propios valores para los siguientes argumentos de
delete-studio-session-mapping
. Para obtener más información sobre el comandodelete-studio-session-mapping
, consulte la Referencia de comandos de la AWS CLI .aws emr delete-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<name-of-user-or-group-to-delete>
\