Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menetapkan dan mengelola pengguna EMR Studio
Setelah membuat EMR Studio, Anda dapat menetapkan pengguna dan grup untuk Studio tersebut. Metode yang Anda gunakan untuk menetapkan, memperbarui, dan menghapus pengguna bergantung pada mode otentikasi Studio.
-
Saat Anda menggunakan mode IAM autentikasi, Anda mengonfigurasi penetapan dan izin pengguna EMR Studio di IAM atau dengan IAM dan penyedia identitas Anda.
-
Dengan mode autentikasi Pusat IAM Identitas, Anda menggunakan konsol EMR manajemen Amazon atau AWS CLI untuk mengelola pengguna.
Untuk mempelajari lebih lanjut tentang autentikasi untuk Amazon EMR Studio, lihatPilih mode otentikasi untuk Amazon Studio EMR.
Menetapkan pengguna atau grup ke Studio EMR
- IAM
-
Saat Anda menggunakanMengatur mode IAM otentikasi untuk Amazon Studio EMR, Anda harus mengizinkan
CreateStudioPresignedUrl
tindakan dalam kebijakan IAM izin pengguna dan membatasi pengguna ke Studio tertentu. Anda dapat memasukkanCreateStudioPresignedUrl
dalam kebijakan Anda Izin pengguna untuk mode otentikasi IAM atau menggunakan kebijakan terpisah.Untuk membatasi pengguna ke Studio (atau kumpulan Studios), Anda dapat menggunakan kontrol akses berbasis atribut (ABAC) atau menentukan Nama Sumber Daya Amazon (ARN) Studio dalam
Resource
elemen kebijakan izin.contoh Menetapkan pengguna ke Studio menggunakan Studio ARN
Kebijakan contoh berikut memberi pengguna akses ke EMR Studio tertentu dengan mengizinkan
CreateStudioPresignedUrl
tindakan dan menentukan Amazon Resource Name (ARN) Studio dalamResource
elemen.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/<studio-id>
" } ] }contoh Menetapkan pengguna ke Studio dengan ABAC autentikasi IAM
Ada beberapa cara untuk mengonfigurasi kontrol akses berbasis atribut (ABAC) untuk Studio. Misalnya, Anda dapat melampirkan satu atau beberapa tag ke EMR Studio, lalu membuat IAM kebijakan yang membatasi
CreateStudioPresignedUrl
tindakan ke Studio atau kumpulan Studios tertentu dengan tag tersebut.Anda dapat menambahkan tag selama atau setelah pembuatan Studio. Untuk menambahkan tag ke Studio yang ada, Anda dapat menggunakan AWS CLI
emr add-tags
perintah. Contoh berikut menambahkan tag dengan pasangan kunci-nilai Team = Data Analytics
ke Studio. EMRaws emr add-tags --resource-id
<example-studio-id>
--tags Team="Data Analytics"Contoh kebijakan izin berikut memungkinkan
CreateStudioPresignedUrl
tindakan untuk EMR Studios dengan pasangan nilai kunci tag.Team = DataAnalytics
Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran menggunakan tag atau Mengontrol akses ke AWS sumber daya menggunakan tag.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }contoh Tetapkan pengguna ke Studio menggunakan aws: kunci kondisi SourceIdentity global
Saat Anda menggunakan IAM federasi, Anda dapat menggunakan kunci kondisi global
aws:SourceIdentity
dalam kebijakan izin untuk memberi pengguna akses Studio saat mereka mengambil IAM peran Anda sebagai federasi.Anda harus terlebih dahulu mengonfigurasi penyedia identitas Anda (IDP) untuk mengembalikan string pengenal, seperti alamat email atau nama pengguna, ketika pengguna mengautentikasi dan mengambil peran Anda IAM untuk federasi. IAMmenetapkan kunci kondisi global
aws:SourceIdentity
ke string pengidentifikasi yang dikembalikan oleh idP Anda.Untuk informasi selengkapnya, lihat Cara menghubungkan aktivitas IAM peran dengan posting blog identitas perusahaan
di Blog AWS Keamanan dan SourceIdentity entri aws: dalam referensi kunci kondisi global. Contoh kebijakan berikut memungkinkan
CreateStudioPresignedUrl
tindakan dan memberikan pengguna denganaws:SourceIdentity
yang cocok<example-source-identity>
akses ke EMR Studio yang ditentukan oleh<example-studio-arn>
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "
<example-studio-arn>
", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>
" } } } ] } - IAM Identity Center
-
Saat menetapkan pengguna atau grup ke EMR Studio, Anda menentukan kebijakan sesi yang menentukan izin berbutir halus, seperti kemampuan untuk membuat EMR klaster baru, untuk pengguna atau grup tersebut. Amazon EMR menyimpan pemetaan kebijakan sesi ini. Anda dapat memperbarui kebijakan sesi pengguna atau grup setelah penetapan.
catatan
Izin terakhir untuk pengguna atau grup adalah persimpangan izin yang ditentukan dalam peran pengguna EMR Studio Anda dan izin yang ditentukan dalam kebijakan sesi untuk pengguna atau grup tersebut. Jika pengguna termasuk dalam lebih dari satu grup yang ditetapkan ke Studio, EMR Studio menggunakan gabungan izin untuk pengguna tersebut.
Untuk menetapkan pengguna atau grup ke EMR Studio menggunakan konsol Amazon EMR
Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.
-
Pilih EMRStudio dari navigasi kiri.
-
Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.
-
Pilih Tambahkan Pengguna untuk melihat tabel pencarian Pengguna dan Grup.
-
Pilih tab Pengguna atau Grup, dan masukkan istilah pencarian di bilah pencarian untuk menemukan pengguna atau grup.
-
Pilih satu atau beberapa pengguna atau grup dari daftar hasil pencarian. Anda dapat beralih bolak-balik antara tab Pengguna dan tab Grup.
-
Setelah Anda memilih pengguna dan grup untuk ditambahkan ke Studio, pilih Tambah. Anda akan melihat pengguna dan grup muncul di daftar Pengguna Studio. Mungkin diperlukan waktu beberapa detik agar daftar diperbarui.
-
Ikuti instruksi di Memperbarui izin untuk pengguna atau grup yang ditetapkan ke Studio untuk menyempurnakan izin Studio bagi pengguna atau grup.
Untuk menetapkan pengguna atau grup ke EMR Studio menggunakan AWS CLI
Masukkan nilai Anda sendiri untuk argumen
create-studio-session-mapping
berikut. Untuk informasi lebih lanjut tentang perintahcreate-studio-session-mapping
, lihat Referensi Perintah AWS CLI .-
--studio-id
— ID Studio yang ingin Anda tetapkan pengguna atau grup. Untuk petunjuk tentang cara mengambil ID Studio, lihatMelihat detail Studio. -
--identity-name
— Nama pengguna atau grup dari Toko Identitas. Untuk informasi selengkapnya, lihat UserNameuntuk pengguna dan DisplayNamegrup di APIReferensi Toko Identitas. -
--identity-type
– GunakanUSER
atauGROUP
untuk menentukan jenis identitas. -
--session-policy-arn
— Nama Sumber Daya Amazon (ARN) untuk kebijakan sesi yang ingin Anda kaitkan dengan pengguna atau grup. Misalnya,arn:aws:iam::
. Untuk informasi selengkapnya, lihat Membuat kebijakan izin untuk pengguna EMR Studio.<aws-account-id>
:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<example-identity-name>
\ --identity-type<USER-or-GROUP>
\ --session-policy-arn<example-session-policy-arn>
catatan
Karakter lanjutan baris Linux (\) disertakan agar mudah dibaca. Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan tanda sisipan (^).
Gunakan perintah
get-studio-session-mapping
untuk memverifikasi tugas baru. Ganti<example-identity-name>
dengan nama Pusat IAM Identitas pengguna atau grup yang Anda perbarui.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Memperbarui izin untuk pengguna atau grup yang ditetapkan ke Studio
- IAM
-
Untuk memperbarui izin pengguna atau grup saat Anda menggunakan mode IAM autentikasi, gunakan IAM untuk mengubah kebijakan IAM izin yang dilampirkan pada IAM identitas Anda (pengguna, grup, atau peran).
Untuk informasi selengkapnya, lihat Izin pengguna untuk mode otentikasi IAM.
- IAM Identity Center
-
Untuk memperbarui izin EMR Studio untuk pengguna atau grup menggunakan konsol
Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.
-
Pilih EMRStudio dari navigasi kiri.
-
Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.
-
Di daftar Pengguna Studio pada halaman detail Studio, cari pengguna atau grup yang ingin Anda perbarui. Anda dapat mencari berdasarkan nama atau jenis identitas.
-
Pilih pengguna atau grup yang ingin Anda perbarui dan pilih Tetapkan kebijakan untuk membuka kotak dialog Kebijakan sesi.
-
Pilih kebijakan yang akan diterapkan ke pengguna atau grup yang Anda pilih pada langkah 5, dan pilih Terapkan kebijakan. Daftar Pengguna Studio harus menampilkan nama kebijakan di kolom Kebijakan sesi untuk pengguna atau grup yang diperbarui.
Untuk memperbarui izin EMR Studio untuk pengguna atau grup menggunakan AWS CLI
Masukkan nilai Anda sendiri untuk argumen
update-studio-session-mappings
berikut. Untuk informasi lebih lanjut tentang perintahupdate-studio-session-mappings
, lihat Referensi Perintah AWS CLI .aws emr update-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<name-of-user-or-group-to-update>
\ --session-policy-arn<new-session-policy-arn-to-apply>
\ --identity-type<USER-or-GROUP>
\Gunakan perintah
get-studio-session-mapping
untuk memverifikasi penetapan kebijakan sesi baru. Ganti<example-identity-name>
dengan nama Pusat IAM Identitas pengguna atau grup yang Anda perbarui.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Menghapus pengguna atau grup dari Studio
- IAM
-
Untuk menghapus pengguna atau grup dari EMR Studio saat Anda menggunakan mode IAM autentikasi, Anda harus mencabut akses pengguna ke Studio dengan mengonfigurasi ulang kebijakan izin pengguna. IAM
Dalam contoh kebijakan berikut, asumsikan bahwa Anda memiliki EMR Studio dengan pasangan nilai kunci tag.
Team = Quality Assurance
Menurut kebijakan, pengguna dapat mengakses Studios yang ditandai denganTeam
kunci yang nilainya sama dengan salah satuData Analytics
atauQuality Assurance
. Untuk menghapus pengguna dari Studio yang ditandai denganTeam = Quality Assurance
, hapusQuality Assurance
dari daftar nilai tag.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
Untuk menghapus pengguna atau grup dari EMR Studio menggunakan konsol
Arahkan ke EMR konsol Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.
-
Pilih EMRStudio dari navigasi kiri.
-
Pilih nama Studio Anda dari daftar Studio, atau pilih Studio dan pilih Tampilkan detail, untuk membuka halaman detail Studio.
-
Di daftar Pengguna Studio pada halaman detail Studio, temukan pengguna atau grup yang ingin Anda hapus dari Studio. Anda dapat mencari berdasarkan nama atau jenis identitas.
-
Pilih pengguna atau grup yang ingin Anda hapus, pilih Hapus dan konfirmasi. Pengguna atau grup yang dihapus menghilang dari daftra Pengguna Studio.
Untuk menghapus pengguna atau grup dari EMR Studio menggunakan AWS CLI
Masukkan nilai Anda sendiri untuk argumen
delete-studio-session-mapping
berikut. Untuk informasi lebih lanjut tentang perintahdelete-studio-session-mapping
, lihat Referensi Perintah AWS CLI .aws emr delete-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<name-of-user-or-group-to-delete>
\