EMR Studio ユーザーの割り当てと管理 - Amazon EMR
ユーザーの割り当てユーザーアクセス許可の更新ユーザーの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EMR Studio ユーザーの割り当てと管理

EMR Studio を作成したら、その Studio にユーザーとグループを割り当てることができます。ユーザーの割り当て、更新、削除に使用する方法は、Studio 認証モードによって異なります。

  • IAM 認証モードを使用する場合は、 IAMまたは と ID プロバイダーで EMR Studio ユーザー割り当てIAMとアクセス許可を設定します。

  • IAM Identity Center 認証モードでは、Amazon EMRマネジメントコンソールまたは AWS CLI を使用してユーザーを管理します。

Amazon EMR Studio の認証の詳細については、「」を参照してくださいAmazon EMR Studio の認証モードを選択する

ユーザーまたはグループを EMR Studio に割り当てる

IAM

を使用する場合はAmazon EMR Studio のIAM認証モードを設定する、ユーザーのIAMアクセス許可ポリシーで CreateStudioPresignedUrlアクションを許可し、ユーザーを特定の Studio に制限する必要があります。IAM 認証モードのユーザーアクセス許可CreateStudioPresignedUrl を含めるか、別のポリシーを使用できます。

ユーザーを Studio (または Studio のセット) に制限するには、属性ベースのアクセスコントロール (ABAC) を使用するか、アクセス許可ポリシーの Resource要素で Studio の Amazon リソースネーム (ARN) を指定します。

例 Studio を使用して Studio にユーザーを割り当てる ARN

次のポリシー例では、 CreateStudioPresignedUrlアクションを許可し、 Resource要素で EMR Studio の Amazon リソースネーム (ARN) を指定することで、特定の Studio へのアクセス権をユーザーに付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}
例 IAM 認証ABACのために を使用して Studio にユーザーを割り当てる

Studio の属性ベースのアクセスコントロール (ABAC) を設定するには、複数の方法があります。例えば、EMRStudio に 1 つ以上のタグをアタッチし、それらのタグを持つ特定の Studio または Studio のセットにCreateStudioPresignedUrlアクションを制限する IAMポリシーを作成できます。

Studio の作成中または作成後にタグを追加できます。タグを既存の Studio に追加するには、AWS CLIemr add-tags コマンドを使用します。次の例では、キーと値のペアを持つタグを EMR Studio に追加Team = Data Analyticsします。

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

次のアクセス許可ポリシーの例では、タグのキーと値のペア を持つ EMR Studio の CreateStudioPresignedUrlアクションを許可しますTeam = DataAnalytics。タグを使用したアクセス制御の詳細については、「タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」または「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}
例 aws:SourceIdentity global 条件キーを使用して Studio にユーザーを割り当てる

IAM フェデレーションを使用する場合、アクセス許可ポリシーaws:SourceIdentityで グローバル条件キーを使用して、フェデレーションのIAMロールを引き受けるときに Studio アクセスをユーザーに付与できます。

ユーザーがフェデレーションIAMのためにロールを認証して引き受けるときに、E メールアドレスやユーザー名などの識別文字列を返すように ID プロバイダー (IdP) を設定する必要があります。IAM は、グローバル条件キーaws:SourceIdentityを IdP によって返される識別文字列に設定します。

詳細については、 セキュリティブログのIAM「ロールアクティビティを企業アイデンティティに関連付ける方法」ブログ記事 AWS と、 グローバル条件キーリファレンスの「aws:SourceIdentity エントリ」を参照してください。

次のポリシー例では、 CreateStudioPresignedUrlアクションを許可し、 aws:SourceIdentityに一致する をユーザーに付与します。<example-source-identity> で指定された EMR Studio へのアクセス <example-studio-arn>.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}
IAM Identity Center

EMR Studio にユーザーまたはグループを割り当てるときは、そのユーザーまたはグループに対して新しいEMRクラスターを作成する機能など、きめ細かなアクセス許可を定義するセッションポリシーを指定します。Amazon は、これらのセッションポリシーマッピングEMRを保存します。ユーザーまたはグループのセッションポリシーは、割り当て後に更新できます。

注記

ユーザーまたはグループの最終的なアクセス許可は、EMRStudio ユーザーロールで定義されているアクセス許可と、そのユーザーまたはグループのセッションポリシーで定義されているアクセス許可の共通部分です。ユーザーが Studio に割り当てられた複数のグループに属している場合、EMRStudio はそのユーザーのアクセス許可の結合を使用します。

Amazon EMRコンソールを使用して EMR Studio にユーザーまたはグループを割り当てるには

  1. 新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

  2. 左のナビゲーションから EMR Studio を選択します。

  3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

  4. [Add Users] (ユーザーの追加) を選択して、[Users] (ユーザー) および [Groups] (グループ) 検索テーブルを表示します。

  5. [Users] (ユーザー) タブまたは [Groups] (グループ) タブを選択し、検索バーに検索語を入力して、ユーザーまたはグループを検索します。

  6. 検索結果リストから 1 つ以上のユーザーまたはグループを選択します。[Users] (ユーザー) タブと [Groups] (グループ) タブを切り替えることができます。

  7. Studio に追加するユーザーおよびグループを選択したら、[Add] (追加) を選択します。ユーザーとグループが [Studio users] (Studio ユーザー) リストに表示されます。リストが更新されるまでに数秒かかることがあります。

  8. Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する」の指示に従って、ユーザーまたはグループの Studio アクセス許可を絞り込みます。

を使用して EMR Studio にユーザーまたはグループを割り当てるには AWS CLI

次の create-studio-session-mapping 引数に独自の値を挿入します。create-studio-session-mapping コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

  • --studio-id - ユーザーまたはグループを割り当てる Studio の ID。Studio ID を取得する方法の手順については、「Studio の詳細の表示」を参照してください。

  • --identity-name - ID ストアからのユーザーまたはグループの名前。詳細については、「 Identity Store APIリファレンスUserName」の「 ユーザーの場合は」、グループDisplayNameの場合は「」を参照してください。

  • --identity-type - USER または GROUP のいずれかを使用して、ID タイプを指定します。

  • --session-policy-arn – ユーザーまたはグループに関連付けるセッションポリシーの Amazon リソースネーム (ARN)。例えば、arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy と指定します。詳細については、「EMR Studio ユーザーのアクセス許可ポリシーを作成する」を参照してください。

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
注記

読みやすくするために、Linux 行連続文字 (\) が含まれています。Linux コマンドでは、これらは削除することも、使用することもできます。Windows の場合、削除するか、キャレット (^) に置き換えてください。

get-studio-session-mapping コマンドを使用して、新しい割り当てを確認します。置換 <example-identity-name> 更新したユーザーまたはグループの IAM Identity Center 名を入力します。

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する

IAM

IAM 認証モードを使用するときにユーザーまたはグループのアクセス許可を更新するには、 IAMを使用して、ID (ユーザー、グループ、またはロール) IAM にアタッチされたIAMアクセス許可ポリシーを変更します。

詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。

IAM Identity Center
コンソールを使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには

  1. 新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

  2. 左のナビゲーションから EMR Studio を選択します。

  3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

  4. Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、更新するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

  5. 更新対象のユーザーまたはグループを選択し、[Assign policy] (ポリシーの割り当て) を選択して [Session policy] (セッションポリシー) ダイアログボックスを開きます。

  6. 手順 5 で選択したユーザーまたはグループに適用するポリシーを選択し、[Apply policy] (ポリシーを適用) を選択します。[Studio users] (Studio ユーザー) リストでは、更新したユーザーまたはグループの [Session policy] (セッションポリシー) 列にポリシー名が表示されます。

を使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには AWS CLI

次の update-studio-session-mappings 引数に独自の値を挿入します。update-studio-session-mappings コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

get-studio-session-mapping コマンドを使用して、新しいセッションポリシーの割り当てを確認します。置換 <example-identity-name> 更新したユーザーまたはグループの IAM Identity Center 名を入力します。

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Studio からユーザーまたはグループを削除する

IAM

IAM 認証モードを使用するときに EMR Studio からユーザーまたはグループを削除するには、ユーザーのアクセスIAM許可ポリシーを再設定して、Studio へのユーザーのアクセスを取り消す必要があります。

次のポリシー例では、タグキーと値のペア を持つ EMR Studio があると仮定しますTeam = Quality Assurance。ポリシーに従って、ユーザーは、値が Data Analytics または Quality Assurance のいずれかに等しい Team キーでタグ付けされた Studio にアクセスできます。Team = Quality Assurance でタグ付けされた Studio からユーザーを削除するには、タグ値のリストから Quality Assurance を削除します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}
IAM Identity Center
コンソールを使用して EMR Studio からユーザーまたはグループを削除するには

  1. 新しい Amazon EMRコンソールに移動し、サイドナビゲーションから古いコンソールに切り替えるを選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

  2. 左のナビゲーションから EMR Studio を選択します。

  3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

  4. Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、Studio から削除するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

  5. 削除するユーザーまたはグループを選択し、[Delete] (削除) を選択して確認します。削除したユーザーまたはグループが、[Studio users] (Studio ユーザー) リストに表示されなくなります。

を使用して EMR Studio からユーザーまたはグループを削除するには AWS CLI

次の delete-studio-session-mapping 引数に独自の値を挿入します。delete-studio-session-mapping コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \