翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EMR Studio ユーザーの割り当てと管理
EMR Studio を作成したら、その Studio にユーザーとグループを割り当てることができます。ユーザーの割り当て、更新、削除に使用する方法は、Studio 認証モードによって異なります。
-
IAM 認証モードを使用する場合は、 IAMまたは と ID プロバイダーで EMR Studio ユーザー割り当てIAMとアクセス許可を設定します。
-
IAM Identity Center 認証モードでは、Amazon EMRマネジメントコンソールまたは AWS CLI を使用してユーザーを管理します。
Amazon EMR Studio の認証の詳細については、「」を参照してくださいAmazon EMR Studio の認証モードを選択する。
ユーザーまたはグループを EMR Studio に割り当てる
- IAM
-
を使用する場合はAmazon EMR Studio のIAM認証モードを設定する、ユーザーのIAMアクセス許可ポリシーで
CreateStudioPresignedUrl
アクションを許可し、ユーザーを特定の Studio に制限する必要があります。IAM 認証モードのユーザーアクセス許可 にCreateStudioPresignedUrl
を含めるか、別のポリシーを使用できます。ユーザーを Studio (または Studio のセット) に制限するには、属性ベースのアクセスコントロール (ABAC) を使用するか、アクセス許可ポリシーの
Resource
要素で Studio の Amazon リソースネーム (ARN) を指定します。例 Studio を使用して Studio にユーザーを割り当てる ARN
次のポリシー例では、
CreateStudioPresignedUrl
アクションを許可し、Resource
要素で EMR Studio の Amazon リソースネーム (ARN) を指定することで、特定の Studio へのアクセス権をユーザーに付与します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/<studio-id>
" } ] }例 IAM 認証ABACのために を使用して Studio にユーザーを割り当てる
Studio の属性ベースのアクセスコントロール (ABAC) を設定するには、複数の方法があります。例えば、EMRStudio に 1 つ以上のタグをアタッチし、それらのタグを持つ特定の Studio または Studio のセットに
CreateStudioPresignedUrl
アクションを制限する IAMポリシーを作成できます。Studio の作成中または作成後にタグを追加できます。タグを既存の Studio に追加するには、AWS CLI
emr add-tags
コマンドを使用します。次の例では、キーと値のペアを持つタグを EMR Studio に追加 Team = Data Analytics
します。aws emr add-tags --resource-id
<example-studio-id>
--tags Team="Data Analytics"次のアクセス許可ポリシーの例では、タグのキーと値のペア を持つ EMR Studio の
CreateStudioPresignedUrl
アクションを許可しますTeam = DataAnalytics
。タグを使用したアクセス制御の詳細については、「タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」または「タグを使用した AWS リソースへのアクセスの制御」を参照してください。{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }例 aws:SourceIdentity global 条件キーを使用して Studio にユーザーを割り当てる
IAM フェデレーションを使用する場合、アクセス許可ポリシー
aws:SourceIdentity
で グローバル条件キーを使用して、フェデレーションのIAMロールを引き受けるときに Studio アクセスをユーザーに付与できます。ユーザーがフェデレーションIAMのためにロールを認証して引き受けるときに、E メールアドレスやユーザー名などの識別文字列を返すように ID プロバイダー (IdP) を設定する必要があります。IAM は、グローバル条件キー
aws:SourceIdentity
を IdP によって返される識別文字列に設定します。詳細については、 セキュリティブログのIAM「ロールアクティビティを企業アイデンティティに関連付ける方法
」ブログ記事 AWS と、 グローバル条件キーリファレンスの「aws:SourceIdentity エントリ」を参照してください。 次のポリシー例では、
CreateStudioPresignedUrl
アクションを許可し、aws:SourceIdentity
に一致する をユーザーに付与します。<example-source-identity>
で指定された EMR Studio へのアクセス<example-studio-arn>
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "
<example-studio-arn>
", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>
" } } } ] } - IAM Identity Center
-
EMR Studio にユーザーまたはグループを割り当てるときは、そのユーザーまたはグループに対して新しいEMRクラスターを作成する機能など、きめ細かなアクセス許可を定義するセッションポリシーを指定します。Amazon は、これらのセッションポリシーマッピングEMRを保存します。ユーザーまたはグループのセッションポリシーは、割り当て後に更新できます。
注記
ユーザーまたはグループの最終的なアクセス許可は、EMRStudio ユーザーロールで定義されているアクセス許可と、そのユーザーまたはグループのセッションポリシーで定義されているアクセス許可の共通部分です。ユーザーが Studio に割り当てられた複数のグループに属している場合、EMRStudio はそのユーザーのアクセス許可の結合を使用します。
Amazon EMRコンソールを使用して EMR Studio にユーザーまたはグループを割り当てるには
新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。
-
左のナビゲーションから EMR Studio を選択します。
-
Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。
-
[Add Users] (ユーザーの追加) を選択して、[Users] (ユーザー) および [Groups] (グループ) 検索テーブルを表示します。
-
[Users] (ユーザー) タブまたは [Groups] (グループ) タブを選択し、検索バーに検索語を入力して、ユーザーまたはグループを検索します。
-
検索結果リストから 1 つ以上のユーザーまたはグループを選択します。[Users] (ユーザー) タブと [Groups] (グループ) タブを切り替えることができます。
-
Studio に追加するユーザーおよびグループを選択したら、[Add] (追加) を選択します。ユーザーとグループが [Studio users] (Studio ユーザー) リストに表示されます。リストが更新されるまでに数秒かかることがあります。
-
「Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する」の指示に従って、ユーザーまたはグループの Studio アクセス許可を絞り込みます。
を使用して EMR Studio にユーザーまたはグループを割り当てるには AWS CLI
次の
create-studio-session-mapping
引数に独自の値を挿入します。create-studio-session-mapping
コマンドの詳細については、「AWS CLI Command Reference」を参照してください。-
--studio-id
- ユーザーまたはグループを割り当てる Studio の ID。Studio ID を取得する方法の手順については、「Studio の詳細の表示」を参照してください。 -
--identity-name
- ID ストアからのユーザーまたはグループの名前。詳細については、「 Identity Store APIリファレンスUserName」の「 ユーザーの場合は」、グループDisplayNameの場合は「」を参照してください。 -
--identity-type
-USER
またはGROUP
のいずれかを使用して、ID タイプを指定します。 -
--session-policy-arn
– ユーザーまたはグループに関連付けるセッションポリシーの Amazon リソースネーム (ARN)。例えば、arn:aws:iam::
と指定します。詳細については、「EMR Studio ユーザーのアクセス許可ポリシーを作成する」を参照してください。<aws-account-id>
:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<example-identity-name>
\ --identity-type<USER-or-GROUP>
\ --session-policy-arn<example-session-policy-arn>
注記
読みやすくするために、Linux 行連続文字 (\) が含まれています。Linux コマンドでは、これらは削除することも、使用することもできます。Windows の場合、削除するか、キャレット (^) に置き換えてください。
get-studio-session-mapping
コマンドを使用して、新しい割り当てを確認します。置換<example-identity-name>
更新したユーザーまたはグループの IAM Identity Center 名を入力します。aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する
- IAM
-
IAM 認証モードを使用するときにユーザーまたはグループのアクセス許可を更新するには、 IAMを使用して、ID (ユーザー、グループ、またはロール) IAM にアタッチされたIAMアクセス許可ポリシーを変更します。
詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。
- IAM Identity Center
-
コンソールを使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには
新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。
-
左のナビゲーションから EMR Studio を選択します。
-
Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。
-
Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、更新するユーザーまたはグループを検索します。名前または ID タイプで検索できます。
-
更新対象のユーザーまたはグループを選択し、[Assign policy] (ポリシーの割り当て) を選択して [Session policy] (セッションポリシー) ダイアログボックスを開きます。
-
手順 5 で選択したユーザーまたはグループに適用するポリシーを選択し、[Apply policy] (ポリシーを適用) を選択します。[Studio users] (Studio ユーザー) リストでは、更新したユーザーまたはグループの [Session policy] (セッションポリシー) 列にポリシー名が表示されます。
を使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには AWS CLI
次の
update-studio-session-mappings
引数に独自の値を挿入します。update-studio-session-mappings
コマンドの詳細については、「AWS CLI Command Reference」を参照してください。aws emr update-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<name-of-user-or-group-to-update>
\ --session-policy-arn<new-session-policy-arn-to-apply>
\ --identity-type<USER-or-GROUP>
\get-studio-session-mapping
コマンドを使用して、新しいセッションポリシーの割り当てを確認します。置換<example-identity-name>
更新したユーザーまたはグループの IAM Identity Center 名を入力します。aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Studio からユーザーまたはグループを削除する
- IAM
-
IAM 認証モードを使用するときに EMR Studio からユーザーまたはグループを削除するには、ユーザーのアクセスIAM許可ポリシーを再設定して、Studio へのユーザーのアクセスを取り消す必要があります。
次のポリシー例では、タグキーと値のペア を持つ EMR Studio があると仮定します
Team = Quality Assurance
。ポリシーに従って、ユーザーは、値がData Analytics
またはQuality Assurance
のいずれかに等しいTeam
キーでタグ付けされた Studio にアクセスできます。Team = Quality Assurance
でタグ付けされた Studio からユーザーを削除するには、タグ値のリストからQuality Assurance
を削除します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
コンソールを使用して EMR Studio からユーザーまたはグループを削除するには
新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。
-
左のナビゲーションから EMR Studio を選択します。
-
Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。
-
Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、Studio から削除するユーザーまたはグループを検索します。名前または ID タイプで検索できます。
-
削除するユーザーまたはグループを選択し、[Delete] (削除) を選択して確認します。削除したユーザーまたはグループが、[Studio users] (Studio ユーザー) リストに表示されなくなります。
を使用して EMR Studio からユーザーまたはグループを削除するには AWS CLI
次の
delete-studio-session-mapping
引数に独自の値を挿入します。delete-studio-session-mapping
コマンドの詳細については、「AWS CLI Command Reference」を参照してください。aws emr delete-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<name-of-user-or-group-to-delete>
\