Amazon EMR Studio의 인증 모드 선택

EMR Studio는 IAM 인증 모드와 IAM Identity Center 인증 모드의 두 가지 인증 모드를 지원합니다. IAM 모드는 AWS Identity and Access Management (IAM)를 사용하는 반면 IAM Identity Center 모드는를 사용합니다 AWS IAM Identity Center. EMR Studio를 생성할 때 해당 Studio의 모든 사용자에 대한 인증 모드를 선택합니다. 여러 인증 모드에 대한 자세한 내용은 인증 및 사용자 로그인 섹션을 참조하세요.

다음 표를 사용하여 EMR Studio의 인증 모드를 선택합니다.

상황...	권장 사항
이미에 익숙하거나 이전에 IAM 인증 또는 페더레이션을 설정했습니다.	IAM 인증 모드. 이 경우 다음과 같은 이점을 제공합니다. 에서 사용자 및 그룹과 같은 ID를 이미 관리하는 경우 EMR Studio에 대한 빠른 설정을 제공합니다IAM. OpenID Connect(OIDC) 또는 Security Assertion Markup Language 2.0(SAML 2.0)과 호환되는 자격 증명 공급자와 함께 작동합니다. 동일한 AWS 계정의 여러 ID 제공업체 사용을 지원합니다. 다양한에서 사용할 수 있습니다 AWS 리전. SOC 2를 준수합니다.
AWS 또는 Amazon 신규 EMR	IAM Identity Center 인증 모드. 이 경우 다음과 같은 기능을 제공합니다. AWS 리소스에 대한 간편한 사용자 및 그룹 할당을 지원합니다. Microsoft Active Directory 및 SAML 2.0 자격 증명 공급자와 함께 작동합니다. 조직의 각에 대해 페더레이션을 별도로 구성할 필요가 없도록 다중 계정 페더레이션 설정을 용이하게 AWS 계정 합니다.

상황...

권장 사항

이미에 익숙하거나 이전에 IAM 인증 또는 페더레이션을 설정했습니다.

IAM 인증 모드. 이 경우 다음과 같은 이점을 제공합니다.

에서 사용자 및 그룹과 같은 ID를 이미 관리하는 경우 EMR Studio에 대한 빠른 설정을 제공합니다IAM.
OpenID Connect(OIDC) 또는 Security Assertion Markup Language 2.0(SAML 2.0)과 호환되는 자격 증명 공급자와 함께 작동합니다.
동일한 AWS 계정의 여러 ID 제공업체 사용을 지원합니다.
다양한에서 사용할 수 있습니다 AWS 리전.
SOC 2를 준수합니다.

AWS 또는 Amazon 신규 EMR

IAM Identity Center 인증 모드. 이 경우 다음과 같은 기능을 제공합니다.

AWS 리소스에 대한 간편한 사용자 및 그룹 할당을 지원합니다.
Microsoft Active Directory 및 SAML 2.0 자격 증명 공급자와 함께 작동합니다.
조직의 각에 대해 페더레이션을 별도로 구성할 필요가 없도록 다중 계정 페더레이션 설정을 용이하게 AWS 계정 합니다.

Amazon EMR Studio에 대한 IAM 인증 모드 설정

IAM 인증 모드에서는 IAM 인증 또는 IAM 페더레이션을 사용할 수 있습니다. IAM 인증을 사용하면에서 사용자, 그룹 및 역할과 같은 IAM ID를 관리할 수 있습니다IAM. 사용자에게 IAM 권한 정책 및 속성 기반 액세스 제어(ABAC)를 사용하여 Studio에 대한 액세스 권한을 부여합니다. IAM 페더레이션을 사용하면 타사 ID 제공업체(IdP)와 간에 신뢰를 구축할 수 AWS 있으므로 IdP를 통해 사용자 ID를 관리할 수 있습니다.

참고

IAM를 사용하여 AWS 리소스에 대한 액세스를 제어하거나에 대한 자격 증명 공급자(IdP)를 이미 구성한 경우 EMR Studio에 대한 IAM 인증 모드를 사용할 때 IAM 인증 모드의 사용자 권한를 IAM참조하여 사용자 권한을 설정합니다.

Amazon EMR Studio에 IAM 페더레이션 사용

EMR Studio에 IAM 페더레이션을 사용하려면 AWS 계정 와 ID 공급자(IdP) 간에 신뢰 관계를 생성하고 페더레이션 사용자가에 액세스할 수 있도록 합니다 AWS Management Console. 이 신뢰 관계를 구축하기 위해 수행하는 단계는 IdP의 페더레이션 표준에 따라 다릅니다.

일반적으로 외부 IdP와의 페더레이션을 구성하려면 다음 작업을 완료합니다. 전체 지침은 AWS Identity and Access Management 사용 설명서의 SAML 2.0 페더레이션 사용자가에 액세스하도록 활성화 AWS Management Console 및 에 대한 사용자 지정 자격 증명 브로커 액세스 활성화 AWS Management Console를 참조하세요.

IdP에서 정보를 수집합니다. 이는 일반적으로 메타데이터 문서를 생성하여 IdP의 SAML 인증 요청을 검증하는 것을 의미합니다.
자격 증명 공급자 IAM엔터티를 생성하여 IdP에 대한 정보를 저장합니다. 지침은 IAM 자격 증명 공급자 생성을 참조하세요.
IdP에 대한 IAM 역할을 하나 이상 생성합니다. EMR Studio는 사용자가 로그인할 때 페더레이션 사용자에게 역할을 할당합니다. 그 역할은 조직의 IdP가 AWS에 액세스하기 위해 임시 보안 인증을 요청할 수 있도록 허용합니다. 관련 지침은 서드 파티 ID 제공업체의 역할 만들기(페더레이션)를 참조하세요. 역할에 할당하는 권한 정책에 따라 Studio에서 AWS 및 EMR Studio에서 페더레이션 사용자가 수행할 수 있는 작업이 결정됩니다. 자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.
(SAML제공자의 경우) 페더레이션 사용자가 수임할 AWS 및 역할에 대한 정보로 IdP를 구성하여 SAML 신뢰를 완료합니다. 이 구성 프로세스는 IdP와 간에 신뢰 당사자 신뢰를 생성합니다 AWS. 자세한 내용은 의존 당사자 신뢰로 SAML 2.0 IdP 구성 및 클레임 추가를 참조하세요.

IdP 포털에서 EMR Studio를 SAML 애플리케이션으로 구성하려면

EMR Studio에 대한 딥 링크를 사용하여 특정 Studio를 SAML 애플리케이션으로 구성할 수 있습니다. 이렇게 하면 사용자가 Amazon EMR 콘솔을 탐색하는 대신 IdP 포털에 로그인하여 특정 Studio를 시작할 수 있습니다.

다음 형식을 사용하여 어SAML설션 확인 URL 후 EMR Studio에 대한 딥 링크를 랜딩으로 구성합니다.
```
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
```

Amazon EMR Studio에 대한 IAM Identity Center 인증 모드 설정

EMR Studio AWS IAM Identity Center 를 준비하려면 자격 증명 소스를 구성하고 사용자 및 그룹을 프로비저닝해야 합니다. 프로비저닝은 IAM Identity Center 및 IAM Identity Center를 사용하는 애플리케이션에서 사용자 및 그룹 정보를 사용할 수 있도록 하는 프로세스입니다. 자세한 내용은 사용자 및 그룹 프로비저닝을 참조하세요.

EMR Studio는 IAM Identity Center에 대해 다음 자격 증명 공급자 사용을 지원합니다.

AWS Managed Microsoft AD 및 자체 관리형 Active Directory - 자세한 내용은 Microsoft AD 디렉터리에 연결을 참조하세요.
SAML기반 공급자 - 전체 목록은 지원되는 자격 증명 공급자를 참조하세요.
IAM Identity Center 디렉터리 - 자세한 내용은 IAM Identity Center의 자격 증명 관리를 참조하세요.

EMR Studio용 IAM Identity Center를 설정하려면

EMR Studio용 IAM Identity Center를 설정하려면 다음이 필요합니다.
- AWS 조직의 여러 계정을 사용하는 경우 조직의 관리 계정입니다.
  
  참고
  관리 계정은 IAM Identity Center를 활성화하고 사용자 및 그룹을 프로비저닝하는 데만 사용해야 합니다. IAM Identity Center를 설정한 후 멤버 계정을 사용하여 EMR Studio를 생성하고 사용자 및 그룹을 할당합니다. AWS 용어에 대한 자세한 내용은 AWS Organizations 용어 및 개념을 참조하세요.
- 2019년 11월 25일 이전에 IAM Identity Center를 활성화한 경우 AWS 조직의 계정에 IAM Identity Center를 사용하는 애플리케이션을 활성화해야 할 수 있습니다. 자세한 내용은 AWS 계정에서 IAM Identity Center 통합 애플리케이션 활성화를 참조하세요.
- IAM Identity Center 사전 조건 페이지에 사전 조건이 나열되어 있는지 확인합니다.
IAM Identity Center 활성화의 지침에 따라 EMR Studio를 생성하려는 AWS 리전 에서 IAM Identity Center를 활성화합니다.

IAM Identity Center를 자격 증명 공급자에 연결하고 Studio에 할당하려는 사용자 및 그룹을 프로비저닝합니다.

사용하는 항목	수행할 작업
Microsoft AD Directory	Microsoft AD 디렉터리에 연결의 지침에 따라를 사용하여 자체 관리형 Active Directory 또는 AWS Managed Microsoft AD 디렉터리를 연결합니다 AWS Directory Service. IAM Identity Center에 대한 사용자 및 그룹을 프로비저닝하려면 소스 AD에서 IAM Identity Center로 자격 증명 데이터를 동기화할 수 있습니다. 다양한 방법으로 소스 AD의 자격 증명을 동기화할 수 있습니다. 한 가지 방법은 조직의 AWS 계정에 AD 사용자 또는 그룹을 할당하는 것입니다. 관련 지침은 Single sign-on을 참조하세요. 동기화에는 최대 2시간이 걸릴 수 있습니다. 이 단계를 완료한 후에는 동기화된 사용자 및 그룹이 자격 증명 스토어에 표시됩니다. 참고 사용자 및 그룹은 사용자 및 그룹 정보를 동기화하거나 (JIT) 사용자 프로비저닝을 사용할 just-in-time 때까지 Identity Store에 표시되지 않습니다. 자세한 내용은 Provisioning when users come from Active Directory를 참조하세요. (선택 사항) AD 사용자와 그룹을 동기화한 후 이전 단계에서 구성한 AWS 계정에 대한 액세스를 제거할 수 있습니다. 관련 지침은 사용자 액세스 제거를 참조하세요.
외부 ID 제공업체	Connect to your external identity provider 지침을 따릅니다.
IAM Identity Center 디렉터리	IAM Identity Center에서 사용자 및 그룹을 생성하면 프로비저닝이 자동으로 수행됩니다. 자세한 내용은 IAM Identity Center의 자격 증명 관리를 참조하세요.

이제 Identity Store의 사용자 및 그룹을 EMR Studio에 할당할 수 있습니다. 지침은 EMR Studio에 사용자 또는 그룹 할당 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

EMR Studio 설정

EMR Studio 서비스 역할 생성