Commencer à AWS IAM Identity Center intégrer Amazon EMR - Amazon EMR
Création d’une instance d’Identity Centercréer un rôle IAM ;Ajouter des autorisations pour les services non intégrés à IAM Identity CenterCréation d'une configuration de sécuritéLancez un cluster.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à AWS IAM Identity Center intégrer Amazon EMR

Cette section vous aide à configurer Amazon EMR pour l'intégrer à AWS IAM Identity Center.

Rubriques
Note

Pour utiliser l'intégration d'Identity Center avecEMR, Lake Formation ou S3 Access Grants doivent être activés. Vous pouvez également utiliser les deux. Si aucune des deux n'est activée, l'intégration d'Identity Center n'est pas prise en charge.

Création d’une instance d’Identity Center

Si vous n'en avez pas déjà une, créez une instance Identity Center à l' Région AWS endroit où vous souhaitez lancer votre EMR cluster. Une instance d’Identity Center ne peut exister que dans une seule région pour un Compte AWS.

Utilisez la AWS CLI commande suivante pour créer une nouvelle instance nommée MyInstance :

aws sso-admin create-instance --name MyInstance

Création d'un IAM rôle pour Identity Center

Pour intégrer Amazon EMR à AWS IAM Identity Center, créez un IAM rôle qui s'authentifie auprès d'Identity Center depuis le EMR cluster. Sous le capot, Amazon EMR utilise SigV4 informations d'identification pour transmettre l'identité de l'Identity Center aux services en aval tels que AWS Lake Formation. Votre rôle doit également disposer des autorisations correspondantes pour invoquer les services en aval.

Lorsque vous créez le rôle, utilisez la politique d’autorisations suivante :

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

La politique de confiance associée à ce rôle permet InstanceProfile rôle pour le laisser assumer le rôle.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Si le rôle ne dispose pas d'informations d'identification fiables et accède à une table protégée par Lake Formation, Amazon définit EMR automatiquement le principalId rôle assumé sur. userID-untrusted Voici un extrait d'un CloudTrail événement qui affiche le. principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Ajouter des autorisations pour les services non intégrés à IAM Identity Center

AWS les informations d'identification qui utilisent une propagation d'identité fiable utilisent les IAM politiques définies dans le IAM rôle pour tous les appels effectués vers des services non intégrés à IAM Identity Center. Cela inclut, par exemple, le AWS Key Management Service. Votre rôle doit également définir les IAM autorisations pour les services auxquels vous tenterez d'accéder. Les services intégrés IAM d'Identity Center actuellement pris en charge incluent AWS Lake Formation Amazon S3 Access Grants.

Pour en savoir plus sur la propagation des identités fiables, consultez la section Propagation des identités fiables entre les applications.

Création d’une configuration de sécurité compatible avec Identity Center

Pour lancer un EMR cluster intégrant IAM Identity Center, utilisez l'exemple de commande suivant pour créer une configuration de EMR sécurité Amazon sur laquelle Identity Center est activé. Chaque configuration est détaillée ci-dessous.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

  • EnableIdentityCenter (obligatoire) : active l’intégration d’Identity Center

  • IdentityCenterInstanceARN— (facultatif) L'instance Identity CenterARN. Si cela n'est pas inclus, l'instance IAM Identity Center existante ARN est recherchée dans le cadre de l'étape de configuration.

  • IAMRoleForEMRIdentityCenterApplicationARN— (obligatoire) IAM Rôle qui achète les jetons Identity Center auprès du cluster.

  • IdentityCenterApplicationAssignmentRequired (booléen) : détermine si une affectation est requise pour l’utilisation de l’application Identity Center Ce champ est facultatif. Si aucune valeur n'est fournie, la valeur par défaut estfalse.

  • AuthorizationConfiguration/LakeFormationConfiguration— Configurez éventuellement l'autorisation :

    • EnableLakeFormation : active l’autorisation Lake Formation sur le cluster

Pour activer l'intégration d'Identity Center à AmazonEMR, vous devez spécifier EncryptionConfiguration etIntransitEncryptionConfiguration.

Création et lancement d’un cluster compatible avec Identity Center

Maintenant que vous avez configuré le IAM rôle qui s'authentifie auprès d'Identity Center et que vous avez créé une configuration de EMR sécurité Amazon dans laquelle Identity Center est activé, vous pouvez créer et lancer votre cluster basé sur l'identité. Pour savoir comment lancer votre cluster avec la configuration de sécurité requise, consultez la rubrique Spécifier une configuration de sécurité pour un EMR cluster Amazon.

Les sections suivantes décrivent comment configurer votre cluster activé par Identity Center avec les options de sécurité prises EMR en charge par Amazon :