Scegli una modalità di autenticazione per Amazon EMR Studio - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli una modalità di autenticazione per Amazon EMR Studio

EMRStudio supporta due modalità di autenticazione: modalità di IAM autenticazione e modalità di autenticazione IAM Identity Center. IAMla modalità utilizza AWS Identity and Access Management (IAM), mentre la modalità IAM Identity Center utilizza AWS IAM Identity Center. Quando crei uno EMR Studio, scegli la modalità di autenticazione per tutti gli utenti di quello Studio. Per ulteriori informazioni sulle differenti modalità di autenticazione, consulta Autenticazione e accesso utente.

Utilizzate la tabella seguente per scegliere una modalità di autenticazione per EMR Studio.

Se hai... Consigliamo…
Conoscete già o avete già configurato IAM l'autenticazione o la federazione

Modalità di autenticazione IAM, che offre i vantaggi seguenti:

  • Fornisce una configurazione rapida per EMR Studio se gestisci già identità come utenti e gruppi inIAM.

  • Funziona con provider di identità compatibili con OpenID Connect (OIDC) o Security Assertion Markup Language 2.0 (2.0). SAML

  • Supporta l'utilizzo di più provider di identità con lo stesso Account AWS.

  • Disponibile in un'ampia gamma di. Regioni AWS

  • Conforme a 2. SOC

Sei nuovo sul AWS nostro Amazon EMR

IAMModalità di autenticazione Identity Center, che offre le seguenti caratteristiche:

  • Supporta una facile assegnazione di utenti e gruppi alle AWS risorse.

  • Funziona con i provider di identità Microsoft Active Directory e SAML 2.0.

  • Facilita la configurazione della federazione di più account in modo da non dover configurare separatamente la federazione per ciascun membro Account AWS dell'organizzazione.

Configura la modalità di IAM autenticazione per Amazon EMR Studio

Con la modalità di IAM autenticazione, puoi utilizzare l'IAMautenticazione o la IAM federazione. IAMl'autenticazione consente di gestire IAM identità come utenti, gruppi e ruoli inIAM. Concedi agli utenti l'accesso a uno Studio con politiche di IAM autorizzazione e controllo degli accessi basato sugli attributi (). ABAC IAMla federazione consente di stabilire un rapporto di fiducia tra un provider di identità (IdP) di terze parti e AWS di gestire le identità degli utenti tramite l'IdP.

Nota

Se lo utilizzi già IAM per controllare l'accesso alle AWS risorse o se hai già configurato il tuo provider di identità (IdP) perIAM, vedi Autorizzazioni utente per la modalità di autenticazione IAM Impostare le autorizzazioni utente quando usi la modalità di IAM autenticazione per Studio. EMR

Usa la IAM federazione per Amazon EMR Studio

Per utilizzare la IAM federazione per EMR Studio, crei una relazione di fiducia tra il tuo Account AWS e il tuo provider di identità (IdP) e consenti agli utenti federati di accedere a. AWS Management Console Le fasi che intraprendi per creare questa relazione di fiducia differiscono a seconda dello standard federativo del tuo IdP.

In generale, si completano le seguenti attività per configurare la federazione con un IdP esterno. Per istruzioni complete, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console e Abilitare l'accesso tramite broker di identità personalizzato AWS Management Console nella Guida per l'utente.AWS Identity and Access Management

  1. Raccogli informazioni dal tuo gestore dell'identità digitale. Questo di solito significa generare un documento di metadati per convalidare le richieste di SAML autenticazione del tuo IdP.

  2. Crea un'IAMentità provider di identità per archiviare le informazioni sul tuo IdP. Per istruzioni, consulta Creazione di provider di IAM identità.

  3. Crea uno o più IAM ruoli per il tuo IdP. EMRStudio assegna un ruolo a un utente federato quando l'utente effettua l'accesso. Il ruolo consente all'IdP di richiedere credenziali di sicurezza provvisorie per l'accesso a AWS. Per ricevere istruzioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione). Le politiche di autorizzazione assegnate al ruolo determinano cosa possono fare gli utenti federati in e in Studio. AWS EMR Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.

  4. (Per i SAML provider) Completa la SAML fiducia configurando il tuo IdP con le AWS informazioni e i ruoli che desideri vengano assunti dagli utenti federati. Questo processo di configurazione crea fiducia tra il tuo AWS IdP e. Per ulteriori informazioni, consulta Configurazione del tuo IdP SAML 2.0 con relying party trust e aggiunta di claim.

Per configurare uno EMR Studio come SAML applicazione nel tuo portale IdP

Puoi configurare un determinato EMR Studio come SAML applicazione utilizzando un collegamento diretto allo Studio. In questo modo gli utenti possono accedere al tuo portale IdP e avviare uno Studio specifico invece di navigare attraverso la console Amazon. EMR

  • Utilizza il seguente formato per configurare un collegamento diretto al tuo EMR Studio come destinazione URL dopo la verifica delle SAML asserzioni.

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configura IAM la modalità di autenticazione Identity Center per Amazon EMR Studio

AWS IAM Identity Center Per prepararsi a EMR utilizzare Studio, è necessario configurare l'origine dell'identità ed effettuare il provisioning di utenti e gruppi. Il provisioning è il processo che rende disponibili le informazioni su utenti e gruppi per l'uso da parte di IAM Identity Center e delle applicazioni che utilizzano IAM Identity Center. Per ulteriori informazioni, consulta Provisioning di utenti e gruppi.

EMRStudio supporta l'utilizzo dei seguenti provider di IAM identità per Identity Center:

Per configurare IAM Identity Center for Studio EMR
  1. Per configurare IAM Identity Center for EMR Studio, è necessario quanto segue:

    • Un account di gestione nell' AWS organizzazione se si utilizzano più account nell'organizzazione.

      Nota

      È necessario utilizzare l'account di gestione solo per abilitare IAM Identity Center ed effettuare il provisioning di utenti e gruppi. Dopo aver configurato IAM Identity Center, utilizza un account membro per creare uno EMR Studio e assegnare utenti e gruppi. Per ulteriori informazioni sulla AWS terminologia, vedere AWS Organizations Terminologia e concetti.

    • Se hai abilitato IAM Identity Center prima del 25 novembre 2019, potresti dover abilitare le applicazioni che utilizzano IAM Identity Center per gli account dell'organizzazione. AWS Per ulteriori informazioni, consulta Abilitare le applicazioni integrate con IAM Identity Center negli AWS account.

    • Assicurati di disporre dei prerequisiti elencati nella pagina dei prerequisiti di IAMIdentity Center.

  2. Segui le istruzioni in Abilita IAM Identity Center per abilitare IAM Identity Center nel Regione AWS luogo in cui desideri creare lo EMR Studio.

  3. Connect IAM Identity Center al tuo provider di identità e fornisci gli utenti e i gruppi che desideri assegnare allo Studio.

    Se utilizzi... Esegui questa operazione…
    Una directory Microsoft AD
    1. Segui le istruzioni in Connect to your Microsoft AD directory per connettere la tua AWS Managed Microsoft AD directory o Active Directory autogestita utilizzando AWS Directory Service.

    2. Per assegnare a utenti e gruppi IAM Identity Center, puoi sincronizzare i dati di identità dal tuo AD di origine a IAM Identity Center. Puoi sincronizzare le identità della tua AD di origine in molti modi. Un possibile modo è quello di assegnare utenti o gruppi AD a un account AWS nell'organizzazione. Per ricevere istruzioni, consulta Accesso single sign-on.

      La sincronizzazione può richiedere fino a due ore. Dopo avere completato questa fase, verranno visualizzati gli utenti e i gruppi sincronizzati nell'archivio identità.

      Nota

      Gli utenti e i gruppi non vengono visualizzati nell'Identity Store finché non sincronizzi le informazioni su utenti e gruppi o utilizzi just-in-time (JIT) il provisioning degli utenti. Per ulteriori informazioni, consulta Provisioning quando gli utenti provengono da Active Directory.

    3. (Facoltativo) Dopo aver sincronizzato gli utenti e i gruppi AD, puoi rimuovere il loro accesso al tuo AWS account configurato nel passaggio precedente. Per ricevere istruzioni, consulta Rimozione dell'accesso degli utenti.

    Un provider di identità esterno Segui le istruzioni in Connessione al provider di identità esterno.
    La directory di IAM Identity Center Quando si creano utenti e gruppi in IAM Identity Center, il provisioning è automatico. Per ulteriori informazioni, consulta Gestire le IAM identità in Identity Center.

Ora puoi assegnare utenti e gruppi dal tuo Identity Store a uno EMR Studio. Per istruzioni, consulta Assegna un utente o un gruppo a uno Studio EMR.