翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon AWS IAM Identity Center の統合の開始方法 EMR
このセクションでは、 と統合EMRするように Amazon を設定する方法について説明します AWS IAM Identity Center。
トピック
Identity Center インスタンスを作成する
まだインスタンスがない場合は、EMRクラスターを起動する に Identity Center AWS リージョン インスタンスを作成します。各 Identity Center インスタンスは、 AWS アカウントの 1 つのリージョンにのみ存在できます。
次の AWS CLI コマンドを使用して、 という名前の新しいインスタンスを作成します
。MyInstance
aws sso-admin create-instance --name
MyInstance
Identity Center の IAMロールを作成する
Amazon EMRを と統合するには AWS IAM Identity Center、EMRクラスターから Identity Center で認証する IAMロールを作成します。内部では、Amazon EMRはSigV4認証情報を使用して Identity Center アイデンティティを などのダウンストリームサービスに中継します AWS Lake Formation。また、お使いのロールには下流のサービスを呼び出すための所定の権限が必要です。
ロールを作成するときは、以下のアクセス許可ポリシーを使用してください。
{ "Statement": [ { "Sid": "IdCPermissions", "Effect": "Allow", "Action": [ "sso-oauth:*" ], "Resource": "*" }, { "Sid": "GlueandLakePermissions", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" }, { "Sid": "AccessGrantsPermissions", "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ], "Resource": "*" } ] }
このロールの信頼ポリシーにより、InstanceProfile ロールにロールを引き継がせることができます。
{ "Sid": "AssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] }
ロールに信頼できる認証情報がなく、Lake Formation で保護されたテーブルにアクセスする場合、Amazon は引き受けたロールprincipalId
の EMRを自動的に に設定します
。以下は、 を表示する CloudTrail イベントのスニペットですuserID
-untrustedprincipalId
。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted", "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted", "accountId": "123456789012", "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3" ...
Identity Center 対応のセキュリティ設定を作成します。
IAM Identity Center との統合で EMRクラスターを起動するには、次のコマンド例を使用して、Identity Center が有効になっている Amazon EMR セキュリティ設定を作成します。各設定について以下で説明します。
aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{ "AuthenticationConfiguration":{ "IdentityCenterConfiguration":{ "EnableIdentityCenter":true, "IdentityCenterApplicationAssigmentRequired":false, "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789", "IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role" } }, "AuthorizationConfiguration": { "LakeFormationConfiguration": { "EnableLakeFormation": true } }, "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": false, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "s3://my-bucket/cert/my-certs.zip" } } } }'
-
EnableIdentityCenter
- (必須) Identity Center 統合を有効にします。 -
IdentityCenterApplicationARN
– (必須) Identity Center インスタンス ARN。 -
IAMRoleForEMRIdentityCenterApplicationARN
– (必須) クラスターから Identity Center トークンを調達するIAMロール。 -
IdentityCenterApplicationAssignmentRequired
- (ブーリアン型) Identity Center アプリケーションを使用するために割り当てが必要かどうかを制御します。デフォルト値はtrue
です。 -
AuthorizationConfiguration
/LakeFormationConfiguration
– オプションで、認証を設定します。-
EnableLakeFormation
- クラスタ上で Lake Formation 認証を有効にします。
-
Identity Center と Amazon の統合を有効にするにはEMR、 EncryptionConfiguration
と を指定する必要がありますIntransitEncryptionConfiguration
。
Identify Center 対応クラスターを作成して起動します。
Identity Center で認証するIAMロールを設定し、Identity Center が有効になっている Amazon EMR セキュリティ設定を作成したら、アイデンティティ対応クラスターを作成して起動できます。必要なセキュリティ設定を使用してクラスターを起動するステップについては、「クラスターのセキュリティ設定を指定する」を参照してください。
必要に応じて、Amazon がEMRサポートする他のセキュリティオプションで Identity Center 対応クラスターを使用する場合は、次のセクションを参照してください。