Menetapkan dan mengelola pengguna EMR Studio - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menetapkan dan mengelola pengguna EMR Studio

Setelah membuat EMR Studio, Anda dapat menetapkan pengguna dan grup untuk Studio tersebut. Metode yang Anda gunakan untuk menetapkan, memperbarui, dan menghapus pengguna bergantung pada mode otentikasi Studio.

  • Saat Anda menggunakan mode IAM autentikasi, Anda mengonfigurasi penetapan dan izin pengguna EMR Studio di IAM atau dengan IAM dan penyedia identitas Anda.

  • Dengan mode autentikasi Pusat IAM Identitas, Anda menggunakan konsol EMR manajemen Amazon atau AWS CLI untuk mengelola pengguna.

Untuk mempelajari lebih lanjut tentang autentikasi untuk Amazon EMR Studio, lihatPilih mode otentikasi untuk Amazon Studio EMR.

Menetapkan pengguna atau grup ke Studio EMR

IAM

Saat Anda menggunakanMengatur mode IAM otentikasi untuk Amazon Studio EMR, Anda harus mengizinkan CreateStudioPresignedUrl tindakan dalam kebijakan IAM izin pengguna dan membatasi pengguna ke Studio tertentu. Anda dapat memasukkan CreateStudioPresignedUrl dalam kebijakan Anda Izin pengguna untuk mode otentikasi IAM atau menggunakan kebijakan terpisah.

Untuk membatasi pengguna ke Studio (atau kumpulan Studios), Anda dapat menggunakan kontrol akses berbasis atribut (ABAC) atau menentukan Nama Sumber Daya Amazon (ARN) Studio dalam Resource elemen kebijakan izin.

contoh Menetapkan pengguna ke Studio menggunakan Studio ARN

Kebijakan contoh berikut memberi pengguna akses ke EMR Studio tertentu dengan mengizinkan CreateStudioPresignedUrl tindakan dan menentukan Amazon Resource Name (ARN) Studio dalam Resource elemen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>" } ] }
contoh Menetapkan pengguna ke Studio dengan ABAC autentikasi IAM

Ada beberapa cara untuk mengonfigurasi kontrol akses berbasis atribut (ABAC) untuk Studio. Misalnya, Anda dapat melampirkan satu atau beberapa tag ke EMR Studio, lalu membuat IAM kebijakan yang membatasi CreateStudioPresignedUrl tindakan ke Studio atau kumpulan Studios tertentu dengan tag tersebut.

Anda dapat menambahkan tag selama atau setelah pembuatan Studio. Untuk menambahkan tag ke Studio yang ada, Anda dapat menggunakan AWS CLIemr add-tagsperintah. Contoh berikut menambahkan tag dengan pasangan kunci-nilai Team = Data Analytics ke Studio. EMR

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

Contoh kebijakan izin berikut memungkinkan CreateStudioPresignedUrl tindakan untuk EMR Studios dengan pasangan nilai kunci tag. Team = DataAnalytics Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran menggunakan tag atau Mengontrol akses ke AWS sumber daya menggunakan tag.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }
contoh Tetapkan pengguna ke Studio menggunakan aws: kunci kondisi SourceIdentity global

Saat Anda menggunakan IAM federasi, Anda dapat menggunakan kunci kondisi global aws:SourceIdentity dalam kebijakan izin untuk memberi pengguna akses Studio saat mereka mengambil IAM peran Anda sebagai federasi.

Anda harus terlebih dahulu mengonfigurasi penyedia identitas Anda (IDP) untuk mengembalikan string pengenal, seperti alamat email atau nama pengguna, ketika pengguna mengautentikasi dan mengambil peran Anda IAM untuk federasi. IAMmenetapkan kunci kondisi global aws:SourceIdentity ke string pengidentifikasi yang dikembalikan oleh idP Anda.

Untuk informasi selengkapnya, lihat Cara menghubungkan aktivitas IAM peran dengan posting blog identitas perusahaan di Blog AWS Keamanan dan SourceIdentity entri aws: dalam referensi kunci kondisi global.

Contoh kebijakan berikut memungkinkan CreateStudioPresignedUrl tindakan dan memberikan pengguna dengan aws:SourceIdentity yang cocok <example-source-identity> akses ke EMR Studio yang ditentukan oleh <example-studio-arn>.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "<example-studio-arn>", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>" } } } ] }
IAM Identity Center

Saat menetapkan pengguna atau grup ke EMR Studio, Anda menentukan kebijakan sesi yang menentukan izin berbutir halus, seperti kemampuan untuk membuat EMR klaster baru, untuk pengguna atau grup tersebut. Amazon EMR menyimpan pemetaan kebijakan sesi ini. Anda dapat memperbarui kebijakan sesi pengguna atau grup setelah penetapan.

catatan

Izin terakhir untuk pengguna atau grup adalah persimpangan izin yang ditentukan dalam peran pengguna EMR Studio Anda dan izin yang ditentukan dalam kebijakan sesi untuk pengguna atau grup tersebut. Jika pengguna termasuk dalam lebih dari satu grup yang ditetapkan ke Studio, EMR Studio menggunakan gabungan izin untuk pengguna tersebut.

Untuk menetapkan pengguna atau grup ke EMR Studio menggunakan konsol Amazon EMR
  1. Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.

  2. Pilih EMRStudio dari navigasi kiri.

  3. Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.

  4. Pilih Tambahkan Pengguna untuk melihat tabel pencarian Pengguna dan Grup.

  5. Pilih tab Pengguna atau Grup, dan masukkan istilah pencarian di bilah pencarian untuk menemukan pengguna atau grup.

  6. Pilih satu atau beberapa pengguna atau grup dari daftar hasil pencarian. Anda dapat beralih bolak-balik antara tab Pengguna dan tab Grup.

  7. Setelah Anda memilih pengguna dan grup untuk ditambahkan ke Studio, pilih Tambah. Anda akan melihat pengguna dan grup muncul di daftar Pengguna Studio. Mungkin diperlukan waktu beberapa detik agar daftar diperbarui.

  8. Ikuti instruksi di Memperbarui izin untuk pengguna atau grup yang ditetapkan ke Studio untuk menyempurnakan izin Studio bagi pengguna atau grup.

Untuk menetapkan pengguna atau grup ke EMR Studio menggunakan AWS CLI

Masukkan nilai Anda sendiri untuk argumen create-studio-session-mapping berikut. Untuk informasi lebih lanjut tentang perintah create-studio-session-mapping, lihat Referensi Perintah AWS CLI .

  • --studio-id— ID Studio yang ingin Anda tetapkan pengguna atau grup. Untuk petunjuk tentang cara mengambil ID Studio, lihatMelihat detail Studio.

  • --identity-name— Nama pengguna atau grup dari Toko Identitas. Untuk informasi selengkapnya, lihat UserNameuntuk pengguna dan DisplayNamegrup di APIReferensi Toko Identitas.

  • --identity-type – Gunakan USER atau GROUP untuk menentukan jenis identitas.

  • --session-policy-arn— Nama Sumber Daya Amazon (ARN) untuk kebijakan sesi yang ingin Anda kaitkan dengan pengguna atau grup. Misalnya, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Untuk informasi selengkapnya, lihat Membuat kebijakan izin untuk pengguna EMR Studio.

aws emr create-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <example-identity-name> \ --identity-type <USER-or-GROUP> \ --session-policy-arn <example-session-policy-arn>
catatan

Karakter lanjutan baris Linux (\) disertakan agar mudah dibaca. Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan tanda sisipan (^).

Gunakan perintah get-studio-session-mapping untuk memverifikasi tugas baru. Ganti <example-identity-name> dengan nama Pusat IAM Identitas pengguna atau grup yang Anda perbarui.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Memperbarui izin untuk pengguna atau grup yang ditetapkan ke Studio

IAM

Untuk memperbarui izin pengguna atau grup saat Anda menggunakan mode IAM autentikasi, gunakan IAM untuk mengubah kebijakan IAM izin yang dilampirkan pada IAM identitas Anda (pengguna, grup, atau peran).

Untuk informasi selengkapnya, lihat Izin pengguna untuk mode otentikasi IAM.

IAM Identity Center
Untuk memperbarui izin EMR Studio untuk pengguna atau grup menggunakan konsol
  1. Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.

  2. Pilih EMRStudio dari navigasi kiri.

  3. Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.

  4. Di daftar Pengguna Studio pada halaman detail Studio, cari pengguna atau grup yang ingin Anda perbarui. Anda dapat mencari berdasarkan nama atau jenis identitas.

  5. Pilih pengguna atau grup yang ingin Anda perbarui dan pilih Tetapkan kebijakan untuk membuka kotak dialog Kebijakan sesi.

  6. Pilih kebijakan yang akan diterapkan ke pengguna atau grup yang Anda pilih pada langkah 5, dan pilih Terapkan kebijakan. Daftar Pengguna Studio harus menampilkan nama kebijakan di kolom Kebijakan sesi untuk pengguna atau grup yang diperbarui.

Untuk memperbarui izin EMR Studio untuk pengguna atau grup menggunakan AWS CLI

Masukkan nilai Anda sendiri untuk argumen update-studio-session-mappings berikut. Untuk informasi lebih lanjut tentang perintah update-studio-session-mappings, lihat Referensi Perintah AWS CLI .

aws emr update-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <name-of-user-or-group-to-update> \ --session-policy-arn <new-session-policy-arn-to-apply> \ --identity-type <USER-or-GROUP> \

Gunakan perintah get-studio-session-mapping untuk memverifikasi penetapan kebijakan sesi baru. Ganti <example-identity-name> dengan nama Pusat IAM Identitas pengguna atau grup yang Anda perbarui.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Menghapus pengguna atau grup dari Studio

IAM

Untuk menghapus pengguna atau grup dari EMR Studio saat Anda menggunakan mode IAM autentikasi, Anda harus mencabut akses pengguna ke Studio dengan mengonfigurasi ulang kebijakan izin pengguna. IAM

Dalam contoh kebijakan berikut, asumsikan bahwa Anda memiliki EMR Studio dengan pasangan nilai kunci tag. Team = Quality Assurance Menurut kebijakan, pengguna dapat mengakses Studios yang ditandai dengan Team kunci yang nilainya sama dengan salah satu Data Analytics atauQuality Assurance. Untuk menghapus pengguna dari Studio yang ditandai denganTeam = Quality Assurance, hapus Quality Assurance dari daftar nilai tag.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] }
IAM Identity Center
Untuk menghapus pengguna atau grup dari EMR Studio menggunakan konsol
  1. Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.

  2. Pilih EMRStudio dari navigasi kiri.

  3. Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.

  4. Di daftar Pengguna Studio pada halaman detail Studio, temukan pengguna atau grup yang ingin Anda hapus dari Studio. Anda dapat mencari berdasarkan nama atau jenis identitas.

  5. Pilih pengguna atau grup yang ingin Anda hapus, pilih Hapus dan konfirmasi. Pengguna atau grup yang dihapus menghilang dari daftra Pengguna Studio.

Untuk menghapus pengguna atau grup dari EMR Studio menggunakan AWS CLI

Masukkan nilai Anda sendiri untuk argumen delete-studio-session-mapping berikut. Untuk informasi lebih lanjut tentang perintah delete-studio-session-mapping, lihat Referensi Perintah AWS CLI .

aws emr delete-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <name-of-user-or-group-to-delete> \