Pilih mode otentikasi untuk Amazon Studio EMR - Amazon EMR
IAMmodus otentikasiIAMMode otentikasi Pusat Identitas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilih mode otentikasi untuk Amazon Studio EMR

EMRStudio mendukung dua mode otentikasi: mode IAM otentikasi dan mode otentikasi Pusat IAM Identitas. IAMmode menggunakan AWS Identity and Access Management (IAM), sedangkan mode IAM Identity Center menggunakan AWS IAM Identity Center. Saat membuat EMR Studio, Anda memilih mode autentikasi untuk semua pengguna Studio tersebut. Untuk informasi selengkapnya tentang mode otentikasi yang berbeda, lihatOtentikasi dan login pengguna.

Gunakan tabel berikut untuk memilih mode otentikasi untuk EMR Studio.

Jika Anda... Kami merekomendasikan...
Sudah akrab dengan atau sebelumnya telah mengatur IAM otentikasi atau federasi

IAMmodus otentikasi, yang menawarkan manfaat sebagai berikut:

  • Menyediakan penyiapan cepat untuk EMR Studio jika Anda sudah mengelola identitas seperti pengguna dan grup. IAM

  • Bekerja dengan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) atau Security Assertion Markup Language 2.0 (2.0). SAML

  • Mendukung penggunaan beberapa penyedia identitas dengan hal yang sama Akun AWS.

  • Tersedia dalam jumlah yang luas Wilayah AWS.

  • Sesuai dengan SOC 2.
Baru AWS atau Amazon EMR

IAMMode otentikasi Pusat Identitas, yang menyediakan fitur-fitur berikut:

  • Mendukung penugasan pengguna dan grup yang mudah ke AWS sumber daya.

  • Bekerja dengan Microsoft Active Directory dan penyedia identitas SAML 2.0.

  • Memfasilitasi pengaturan federasi multi-akun sehingga Anda tidak perlu mengonfigurasi federasi secara terpisah untuk masing-masing Akun AWS di organisasi Anda.

Mengatur mode IAM otentikasi untuk Amazon Studio EMR

Dengan mode IAM otentikasi, Anda dapat menggunakan IAM otentikasi atau IAM federasi. IAMautentikasi memungkinkan Anda mengelola IAM identitas seperti pengguna, grup, dan peran. IAM Anda memberi pengguna akses ke Studio dengan kebijakan IAM izin dan kontrol akses berbasis atribut (). ABAC IAMfederasi memungkinkan Anda membangun kepercayaan antara penyedia identitas pihak ketiga (iDP) dan AWS sehingga Anda dapat mengelola identitas pengguna melalui IDP Anda.

catatan

Jika Anda sudah menggunakannya IAM untuk mengontrol akses ke AWS sumber daya, atau jika Anda telah mengonfigurasi penyedia identitas (IDP) untukIAM, lihat Izin pengguna untuk mode otentikasi IAM untuk mengatur izin pengguna saat Anda menggunakan mode IAM autentikasi untuk Studio. EMR

Gunakan IAM federasi untuk Amazon EMR Studio

Untuk menggunakan IAM federasi untuk EMR Studio, Anda membuat hubungan kepercayaan antara Anda Akun AWS dan penyedia identitas Anda (IDP) dan memungkinkan pengguna federasi untuk mengakses. AWS Management Console Langkah-langkah yang Anda ambil untuk menciptakan hubungan kepercayaan ini berbeda tergantung pada standar federasi IDP Anda.

Secara umum, Anda menyelesaikan tugas-tugas berikut untuk mengkonfigurasi federasi dengan iDP eksternal. Untuk petunjuk selengkapnya, lihat Mengaktifkan pengguna gabungan SAML 2.0 untuk mengakses AWS Management Console dan Mengaktifkan akses broker identitas kustom ke AWS Management Console dalam Panduan Pengguna.AWS Identity and Access Management

  1. Kumpulkan informasi dari IDP Anda. Ini biasanya berarti membuat dokumen metadata untuk memvalidasi permintaan SAML otentikasi dari IDP Anda.

  2. Buat IAM entitas penyedia identitas untuk menyimpan informasi tentang IDP Anda. Untuk petunjuk, lihat Membuat penyedia IAM identitas.

  3. Buat satu atau beberapa IAM peran untuk IDP Anda. EMRStudio menetapkan peran ke pengguna federasi saat pengguna log in. Peran ini memungkinkan IDP Anda untuk meminta kredenal keamanan sementara untuk akses ke. AWS Untuk petunjuknya, lihat Membuat peran untuk penyedia identitas pihak ketiga (federasi). Kebijakan izin yang Anda tetapkan ke peran menentukan apa yang dapat dilakukan pengguna federasi di dalam AWS dan di Studio. EMR Untuk informasi selengkapnya, lihat Izin pengguna untuk mode otentikasi IAM.

  4. (Untuk SAML penyedia) Lengkapi SAML kepercayaan dengan mengonfigurasi IDP Anda dengan informasi AWS tentang dan peran yang Anda inginkan untuk diasumsikan oleh pengguna federasi. Proses konfigurasi ini menciptakan kepercayaan pihak yang mengandalkan antara AWS IDP Anda dan. Untuk informasi selengkapnya, lihat Mengonfigurasi IDP SAML 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.

Untuk mengonfigurasi EMR Studio sebagai SAML aplikasi di portal iDP

Anda dapat mengonfigurasi EMR Studio tertentu sebagai SAML aplikasi menggunakan deep link ke Studio. Dengan melakukan hal itu memungkinkan pengguna masuk ke portal iDP Anda dan meluncurkan Studio tertentu alih-alih menavigasi melalui konsol Amazon. EMR

  • Gunakan format berikut untuk mengonfigurasi deep link ke EMR Studio Anda sebagai pendaratan URL setelah SAML verifikasi pernyataan. 

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Mengatur mode otentikasi Pusat IAM Identitas untuk Amazon Studio EMR

AWS IAM Identity Center Untuk mempersiapkan EMR Studio, Anda harus mengonfigurasi sumber identitas dan menyediakan pengguna dan grup. Provisioning adalah proses membuat informasi pengguna dan grup tersedia untuk digunakan oleh IAM Identity Center dan oleh aplikasi yang menggunakan IAM Identity Center. Untuk informasi lebih lanjut, lihat Penyediaan pengguna dan grup.

EMRStudio mendukung penggunaan penyedia identitas berikut untuk Pusat IAM Identitas:

Menyiapkan Pusat IAM Identitas untuk EMR Studio

  1. Untuk menyiapkan Pusat IAM Identitas untuk EMR Studio, Anda memerlukan yang berikut ini:

    • Akun manajemen di AWS organisasi Anda jika Anda menggunakan beberapa akun di organisasi Anda.

      catatan

      Anda hanya boleh menggunakan akun manajemen Anda untuk mengaktifkan Pusat IAM Identitas dan menyediakan pengguna dan grup. Setelah menyiapkan Pusat IAM Identitas, gunakan akun anggota untuk membuat EMR Studio dan menetapkan pengguna dan grup. Untuk mempelajari lebih lanjut tentang AWS terminologi, lihat AWS Organizations terminologi dan konsep.

    • Jika Anda mengaktifkan Pusat IAM Identitas sebelum 25 November 2019, Anda mungkin harus mengaktifkan aplikasi yang menggunakan Pusat IAM Identitas untuk akun di AWS organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan aplikasi terintegrasi Pusat IAM Identitas di AWS akun.

    • Pastikan Anda memiliki prasyarat yang tercantum di halaman prasyarat Pusat IAMIdentitas.

  2. Ikuti petunjuk di Aktifkan Pusat IAM IAM Identitas untuk mengaktifkan Pusat Identitas Wilayah AWS di tempat Anda ingin membuat EMR Studio.

  3. Connect IAM Identity Center ke penyedia identitas Anda dan berikan pengguna dan grup yang ingin Anda tetapkan ke Studio.

    Jika Anda menggunakan... Lakukan ini...
    Direktori Microsoft AD

    1. Ikuti petunjuk di Connect ke direktori Microsoft AD Anda untuk menghubungkan Active Directory atau AWS Managed Microsoft AD direktori yang dikelola sendiri menggunakan AWS Directory Service.

    2. Untuk menyediakan pengguna dan grup untuk Pusat IAM Identitas, Anda dapat menyinkronkan data identitas dari AD sumber Anda ke Pusat IAM Identitas. Anda dapat menyinkronkan identitas dari iklan sumber Anda dengan berbagai cara. Salah satu caranya adalah dengan menetapkan pengguna atau grup AD ke AWS akun di organisasi Anda. Untuk instruksi, lihat Single sign-on.

      Sinkronisasi bisa memakan waktu hingga dua jam. Setelah Anda menyelesaikan langkah ini, pengguna dan grup yang disinkronkan muncul di Toko Identitas Anda.

      catatan

      Pengguna dan grup tidak muncul di Identity Store hingga Anda menyinkronkan informasi pengguna dan grup atau menggunakan just-in-time (JIT) penyediaan pengguna. Untuk informasi lebih lanjut, lihat Penyediaan saat pengguna berasal dari Direktori Aktif.

    3. (Opsional) Setelah Anda menyinkronkan pengguna dan grup AD, Anda dapat menghapus akses mereka ke AWS akun yang Anda konfigurasikan pada langkah sebelumnya. Untuk instruksi, lihat Menghapus akses pengguna.

    Penyedia identitas eksternal Ikuti instruksi di Menghubungkan ke penyedia identitas eksternal.
    Direktori Pusat IAM Identitas Saat Anda membuat pengguna dan grup di Pusat IAM Identitas, penyediaan dilakukan secara otomatis. Untuk informasi selengkapnya, lihat Mengelola identitas di Pusat IAM Identitas.

Sekarang Anda dapat menetapkan pengguna dan grup dari Identity Store ke EMR Studio. Untuk petunjuk, silakan lihat Menetapkan pengguna atau grup ke Studio EMR.