翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMR Studio の認証モードを選択する
EMR Studio は、認証モードと IAM Identity Center IAM認証モードの 2 つの認証モードをサポートしています。IAM モードは AWS Identity and Access Management (IAM) を使用し、IAMIdentity Center モードは を使用します AWS IAM Identity Center。EMR Studio を作成するときは、その Studio のすべてのユーザーの認証モードを選択します。各種認証モードの詳細については、「認証とユーザーログイン」を参照してください。
Studio の認証モードを選択するには、次の表を使用しますEMR。
状況 | 推奨設定 |
---|---|
IAM 認証またはフェデレーションを既に理解しているか、以前にセットアップしたことがある |
IAM 認証モード。以下のような利点があります。
|
AWS または Amazon を初めて使用する EMR |
IAM Identity Center 認証モード。次の特長があります。
|
Amazon EMR Studio のIAM認証モードを設定する
IAM 認証モードでは、IAM認証またはIAMフェデレーションを使用できます。IAM 認証を使用すると、 IAM のユーザー、グループ、ロールなどの ID を管理できますIAM。アクセスIAM許可ポリシーと属性ベースのアクセスコントロール (ABAC) を使用して Studio へのアクセス権をユーザーに付与します。IAM フェデレーションを使用すると、サードパーティー ID プロバイダー (IdP ) と の間の信頼を確立 AWS し、IdP を介してユーザー ID を管理できます。
注記
AWS リソースへのアクセスを制御するIAMために を既に使用している場合、または の ID プロバイダー (IdP ) を既に設定している場合はIAM、EMRStudio のIAM認証モードを使用するときに IAM 認証モードのユーザーアクセス許可を参照してユーザーアクセス許可を設定します。
Amazon EMR Studio のIAMフェデレーションを使用する
EMR Studio のIAMフェデレーションを使用するには、 AWS アカウント と ID プロバイダー (IdP) の間に信頼関係を作成し、フェデレーションユーザーが にアクセスできるようにします AWS Management Console。この信頼関係を作成するために実行する手順は、ご使用の IdP のフェデレーション標準によって異なります。
一般に、外部 IdP とのフェデレーションを設定するには、次のタスクを実行します。詳細な手順については、「 ユーザーガイドSAML」の「 2.0 フェデレーティッドユーザーの へのアクセスの有効化 AWS Management Console」および「 へのカスタム ID ブローカーアクセス AWS Management ConsoleのAWS Identity and Access Management 有効化」を参照してください。
-
IdP から情報を収集します。これは通常、IdP からのSAML認証リクエストを検証するためのメタデータドキュメントを生成することを意味します。
-
ID プロバイダーIAMエンティティを作成して、IdP に関する情報を保存します。手順については、IAM「ID プロバイダーの作成」を参照してください。
-
IdP の 1 つ以上のIAMロールを作成します。EMR Studio は、ユーザーがログインしたときにフェデレーティッドユーザーにロールを割り当てます。このロールで、IdP が AWSにアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。手順については、「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。ロールに割り当てるアクセス許可ポリシーによって、フェデレーティッドユーザーが Studio AWS および EMR Studio で実行できる操作が決まります。詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。
-
(SAMLプロバイダーの場合) に関する情報 AWS とフェデレーティッドユーザーに引き受けさせたいロールで IdP を設定して、SAML信頼を完了します。この設定プロセスにより、IdP と の間に証明書利用者の信頼が作成されます AWS。詳細については、「証明書利用者の信頼を使用した SAML 2.0 IdP の設定」および「クレームの追加」を参照してください。
IdP ポータルで EMR Studio をSAMLアプリケーションとして設定するには
EMR Studio へのディープリンクを使用して、特定の Studio をSAMLアプリケーションとして設定できます。これにより、ユーザーは Amazon EMRコンソールをナビゲートするのではなく、IdP ポータルにログインして特定の Studio を起動できます。
-
アSAMLサーション検証URL後のランディングとして EMR Studio へのディープリンクを設定するには、次の形式を使用します。
https://console.aws.amazon.com/emr/home?region=
<aws-region>
#studio/<your-studio-id>
/start
Amazon EMR Studio の IAM Identity Center 認証モードを設定する
EMR Studio AWS IAM Identity Center を準備するには、ID ソースを設定し、ユーザーとグループをプロビジョニングする必要があります。プロビジョニングとは、Identity Center および IAM Identity IAM Center を使用するアプリケーションがユーザーおよびグループの情報を使用できるようにするプロセスです。詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。
EMR Studio では、Identity Center に次の IAM ID プロバイダーの使用がサポートされています。
-
AWS Managed Microsoft AD およびセルフマネージド Active Directory – 詳細については、「Microsoft AD ディレクトリに接続する」を参照してください。
-
SAMLベースのプロバイダー – 詳細なリストについては、「サポートされている ID プロバイダー」を参照してください。
-
Identity Center ディレクトリ – 詳細については、IAM「Identity Center での ID の管理IAM」を参照してください。
IAM Identity Center for EMR Studio をセットアップするには
-
IAM Identity Center for EMR Studio を設定するには、以下が必要です。
-
AWS 組織内で複数のアカウントを使用している場合、組織内の管理アカウント。
注記
管理アカウントは、IAMIdentity Center を有効にし、ユーザーとグループをプロビジョニングする場合にのみ使用してください。IAM Identity Center を設定したら、メンバーアカウントを使用して EMR Studio を作成し、ユーザーとグループを割り当てます。 AWS 用語の詳細については、AWS Organizations 「 の用語と概念」を参照してください。
-
2019 年 11 月 25 日より前に IAM Identity Center を有効にした場合は、 AWS 組織内のアカウントに対して IAM Identity Center を使用するアプリケーションを有効にする必要がある場合があります。詳細については、「アカウントで IAM Identity Center 統合アプリケーションを有効にする AWS」を参照してください。
-
IAM Identity Center の前提条件ページに前提条件が表示されていることを確認します。
-
-
IAM 「アイデンティティセンターを有効にする」の手順に従って、EMRStudio AWS リージョン を作成する でIAMアイデンティティセンターを有効にします。
-
IAM Identity Center を ID プロバイダーに接続し、Studio に割り当てるユーザーとグループをプロビジョニングします。
使用するもの 手順 Microsoft AD ディレクトリ -
「Microsoft AD ディレクトリに接続する」の手順に従って、 を使用してセルフマネージド Active Directory または AWS Managed Microsoft AD ディレクトリを接続します AWS Directory Service。
-
IAM Identity Center のユーザーとグループをプロビジョニングするには、ソース AD から Identity Center に IAM ID データを同期できます。ソース AD の ID をさまざまな方法で同期できます。1 つの方法として、AD ユーザーまたはグループを組織内の AWS アカウントに割り当てることができます。手順については、「Single sign-on」を参照してください。
同期には最大 2 時間かかることがあります。このステップを完了すると、同期されたユーザーとグループが ID ストアに表示されます。
注記
ユーザーとグループは、ユーザーとグループの情報を同期するか just-in-time 、 (JIT) ユーザープロビジョニングを使用するまで、Identity Store に表示されません。詳細については、「Provisioning when users come from Active Directory」を参照してください。
-
(オプション) AD ユーザーとグループを同期したら、前のステップで設定した AWS アカウントへのアクセスを削除できます。手順については、「ユーザーアクセスを削除する」を参照してください。
外部 ID プロバイダー 「Connect to your external identity provider」の指示に従います。 IAM Identity Center ディレクトリ IAM Identity Center でユーザーとグループを作成すると、プロビジョニングは自動的に行われます。詳細については、「Identity Center での IAM ID の管理」を参照してください。 -
Identity Store から EMR Studio にユーザーとグループを割り当てることができるようになりました。手順については、ユーザーまたはグループを EMR Studio に割り当てる を参照してください。