Assegna e gestisci gli utenti di EMR Studio - Amazon EMR
Assegnazione di utentiAggiornamento delle autorizzazioni dell'utenteRimuovere gli utenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna e gestisci gli utenti di EMR Studio

Dopo aver creato uno EMR Studio, puoi assegnargli utenti e gruppi. Il metodo utilizzato per assegnare, aggiornare e rimuovere utenti dipende dalla modalità di autenticazione di Studio.

  • Quando utilizzate la modalità di IAM autenticazione, configurate l'assegnazione e le autorizzazioni degli utenti di EMR Studio all'interno IAM o con il vostro provider di IAM identità.

  • Con IAM la modalità di autenticazione Identity Center, utilizzi la console di EMR gestione Amazon o la AWS CLI per gestire gli utenti.

Per ulteriori informazioni sull'autenticazione per Amazon EMR Studio, consultaScegli una modalità di autenticazione per Amazon EMR Studio.

Assegna un utente o un gruppo a uno Studio EMR

IAM

Quando si utilizzaConfigura la modalità di IAM autenticazione per Amazon EMR Studio, è necessario consentire l'CreateStudioPresignedUrlazione nella politica IAM delle autorizzazioni di un utente e limitare l'utente a un particolare Studio. È possibile includere CreateStudioPresignedUrl nell'Autorizzazioni utente per la modalità di autenticazione IAM o usare una policy separata.

Per limitare un utente a uno Studio (o a un insieme di Studios), puoi utilizzare il controllo degli accessi basato sugli attributi (ABAC) o specificare l'Amazon Resource Name (ARN) di uno Studio nell'Resourceelemento della politica delle autorizzazioni.

Esempio Assegna un utente a uno Studio utilizzando uno Studio ARN

La seguente policy di esempio consente a un utente di accedere a un particolare EMR Studio autorizzando l'CreateStudioPresignedUrlazione e specificando l'Amazon Resource Name (ARN) dello Studio nell'Resourceelemento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}
Esempio Assegna un utente a uno Studio con ABAC per l'autenticazione IAM

Esistono diversi modi per configurare il controllo degli accessi basato sugli attributi (ABAC) per uno Studio. Ad esempio, potreste allegare uno o più tag a uno EMR Studio e quindi creare una IAM politica che limiti l'CreateStudioPresignedUrlazione a un particolare Studio o set di Studios con tali tag.

Puoi aggiungere tag durante o dopo la creazione di Studio. Per aggiungere tag a uno Studio esistente, puoi utilizzare il comando AWS CLIemr add-tags. L'esempio seguente aggiunge un tag con la coppia chiave-valore Team = Data Analytics a uno Studio. EMR 

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

Il seguente esempio di politica di autorizzazione consente l'CreateStudioPresignedUrlazione per EMR Studios con la coppia chiave-valore del tag. Team = DataAnalytics Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag o Controllo dell'accesso alle risorse AWS mediante i tag.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}
Esempio Assegna un utente a uno Studio utilizzando la chiave aws: global condition SourceIdentity

Quando utilizzi la IAM federazione, puoi utilizzare la chiave global condition aws:SourceIdentity in una politica di autorizzazioni per consentire agli utenti di accedere a Studio quando assumono il tuo IAM ruolo per la federazione.

Devi prima configurare il tuo provider di identità (IdP) per restituire una stringa identificativa, ad esempio un indirizzo e-mail o un nome utente, quando un utente si autentica e assume il tuo ruolo per la federazione. IAM IAMimposta la chiave aws:SourceIdentity di condizione globale sulla stringa identificativa restituita dal tuo IdP.

Per ulteriori informazioni, consulta il post sul blog How to relationship IAM role activity to corporate identity nel AWS Security Blog e la voce aws: SourceIdentity entry in the global condition keys reference.

La seguente politica di esempio consente l'CreateStudioPresignedUrlazione e offre agli utenti una politica aws:SourceIdentity che corrisponde a <example-source-identity> accesso allo EMR Studio specificato da <example-studio-arn>.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}
IAM Identity Center

Quando si assegna un utente o un gruppo a uno EMR Studio, si specifica una politica di sessione che definisce autorizzazioni dettagliate, come la possibilità di creare un nuovo EMR cluster, per quell'utente o gruppo. Amazon EMR memorizza queste mappature delle policy di sessione. È possibile aggiornare le policy di sessione a un utente o a un gruppo dopo l'assegnazione.

Nota

Le autorizzazioni finali per un utente o un gruppo sono un'intersezione tra le autorizzazioni definite nel ruolo utente di EMR Studio e le autorizzazioni definite nella politica di sessione per quell'utente o gruppo. Se un utente appartiene a più di un gruppo assegnato a Studio, EMR Studio utilizza un'unione di autorizzazioni per quell'utente.

Per assegnare utenti o gruppi a uno EMR Studio utilizzando la console Amazon EMR

  1. Passa alla nuova EMR console Amazon e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMRStudio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Seleziona Add Users (Aggiungi utenti) per visualizzare la tabella di ricerca Users (Utenti) e Groups (Gruppi).

  5. Seleziona la scheda Users (Utenti) oppure la scheda Groups (Gruppi) e inserisci un termine di ricerca nella barra di ricerca per trovare un utente o un gruppo.

  6. Seleziona uno o più utenti o gruppi dall'elenco dei risultati di ricerca. Puoi passare dalla scheda Utenti alla scheda Gruppi e viceversa.

  7. Dopo aver selezionato gli utenti e i gruppi da aggiungere allo Studio, scegli Add (Aggiungi). Dovresti visualizzare gli utenti e i gruppi nell'elenco Utenti dello Studio. Potrebbero essere necessari alcuni secondi prima che l'elenco venga aggiornato.

  8. Segui le istruzioni in Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio per perfezionare le autorizzazioni Studio per un utente o un gruppo.

Per assegnare un utente o un gruppo a uno EMR Studio utilizzando AWS CLI

Inserisci valori personalizzati per i seguenti argomenti create-studio-session-mapping. Per ulteriori informazioni sul comando create-studio-session-mapping, consulta la Guida di riferimento ai comandi della AWS CLI .

  • --studio-id: l'ID dello Studio a cui si desidera assegnare l'utente o il gruppo. Per ricevere istruzioni su come recuperare l'ID dello Studio, consulta Visualizzazione dei dettagli dello Studio.

  • --identity-name: il nome dell'utente o del gruppo dall'archivio identità. Per ulteriori informazioni, consulta UserNameper utenti e DisplayNamegruppi nell'Identity Store API Reference.

  • --identity-type: utilizza USER o GROUP per specificare il tipo di identità.

  • --session-policy-arn— L'Amazon Resource Name (ARN) per la policy di sessione che desideri associare all'utente o al gruppo. Ad esempio arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Per ulteriori informazioni, consulta Crea politiche di autorizzazione per EMR gli utenti di Studio.

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
Nota

I caratteri di continuazione della riga Linux (\) sono inclusi per la leggibilità. Possono essere rimossi o utilizzati nei comandi Linux. Per Windows, rimuoverli o sostituirli con un accento circonflesso (^).

Utilizza il comando get-studio-session-mapping per verificare la nuova assegnazione. Replace (Sostituisci) <example-identity-name> con il nome IAM dell'Identity Center dell'utente o del gruppo che hai aggiornato.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio

IAM

Per aggiornare le autorizzazioni di utenti o gruppi quando utilizzi la modalità di IAM autenticazione, utilizza IAM per modificare le politiche di IAM autorizzazione associate alle tue IAM identità (utenti, gruppi o ruoli).

Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.

IAM Identity Center
Per aggiornare le autorizzazioni di EMR Studio per un utente o un gruppo utilizzando la console

  1. Passa alla nuova EMR console Amazon e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMRStudio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Nell'elenco Studio users (Utenti dello Studio) nella pagina dei dettagli dello Studio, cerca l'utente o il gruppo che desideri aggiornare. Puoi eseguire la ricerca per nome o tipo di identità.

  5. Seleziona l'utente o il gruppo che desideri aggiornare e scegli Assign policy (Assegna policy) per aprire la finestra di dialogo Session policy (Policy di sessione).

  6. Seleziona una policy da applicare all'utente o al gruppo scelto nella fase 5 e scegli Apply policy (Applica policy). L'elenco Utenti dello Studio dovrebbe mostrare il nome della policy nella colonna Policy di sessione per l'utente o il gruppo aggiornato.

Per aggiornare le autorizzazioni di EMR Studio per un utente o un gruppo utilizzando AWS CLI

Inserisci valori personalizzati per i seguenti argomenti update-studio-session-mappings. Per ulteriori informazioni sul comando update-studio-session-mappings, consulta la Guida di riferimento ai comandi della AWS CLI .

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Utilizza il comando get-studio-session-mapping per verificare la nuova assegnazione della policy di sessione. Replace (Sostituisci) <example-identity-name> con il nome IAM dell'Identity Center dell'utente o del gruppo che hai aggiornato.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Rimozione di un utente o un gruppo da uno Studio

IAM

Per rimuovere un utente o un gruppo da uno EMR Studio quando si utilizza la modalità di IAM autenticazione, è necessario revocare l'accesso dell'utente allo Studio riconfigurando la politica delle autorizzazioni dell'utente. IAM

Nella politica di esempio seguente, supponiamo di avere uno EMR Studio con la coppia chiave-valore del tag. Team = Quality Assurance Secondo la policy, l'utente può accedere a Studio taggati con la chiave Team il cui valore è uguale a Data Analytics o Quality Assurance. Per rimuovere l'utente dallo Studio taggato con Team = Quality Assurance, rimuovi Quality Assurance dall'elenco dei valori dei tag.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}
IAM Identity Center
Per rimuovere un utente o un gruppo da uno EMR Studio utilizzando la console

  1. Passa alla nuova EMR console Amazon e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMRStudio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Nell'elenco Studio users (Utenti dello Studio) nella pagina dei dettagli dello Studio, individua l'utente o il gruppo che desideri rimuovere dallo Studio. Puoi eseguire la ricerca per nome o tipo di identità.

  5. Seleziona l'utente o il gruppo che desideri eliminare, quindi scegli Delete (Elimina) e conferma. L'utente o il gruppo eliminato scompare dall'elenco Utenti dello Studio.

Per rimuovere un utente o un gruppo da EMR uno Studio utilizzando AWS CLI

Inserisci valori personalizzati per i seguenti argomenti delete-studio-session-mapping. Per ulteriori informazioni sul comando delete-studio-session-mapping, consulta la Guida di riferimento ai comandi della AWS CLI .

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \