Amazon EMR 스튜디오의 인증 모드 선택

EMRStudio는 인증 모드와 IAM ID 센터 IAM 인증 모드의 두 가지 인증 모드를 지원합니다. IAM모드에서는 AWS Identity and Access Management (IAM) 를 사용하고 IAM ID 센터 모드에서는 사용합니다 AWS IAM Identity Center. EMRStudio를 생성할 때 해당 Studio의 모든 사용자에 대한 인증 모드를 선택합니다. 여러 인증 모드에 대한 자세한 내용은 인증 및 사용자 로그인 섹션을 참조하세요.

다음 표를 사용하여 EMR Studio의 인증 모드를 선택하십시오.

상황...	권장 사항
IAM인증 또는 페더레이션에 이미 익숙하거나 이전에 설정한 적이 있습니다.	IAM인증 모드. 이 경우 다음과 같은 이점을 제공합니다. 에서 IAM 사용자 및 그룹과 같은 ID를 이미 관리하고 있는 경우 EMR Studio를 빠르게 설정할 수 있습니다. OpenID Connect (OIDC) 또는 보안 어설션 마크업 언어 2.0 (2.0) 과 호환되는 ID 공급자와 함께 작동합니다. SAML 동일한 AWS 계정의 여러 ID 제공업체 사용을 지원합니다. 다양한 종류로 제공됩니다. AWS 리전 SOC2를 준수합니다.
아마존을 처음 AWS 방문하세요 EMR	IAMID 센터 인증 모드. 이 경우 다음과 같은 기능을 제공합니다. AWS 리소스에 사용자 및 그룹을 쉽게 할당할 수 있습니다. Microsoft Active Directory 및 SAML 2.0 ID 공급자와 함께 작동합니다. 다중 계정 페더레이션 설정을 용이하게 하므로 조직 AWS 계정 내에서 각 계정에 대해 개별적으로 페더레이션을 구성할 필요가 없습니다.

상황...

권장 사항

IAM인증 또는 페더레이션에 이미 익숙하거나 이전에 설정한 적이 있습니다.

IAM인증 모드. 이 경우 다음과 같은 이점을 제공합니다.

에서 IAM 사용자 및 그룹과 같은 ID를 이미 관리하고 있는 경우 EMR Studio를 빠르게 설정할 수 있습니다.
OpenID Connect (OIDC) 또는 보안 어설션 마크업 언어 2.0 (2.0) 과 호환되는 ID 공급자와 함께 작동합니다. SAML
동일한 AWS 계정의 여러 ID 제공업체 사용을 지원합니다.
다양한 종류로 제공됩니다. AWS 리전
SOC2를 준수합니다.

아마존을 처음 AWS 방문하세요 EMR

IAMID 센터 인증 모드. 이 경우 다음과 같은 기능을 제공합니다.

AWS 리소스에 사용자 및 그룹을 쉽게 할당할 수 있습니다.
Microsoft Active Directory 및 SAML 2.0 ID 공급자와 함께 작동합니다.
다중 계정 페더레이션 설정을 용이하게 하므로 조직 AWS 계정 내에서 각 계정에 대해 개별적으로 페더레이션을 구성할 필요가 없습니다.

Amazon EMR 스튜디오용 IAM 인증 모드 설정

IAM인증 모드에서는 IAM 인증 또는 IAM 페더레이션을 사용할 수 있습니다. IAM인증을 통해 사용자, 그룹, 역할 등의 IAM ID를 관리할 수 있습니다. IAM IAM권한 정책 및 속성 기반 액세스 제어 () 를 통해 사용자에게 Studio에 대한 액세스 권한을 부여합니다. ABAC IAM페더레이션을 사용하면 타사 ID 공급자 (IdP) 간에 신뢰를 구축하고 IdP를 통해 사용자 ID를 관리할 수 있습니다. AWS

참고

AWS 리소스에 대한 액세스를 제어하는 IAM 데 이미 사용하거나 ID 공급자 (IdP) 를 구성한 경우 Studio의 IAM 인증 모드를 사용할 때 사용자 권한 설정을 참조하십시오IAM 인증 모드의 사용자 권한. IAM EMR

Amazon EMR 스튜디오용 IAM 페더레이션 사용

EMRStudio용 IAM 페더레이션을 사용하려면 자신과 ID 공급자 (IdP) 간에 신뢰 관계를 생성하고 페더레이션 사용자가 액세스할 수 있도록 해야 합니다. AWS 계정 AWS Management Console이 신뢰 관계를 구축하기 위해 수행하는 단계는 IdP의 페더레이션 표준에 따라 다릅니다.

일반적으로 외부 IdP와의 페더레이션을 구성하려면 다음 작업을 완료합니다. 전체 지침은 사용 설명서의 SAML2.0 연동 사용자의 액세스 활성화 AWS Management Console및 사용자 지정 ID 브로커에 대한 액세스 활성화를 참조하십시오. AWS Management ConsoleAWS Identity and Access Management

IdP에서 정보를 수집합니다. 이는 일반적으로 IdP의 SAML 인증 요청을 검증하기 위한 메타데이터 문서를 생성하는 것을 의미합니다.
ID 제공자 IAM 엔티티를 생성하여 IdP에 대한 정보를 저장합니다. 지침은 IAMID 제공자 생성을 참조하십시오.
IdP에 대한 IAM 역할을 하나 이상 생성합니다. EMRStudio는 사용자가 로그인할 때 연동 사용자에게 역할을 할당합니다. 그 역할은 조직의 IdP가 AWS에 액세스하기 위해 임시 보안 인증을 요청할 수 있도록 허용합니다. 관련 지침은 서드 파티 ID 제공업체의 역할 만들기(페더레이션)를 참조하세요. 역할에 할당하는 권한 정책에 따라 연동 사용자가 Studio에서 AWS 수행할 수 있는 작업이 결정됩니다. EMR 자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.
(SAML공급자의 경우) 연동 사용자에게 맡길 AWS 역할과 관련 정보로 IdP를 구성하여 SAML 신뢰를 구축하십시오. 이 구성 프로세스를 통해 IdP와 AWS IdP 간에 신뢰 당사자 신뢰가 형성됩니다. 자세한 내용은 신뢰 당사자 신뢰를 통한 SAML 2.0 IdP 구성 및 클레임 추가를 참조하세요.

IdP 포털에서 EMR Studio를 SAML 애플리케이션으로 구성하려면

EMRStudio에 대한 딥링크를 사용하여 특정 Studio를 SAML 애플리케이션으로 구성할 수 있습니다. 이렇게 하면 사용자가 Amazon 콘솔을 탐색하는 대신 IdP 포털에 로그인하여 특정 Studio를 시작할 수 있습니다. EMR

다음 형식을 사용하여 EMR 스튜디오에 대한 딥링크를 어설션 검증 URL 후 SAML 랜딩으로 구성하십시오.
```
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
```

Amazon EMR Studio용 IAM ID 센터 인증 모드 설정

AWS IAM Identity Center EMRStudio를 준비하려면 ID 소스를 구성하고 사용자 및 그룹을 프로비전해야 합니다. 프로비저닝은 Identity Center와 IAM Identity Center를 사용하는 애플리케이션에서 사용자 및 그룹 정보를 사용할 수 있도록 하는 프로세스입니다. IAM 자세한 내용은 사용자 및 그룹 프로비저닝을 참조하세요.

EMRStudio는 Identity Center에 다음과 같은 ID 공급자를 IAM 사용할 수 있도록 지원합니다.

AWS Managed Microsoft AD 및 자체 관리형 Active Directory — 자세한 내용은 Microsoft AD 디렉터리에 연결을 참조하십시오.
SAML기반 공급자 - 전체 목록은 지원되는 ID 공급자를 참조하십시오.
IAMID 센터 디렉터리 - 자세한 내용은 ID 센터의 IAM ID 관리를 참조하십시오.

스튜디오용 IAM EMR ID 센터를 설정하려면

EMR스튜디오용 IAM ID 센터를 설정하려면 다음이 필요합니다.
- 조직에서 여러 계정을 사용하는 경우 AWS 조직의 관리 계정입니다.
  
  참고
  관리 계정은 IAM Identity Center를 활성화하고 사용자 및 그룹을 규정하는 용도로만 사용해야 합니다. IAMIdentity Center를 설정한 후에는 멤버 계정을 사용하여 EMR Studio를 만들고 사용자 및 그룹을 할당하십시오. AWS 용어에 대한 자세한 내용은 용어 및AWS Organizations 개념을 참조하십시오.
- 2019년 11월 25일 이전에 IAM ID 센터를 활성화한 경우 조직의 계정에 IAM Identity Center를 사용하는 애플리케이션을 활성화해야 할 AWS 수 있습니다. 자세한 내용은 계정에서 IAM AWS Identity Center 통합 애플리케이션 활성화를 참조하십시오.
- IAMIdentity Center 사전 요구 사항 페이지에 사전 요구 사항이 나열되어 있는지 확인하십시오.
IAMID 센터 활성화의 지침에 따라 Studio를 생성하려는 AWS 리전 위치에서 IAM Identity Center를 활성화하십시오. EMR

IAMIdentity Center를 ID 공급자에 연결하고 스튜디오에 할당할 사용자 및 그룹을 제공합니다.

사용하는 항목	수행할 작업
Microsoft AD Directory	Microsoft AD 디렉터리에 연결의 지침에 따라 를 사용하여 AWS Directory Service자체 관리되는 Active Directory 또는 AWS Managed Microsoft AD 디렉터리를 연결합니다. IAMID 센터를 위한 사용자 및 그룹을 프로비전하려면 원본 AD의 ID 데이터를 IAM ID 센터에 동기화할 수 있습니다. 다양한 방법으로 소스 AD의 자격 증명을 동기화할 수 있습니다. 한 가지 방법은 조직의 AWS 계정에 AD 사용자 또는 그룹을 할당하는 것입니다. 관련 지침은 Single sign-on을 참조하세요. 동기화에는 최대 2시간이 걸릴 수 있습니다. 이 단계를 완료한 후에는 동기화된 사용자 및 그룹이 자격 증명 스토어에 표시됩니다. 참고 사용자 및 그룹 정보를 동기화하거나 just-in-time (JIT) 사용자 프로비저닝을 사용할 때까지는 사용자 및 그룹이 ID 스토어에 표시되지 않습니다. 자세한 내용은 Provisioning when users come from Active Directory를 참조하세요. (선택 사항) AD 사용자와 그룹을 동기화한 후에는 이전 단계에서 구성한 AWS 계정에 대한 액세스 권한을 제거할 수 있습니다. 관련 지침은 사용자 액세스 제거를 참조하세요.
외부 ID 제공업체	Connect to your external identity provider 지침을 따릅니다.
IAMID 센터 디렉터리	IAMIdentity Center에서 사용자 및 그룹을 생성하면 프로비저닝이 자동으로 이루어집니다. 자세한 내용은 IAMIdentity Center에서 ID 관리를 참조하십시오.

이제 ID 저장소의 사용자와 그룹을 EMR 스튜디오에 할당할 수 있습니다. 지침은 EMR스튜디오에 사용자 또는 그룹 배정 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

아마존 EMR 스튜디오 설정

EMRStudio 서비스 역할을 생성하십시오.