Amazon EMR と AWS IAM Identity Center の統合
Amazon EMR リリース 6.15.0 以降では、AWS IAM Identity Center の ID を使用して Amazon EMR クラスターに対する認証を行うことができます。以下のセクションでは、Identity Center と統合された EMR クラスター起動のコンセプト、前提条件、操作手順について説明します。
概要
IAM Identity Center により提供される信頼できる ID 伝達は、従業員のアイデンティティを安全に作成および接続し、AWS アカウントやアプリケーション全体にわたってアクセスを管理するのに役立ちます。この機能により、ユーザーは信頼できる ID 伝達を使用するアプリケーションにサインインでき、さらにそのアプリケーションは同じく信頼できる ID 伝播 を使用する AWS サービスのデータにアクセスするためのリクエストにそのユーザーの ID を渡すことができます。アクセスはユーザーの ID に基づいて管理されるため、ユーザーはデータにアクセスするためにデータベースのローカルユーザー認証情報を使用したり、IAM ロールを引き受けたりする必要はありません。
アイデンティティセンターは、組織の規模や種類を問わず、AWS における従業員の認証と認可に推奨されるアプローチです。Identity Center を使用すると、AWS でユーザー ID を作成・管理したり、あるいは Microsoft Active Directory、Okta、Ping Identity、JumpCloud、Google Workspace、Microsoft Entra ID (旧 Azure AD) などの既存の ID ソースを接続することができます。
詳細については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center とは」と「複数のアプリケーション間での信頼できる ID 伝達」を参照してください。
特徴と利点
Amazon EMR と IAM Identity Center の統合には、以下の利点があります。
-
Amazon EMR は、お使いの Identity Center ID を EMR クラスターに引き継ぐするための認証情報を提供します。
-
Amazon EMR は、サポートされているすべてのアプリケーションを、クラスター認証情報を使用して認証するように設定します。
-
Amazon EMR が Kerberos プロトコルを使用してサポート対象のアプリケーションのセキュリティを設定および管理するので、ユーザー側でコマンドやスクリプトを提供する必要はありません。
-
S3 Access Grants が管理する S3 プレフィックスの Identity Center ID を使用して Amazon S3 プレフィックスレベルの認可を執行できます。
-
AWS Lake Formation で管理される AWS Glue テーブル上で、アイデンティティセンター ID を使用してテーブルレベルの認可を適用できます。
