Amazon EMR Studio の認証モードを選択する

EMR Studio は、認証モードと IAM Identity Center IAM認証モードの 2 つの認証モードをサポートしています。IAM モードは AWS Identity and Access Management （IAM) を使用し、IAMIdentity Center モードはを使用します AWS IAM Identity Center。EMR Studio を作成するときは、その Studio のすべてのユーザーの認証モードを選択します。各種認証モードの詳細については、「認証とユーザーログイン」を参照してください。

Studio の認証モードを選択するには、次の表を使用しますEMR。

状況	推奨設定
IAM 認証またはフェデレーションを既に理解しているか、以前にセットアップしたことがある	IAM 認証モード。以下のような利点があります。でユーザーやグループなどの ID をすでに管理している場合は、EMRStudio のクイックセットアップを提供しますIAM。 OpenID Connect (OIDC) または Security Assertion Markup Language 2.0 (SAML 2.0) と互換性のある ID プロバイダーで動作します。同じ AWS アカウントで複数の ID プロバイダーを使用できます。多数ので使用できます AWS リージョン。 2 SOC に準拠しています。
AWS または Amazon を初めて使用する EMR	IAM Identity Center 認証モード。次の特長があります。 AWS リソースへのユーザーとグループの簡単な割り当てをサポートします。 Microsoft Active Directory および 2.0 ID SAML プロバイダーと連携します。マルチアカウントフェデレーションの設定を容易にするため、組織 AWS アカウント内のごとにフェデレーションを個別に設定する必要はありません。

状況

推奨設定

IAM 認証またはフェデレーションを既に理解しているか、以前にセットアップしたことがある

IAM 認証モード。以下のような利点があります。

でユーザーやグループなどの ID をすでに管理している場合は、EMRStudio のクイックセットアップを提供しますIAM。
OpenID Connect (OIDC) または Security Assertion Markup Language 2.0 (SAML 2.0) と互換性のある ID プロバイダーで動作します。
同じ AWS アカウントで複数の ID プロバイダーを使用できます。
多数ので使用できます AWS リージョン。
2 SOC に準拠しています。

AWS または Amazon を初めて使用する EMR

IAM Identity Center 認証モード。次の特長があります。

AWS リソースへのユーザーとグループの簡単な割り当てをサポートします。
Microsoft Active Directory および 2.0 ID SAML プロバイダーと連携します。
マルチアカウントフェデレーションの設定を容易にするため、組織 AWS アカウント内のごとにフェデレーションを個別に設定する必要はありません。

Amazon EMR Studio のIAM認証モードを設定する

IAM 認証モードでは、IAM認証またはIAMフェデレーションを使用できます。IAM 認証を使用すると、 IAM のユーザー、グループ、ロールなどの ID を管理できますIAM。アクセスIAM許可ポリシーと属性ベースのアクセスコントロール (ABAC) を使用して Studio へのアクセス権をユーザーに付与します。IAM フェデレーションを使用すると、サードパーティー ID プロバイダー (IdP ) との間の信頼を確立 AWS し、IdP を介してユーザー ID を管理できます。

注記

AWS リソースへのアクセスを制御するIAMためにを既に使用している場合、またはの ID プロバイダー (IdP ) を既に設定している場合はIAM、EMRStudio のIAM認証モードを使用するときに IAM 認証モードのユーザーアクセス許可を参照してユーザーアクセス許可を設定します。

Amazon EMR Studio のIAMフェデレーションを使用する

EMR Studio のIAMフェデレーションを使用するには、 AWS アカウントと ID プロバイダー (IdP) の間に信頼関係を作成し、フェデレーションユーザーがにアクセスできるようにします AWS Management Console。この信頼関係を作成するために実行する手順は、ご使用の IdP のフェデレーション標準によって異なります。

一般に、外部 IdP とのフェデレーションを設定するには、次のタスクを実行します。詳細な手順については、「ユーザーガイドSAML」の「 2.0 フェデレーティッドユーザーのへのアクセスの有効化 AWS Management Console 」および「へのカスタム ID ブローカーアクセス AWS Management ConsoleのAWS Identity and Access Management 有効化」を参照してください。

IdP から情報を収集します。これは通常、IdP からのSAML認証リクエストを検証するためのメタデータドキュメントを生成することを意味します。
ID プロバイダーIAMエンティティを作成して、IdP に関する情報を保存します。手順については、IAM「ID プロバイダーの作成」を参照してください。
IdP の 1 つ以上のIAMロールを作成します。EMR Studio は、ユーザーがログインしたときにフェデレーティッドユーザーにロールを割り当てます。このロールで、IdP が AWSにアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。手順については、「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。ロールに割り当てるアクセス許可ポリシーによって、フェデレーティッドユーザーが Studio AWS および EMR Studio で実行できる操作が決まります。詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。
（SAMLプロバイダーの場合) に関する情報 AWS とフェデレーティッドユーザーに引き受けさせたいロールで IdP を設定して、SAML信頼を完了します。この設定プロセスにより、IdP との間に証明書利用者の信頼が作成されます AWS。詳細については、「証明書利用者の信頼を使用した SAML 2.0 IdP の設定」および「クレームの追加」を参照してください。

IdP ポータルで EMR Studio をSAMLアプリケーションとして設定するには

EMR Studio へのディープリンクを使用して、特定の Studio をSAMLアプリケーションとして設定できます。これにより、ユーザーは Amazon EMRコンソールをナビゲートするのではなく、IdP ポータルにログインして特定の Studio を起動できます。

アSAMLサーション検証URL後のランディングとして EMR Studio へのディープリンクを設定するには、次の形式を使用します。
```
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
```

Amazon EMR Studio の IAM Identity Center 認証モードを設定する

EMR Studio AWS IAM Identity Center を準備するには、ID ソースを設定し、ユーザーとグループをプロビジョニングする必要があります。プロビジョニングとは、Identity Center および IAM Identity IAM Center を使用するアプリケーションがユーザーおよびグループの情報を使用できるようにするプロセスです。詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

EMR Studio では、Identity Center に次の IAM ID プロバイダーの使用がサポートされています。

AWS Managed Microsoft AD およびセルフマネージド Active Directory – 詳細については、「Microsoft AD ディレクトリに接続する」を参照してください。
SAMLベースのプロバイダー – 詳細なリストについては、「サポートされている ID プロバイダー」を参照してください。
Identity Center ディレクトリ – 詳細については、IAM「Identity Center での ID の管理IAM」を参照してください。

IAM Identity Center for EMR Studio をセットアップするには

IAM Identity Center for EMR Studio を設定するには、以下が必要です。
- AWS 組織内で複数のアカウントを使用している場合、組織内の管理アカウント。
  
  注記
  管理アカウントは、IAMIdentity Center を有効にし、ユーザーとグループをプロビジョニングする場合にのみ使用してください。IAM Identity Center を設定したら、メンバーアカウントを使用して EMR Studio を作成し、ユーザーとグループを割り当てます。 AWS 用語の詳細については、AWS Organizations 「の用語と概念」を参照してください。
- 2019 年 11 月 25 日より前に IAM Identity Center を有効にした場合は、 AWS 組織内のアカウントに対して IAM Identity Center を使用するアプリケーションを有効にする必要がある場合があります。詳細については、「アカウントで IAM Identity Center 統合アプリケーションを有効にする AWS」を参照してください。
- IAM Identity Center の前提条件ページに前提条件が表示されていることを確認します。
IAM 「アイデンティティセンターを有効にする」の手順に従って、EMRStudio AWS リージョンを作成するでIAMアイデンティティセンターを有効にします。

IAM Identity Center を ID プロバイダーに接続し、Studio に割り当てるユーザーとグループをプロビジョニングします。

使用するもの	手順
Microsoft AD ディレクトリ	「Microsoft AD ディレクトリに接続する」の手順に従って、を使用してセルフマネージド Active Directory または AWS Managed Microsoft AD ディレクトリを接続します AWS Directory Service。 IAM Identity Center のユーザーとグループをプロビジョニングするには、ソース AD から Identity Center に IAM ID データを同期できます。ソース AD の ID をさまざまな方法で同期できます。1 つの方法として、AD ユーザーまたはグループを組織内の AWS アカウントに割り当てることができます。手順については、「Single sign-on」を参照してください。同期には最大 2 時間かかることがあります。このステップを完了すると、同期されたユーザーとグループが ID ストアに表示されます。注記ユーザーとグループは、ユーザーとグループの情報を同期するか just-in-time 、 (JIT) ユーザープロビジョニングを使用するまで、Identity Store に表示されません。詳細については、「Provisioning when users come from Active Directory」を参照してください。（オプション) AD ユーザーとグループを同期したら、前のステップで設定した AWS アカウントへのアクセスを削除できます。手順については、「ユーザーアクセスを削除する」を参照してください。
外部 ID プロバイダー	「Connect to your external identity provider」の指示に従います。
IAM Identity Center ディレクトリ	IAM Identity Center でユーザーとグループを作成すると、プロビジョニングは自動的に行われます。詳細については、「Identity Center での IAM ID の管理」を参照してください。

Identity Store から EMR Studio にユーザーとグループを割り当てることができるようになりました。手順については、ユーザーまたはグループを EMR Studio に割り当てるを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon EMR Studio のセットアップ

EMR Studio サービスロールを作成する