Attribuer des utilisateurs Mettre à jour les autorisations utilisateur Supprimer des utilisateurs

Attribuer et gérer les utilisateurs de EMR Studio

Après avoir créé un EMR studio, vous pouvez y affecter des utilisateurs et des groupes. La méthode que vous utilisez pour attribuer, mettre à jour et supprimer des utilisateurs dépend du mode d'authentification Studio.

Lorsque vous utilisez le mode IAM d'authentification, vous configurez l'attribution des utilisateurs et les autorisations de EMR Studio dans IAM ou avec IAM votre fournisseur d'identité.
Avec le mode d'authentification IAM Identity Center, vous utilisez la console EMR de gestion Amazon ou le AWS CLI pour gérer les utilisateurs.

Pour en savoir plus sur l'authentification pour Amazon EMR Studio, consultezChoisissez un mode d'authentification pour Amazon EMR Studio.

Affecter un utilisateur ou un groupe à un EMR studio

IAM

Lorsque vous utilisezConfigurer le mode IAM d'authentification pour Amazon EMR Studio, vous devez autoriser l'CreateStudioPresignedUrlaction dans la politique d'IAMautorisation d'un utilisateur et restreindre l'utilisateur à un studio en particulier. Vous pouvez inclure CreateStudioPresignedUrl dans votre Autorisations utilisateur pour le mode d'authentification IAM ou utiliser une politique distincte.

Pour restreindre un utilisateur à un studio (ou à un ensemble de studios), vous pouvez utiliser le contrôle d'accès basé sur les attributs (ABAC) ou spécifier le nom de ressource Amazon (ARN) d'un studio dans l'Resourceélément de la politique d'autorisation.

Exemple Affecter un utilisateur à un studio à l'aide d'un studio ARN

L'exemple de politique suivant permet à un utilisateur d'accéder à un EMR studio en particulier en autorisant l'CreateStudioPresignedUrlaction et en spécifiant le nom de ressource Amazon du studio (ARN) dans l'Resourceélément.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}

Exemple Affecter un utilisateur à un Studio ABAC pour IAM l'authentification

Il existe plusieurs manières de configurer le contrôle d'accès basé sur les attributs (ABAC) pour un studio. Par exemple, vous pouvez associer une ou plusieurs balises à un EMR studio, puis créer une IAM politique qui limite l'CreateStudioPresignedUrlaction à un studio ou à un ensemble de studios en particulier dotés de ces balises.

Vous pouvez ajouter des balises pendant ou après la création de Studio. Pour ajouter des balises à un Studio existant, utilisez la commande emr add-tags de l'AWS CLI. L'exemple suivant ajoute une balise avec la paire clé-valeur Team = Data Analytics à un EMR Studio.


aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

L'exemple de politique d'autorisation suivant autorise l'CreateStudioPresignedUrlaction pour les EMR studios avec la balise paire clé-valeur. Team = DataAnalytics Pour plus d'informations sur l'utilisation des balises pour le contrôle d'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises ou Contrôle de l'accès aux ressources AWS à l'aide de balises.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}

Exemple Affecter un utilisateur à un studio à l'aide de la clé de condition SourceIdentity globale aws :

Lorsque vous utilisez IAM la fédération, vous pouvez utiliser la clé de condition globale aws:SourceIdentity dans une politique d'autorisation pour permettre aux utilisateurs d'accéder à Studio lorsqu'ils assument votre IAM rôle de fédération.

Vous devez d'abord configurer votre fournisseur d'identité (IdP) pour qu'il renvoie une chaîne d'identification, telle qu'une adresse e-mail ou un nom d'utilisateur, lorsqu'un utilisateur s'authentifie et assume votre IAM rôle de fédération. IAMdéfinit la clé de condition globale aws:SourceIdentity sur la chaîne d'identification renvoyée par votre IdP.

Pour plus d'informations, consultez le billet de blog Comment associer l'activité des IAM rôles à l'identité d'entreprise dans le blog sur la AWS sécurité et l'SourceIdentityentrée aws : dans la référence des clés de condition globales.

L'exemple de politique suivant autorise l'CreateStudioPresignedUrlaction et attribue aux utilisateurs un aws:SourceIdentity qui correspond à <example-source-identity> accès au EMR studio spécifié par <example-studio-arn>.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}

IAM Identity Center

Lorsque vous assignez un utilisateur ou un groupe à un EMR studio, vous spécifiez une politique de session qui définit des autorisations précises, telles que la possibilité de créer un nouveau EMR cluster, pour cet utilisateur ou ce groupe. Amazon EMR stocke ces mappages de politiques de session. Vous pouvez mettre à jour la politique de session d'un utilisateur ou d'un groupe après son attribution.

Note

Les autorisations finales pour un utilisateur ou un groupe se situent à l'intersection des autorisations définies dans votre rôle d'utilisateur EMR Studio et des autorisations définies dans la politique de session pour cet utilisateur ou ce groupe. Si un utilisateur appartient à plusieurs groupes assignés au Studio, EMR Studio utilise une union d'autorisations pour cet utilisateur.

Pour attribuer des utilisateurs ou des groupes à un EMR studio à l'aide de la EMR console Amazon

Accédez à la nouvelle EMR console Amazon et sélectionnez Basculer vers l'ancienne console dans la navigation latérale. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.
Choisissez EMRStudio dans le menu de navigation de gauche.
Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.
Choisissez Ajouter des utilisateurs pour voir la table de recherche d'Utilisateurs et de Groupes.
Sélectionnez l'onglet Utilisateurs ou Groupes, puis saisissez un terme de recherche dans la barre de recherche pour trouver un utilisateur ou un groupe.
Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste des résultats de recherche. Vous pouvez basculer entre l'onglet Utilisateurs et l'onglet Groupes.
Après avoir sélectionné les utilisateurs et les groupes à ajouter au Studio, choisissez Ajouter. Vous devriez voir les utilisateurs et les groupes apparaître dans la liste Utilisateurs Studio. La liste s'actualise au bout de quelques instants.
Suivez les instructions dans Mettre à jour les autorisations d'un utilisateur ou d'un groupe attribué à un Studio pour affiner les autorisations Studio pour un utilisateur ou un groupe.

Pour affecter un utilisateur ou un groupe à un EMR studio à l'aide du AWS CLI

Insérez vos propres valeurs pour les arguments create-studio-session-mapping suivants. Pour plus d'informations sur la commande create-studio-session-mapping, consultez la Référence de commande de l'AWS CLI .

--studio-id : l'ID du Studio auquel vous souhaitez attribuer l'utilisateur ou le groupe. Pour savoir comment récupérer un ID de Studio, consultez la rubrique Afficher les détails de Studio.
--identity-name : le nom de l'utilisateur ou du groupe issu de l'Identity Store. Pour plus d'informations, reportez-vous à la section relative UserNameaux utilisateurs et DisplayNameaux groupes dans le manuel Identity Store API Reference.
--identity-type : utilisez USER ou GROUP pour spécifier le type d'identité.
--session-policy-arn— Le nom de ressource Amazon (ARN) correspondant à la politique de session que vous souhaitez associer à l'utilisateur ou au groupe. Par exemple, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Pour de plus amples informations, veuillez consulter Création de politiques d'autorisation pour les utilisateurs de EMR Studio.


aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>

Note

Les caractères de continuation de ligne Linux (\) sont inclus pour des raisons de lisibilité. Ils peuvent être supprimés ou utilisés dans les commandes Linux. Pour Windows, supprimez-les ou remplacez-les par un caret (^).

Utilisez la commande get-studio-session-mapping pour vérifier la nouvelle attribution. Remplacez <example-identity-name> avec le nom du centre IAM d'identité de l'utilisateur ou du groupe que vous avez mis à jour.


aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Mettre à jour les autorisations d'un utilisateur ou d'un groupe attribué à un Studio

IAM

Pour mettre à jour les autorisations des utilisateurs ou des groupes lorsque vous utilisez le mode IAM d'authentification, utilisez IAM cette IAM option pour modifier les politiques d'autorisation associées à vos IAM identités (utilisateurs, groupes ou rôles).

Pour de plus amples informations, veuillez consulter Autorisations utilisateur pour le mode d'authentification IAM.

IAM Identity Center

Pour mettre à jour les autorisations EMR Studio pour un utilisateur ou un groupe à l'aide de la console

Accédez à la nouvelle EMR console Amazon et sélectionnez Basculer vers l'ancienne console dans la navigation latérale. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.
Choisissez EMRStudio dans le menu de navigation de gauche.
Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.
Dans la liste Utilisateurs Studio sur la page détaillée de Studio, recherchez l'utilisateur ou le groupe que vous souhaitez mettre à jour. Vous pouvez effectuer une recherche par nom ou par type d'identité.
Sélectionnez l'utilisateur ou le groupe que vous souhaitez mettre à jour et choisissez Attribuer une stratégie pour ouvrir la boîte de dialogue Stratégie de session.
Sélectionnez une politique à appliquer à l'utilisateur ou au groupe que vous avez choisi à l'étape 5, puis choisissez Appliquer la stratégie. La liste Utilisateurs Studio doit afficher le nom de la politique dans la colonne Stratégie de session pour l'utilisateur ou le groupe que vous avez mis à jour.

Pour mettre à jour les autorisations EMR Studio pour un utilisateur ou un groupe à l'aide du AWS CLI

Insérez vos propres valeurs pour les arguments update-studio-session-mappings suivants. Pour plus d'informations sur la commande update-studio-session-mappings, consultez la Référence de commande de l'AWS CLI .


aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Utilisez la commande get-studio-session-mapping pour vérifier l'attribution de la nouvelle politique de session. Remplacez <example-identity-name> avec le nom du centre IAM d'identité de l'utilisateur ou du groupe que vous avez mis à jour.


aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Supprimer un utilisateur ou un groupe d'un Studio

IAM

Pour supprimer un utilisateur ou un groupe d'un EMR studio lorsque vous utilisez le mode IAM d'authentification, vous devez révoquer l'accès de l'utilisateur au studio en reconfigurant la politique d'IAMautorisation de l'utilisateur.

Dans l'exemple de politique suivant, supposons que vous avez un EMR Studio avec la balise paire clé-valeur. Team = Quality Assurance Selon la politique, l'utilisateur peut accéder aux Studios balisés avec la clé Team dont la valeur est égale à Data Analytics ou Quality Assurance. Pour supprimer l'utilisateur du Studio balisé avec Team = Quality Assurance, supprimez Quality Assurance de la liste des valeurs de balise.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}

IAM Identity Center

Pour supprimer un utilisateur ou un groupe d'un EMR studio à l'aide de la console

Accédez à la nouvelle EMR console Amazon et sélectionnez Basculer vers l'ancienne console dans la navigation latérale. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.
Choisissez EMRStudio dans le menu de navigation de gauche.
Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.
Dans la liste Utilisateurs Studio sur la page détaillée de Studio, recherchez l'utilisateur ou le groupe que vous souhaitez supprimer du Studio. Vous pouvez effectuer une recherche par nom ou par type d'identité.
Sélectionnez l'utilisateur ou le groupe que vous souhaitez supprimer, puis choisissez Supprimer et confirmez. L'utilisateur ou le groupe que vous avez supprimé disparaît de la liste Utilisateurs Studio.

Pour supprimer un utilisateur ou un groupe d'un EMR studio à l'aide du AWS CLI

Insérez vos propres valeurs pour les arguments delete-studio-session-mapping suivants. Pour plus d'informations sur la commande delete-studio-session-mapping, consultez la Référence de commande de l'AWS CLI .


aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'un EMR studio

Gérer un Studio