

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EMR Studio の認証モードの選択
<a name="emr-studio-authentication"></a>

EMR Studio は、IAM 認証モードと IAM Identity Center 認証モードという 2 つの認証モードをサポートしています。IAM モードは AWS Identity and Access Management (IAM) を使用し、IAM Identity Center モードは を使用します AWS IAM アイデンティティセンター。EMR Studio を作成するときは、その Studio のすべてのユーザーの認証モードを選択します。各種認証モードの詳細については、「[認証とユーザーログイン](how-emr-studio-works.md#emr-studio-login)」を参照してください。

次の表を使用して、EMR Studio の認証モードを選択します。


****  

| 状況 | 推奨設定 | 
| --- | --- | 
| IAM 認証またはフェデレーションに精通している、または以前に設定したことがある |  [IAM 認証モード](#emr-studio-iam-authentication)。以下のような利点があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 
|  AWS または Amazon EMR を初めて使用する場合 |  [IAM Identity Center 認証モード](#emr-studio-enable-sso)。次の特長があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 

## Amazon EMR Studio の IAM 認証モードの設定
<a name="emr-studio-iam-authentication"></a>

IAM 認証モードでは、IAM 認証または IAM フェデレーションを使用できます。IAM *認証*では、IAM のユーザー、グループ、ロールなどの IAM ID を管理できます。IAM アクセス許可ポリシーおよび[属性ベースのアクセスコントロール (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) を使用して Studio へのアクセス権をユーザーに付与します。IAM *フェデレーション*を使用すると、サードパーティー ID プロバイダー (IdP) と の間の信頼を確立 AWS し、IdP を介してユーザー ID を管理できます。

**注記**  
 AWS リソースへのアクセスを制御するために IAM を既に使用している場合、または IAM の ID プロバイダー (IdP) を既に設定している場合は、EMR Studio の IAM 認証モードを使用するときにユーザーアクセス許可を設定する [IAM 認証モードのユーザーアクセス許可](how-emr-studio-works.md#emr-studio-iam-authorization) を参照してください。

### Amazon EMR Studio での IAM フェデレーションの使用
<a name="emr-studio-iam-federation"></a>

EMR Studio で IAM フェデレーションを使用するには、 AWS アカウント と ID プロバイダー (IdP) の間に信頼関係を作成し、フェデレーティッドユーザーが にアクセスできるようにします AWS マネジメントコンソール。この信頼関係を作成するために実行する手順は、ご使用の IdP のフェデレーション標準によって異なります。

一般に、外部 IdP とのフェデレーションを設定するには、次のタスクを実行します。詳細な手順については、「*AWS Identity and Access Management ユーザーガイド*」の「[SAML 2.0 フェデレーティッドユーザーが AWS マネジメントコンソールにアクセス可能にする](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)」および「[カスタム ID ブローカーに対する AWS マネジメントコンソールへのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html)」を参照してください。

1. IdP から情報を収集します。これは通常、IdP からの SAML 認証リクエストを検証するためのメタデータドキュメントを生成することを意味します。

1. ID プロバイダーの IAM エンティティを作成して、IdP に関する情報を保存します。手順については、「[IAM ID プロバイダーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create.html)」を参照してください。

1. IdP のために 1 つ以上の IAM ロールを作成します。EMR Studio は、ユーザーのログイン時にフェデレーティッドユーザーにロールを割り当てます。このロールで、IdP が AWSにアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。手順については、「[サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。ロールに割り当てるアクセス許可ポリシーによって、フェデレーティッドユーザーが EMR Studio AWS および で実行できる操作が決まります。詳細については、「[IAM 認証モードのユーザーアクセス許可](how-emr-studio-works.md#emr-studio-iam-authorization)」を参照してください。

1. (SAML プロバイダーの場合) に関する情報 AWS とフェデレーティッドユーザーが引き受けるロールを使用して IdP を設定して、SAML 信頼を完了します。この設定プロセスにより、IdP と の間に*証明書利用者の信頼*が作成されます AWS。詳細については、「[証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html)」を参照してください。

**IdP ポータルの SAML アプリケーションとして EMR Studio を設定するには**

Studio へのディープリンクを使用して、特定の EMR Studio を SAML アプリケーションとして設定できます。これにより、ユーザーは、Amazon EMR コンソールでナビゲートする代わりに、IdP ポータルにログインして、特定の Studio を起動できます。
+ SAML アサーション検証後のランディング URL として EMR Studio へのディープリンクを設定するには、次の形式を使用します。

  ```
  https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
  ```

## Amazon EMR Studio の IAM Identity Center 認証モードの設定
<a name="emr-studio-enable-sso"></a>

EMR Studio AWS IAM アイデンティティセンター を準備するには、ID ソースを設定し、ユーザーとグループをプロビジョニングする必要があります。プロビジョニングとは、ユーザーおよびグループの情報を IAM Identity Center および IAM Identity Center を使用するアプリケーションで使用できるようにするプロセスです。詳細については、「[ユーザーおよびグループのプロビジョニング](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision)」を参照してください。

EMR Studio では、IAM Identity Center の次の ID プロバイダーの使用をサポートしています。
+ **AWS Managed Microsoft AD およびセルフマネージド Active Directory** – 詳細については、[「Microsoft AD ディレクトリに接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html)」を参照してください。
+ **SAML ベースのプロバイダー** — 詳細なリストについては、「[Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)」を参照してください。
+ **IAM Identity Center ディレクトリ** — 詳細については、「[IAM Identity Center での ID の管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)」を参照してください。

**EMR Studio 用に IAM Identity Center を設定するには**

1. EMR Studio 用に IAM Identity Center を設定するには、次のものが必要です。
   +  AWS 組織内で複数のアカウントを使用する場合の、組織内の管理アカウント。
**注記**  
管理アカウントを使用するのは、IAM Identity Center を有効にする場合とユーザーおよびグループを*プロビジョニング*する場合のみにしてください。IAM Identity Center の設定後、メンバーアカウントを使用して EMR Studio を作成し、ユーザーとグループを*割り当て*ます。 AWS 用語の詳細については、[AWS Organizations 「 の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。
   + 2019 年 11 月 25 日より前に IAM アイデンティティセンターを有効にした場合は、 AWS 組織内のアカウントに対して IAM アイデンティティセンターを使用するアプリケーションを有効にする必要がある場合があります。詳細については、[AWS 「アカウントで IAM Identity Center 統合アプリケーションを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement)」を参照してください。
   + 「[IAM Identity Center prerequisites](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)」ページに示されている前提条件を満たしていることを確認します。

1. [「IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)」の手順に従って、EMR Studio を作成する AWS リージョン で IAM アイデンティティセンターを有効にします。

1. IAM Identity Center を ID プロバイダーに接続して、Studio に割り当てるユーザーとグループをプロビジョニングします。  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/emr/latest/ManagementGuide/emr-studio-authentication.html)

これで、ID ストアのユーザーおよびグループを EMR Studio に割り当てることができるようになりました。手順については、「[EMR Studio にユーザーまたはグループを割り当てる](emr-studio-manage-users.md#emr-studio-assign-users-groups)」を参照してください。