기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EMRStudio 사용자 할당 및 관리
EMR스튜디오를 생성한 후 사용자와 그룹을 스튜디오에 할당할 수 있습니다. 사용자를 할당, 업데이트 및 제거하는 데 사용하는 방법은 Studio 인증 모드에 따라 다릅니다.
-
IAM인증 모드를 사용하는 경우 ID 공급자와 함께 IAM 또는 ID 공급자를 통해 EMR Studio 사용자 할당 IAM 및 권한을 구성합니다.
-
IAMID 센터 인증 모드에서는 Amazon EMR 관리 콘솔 또는 AWS CLI 를 사용하여 사용자를 관리합니다.
Amazon EMR Studio의 인증에 대한 자세한 내용은 을 참조하십시오Amazon EMR 스튜디오의 인증 모드 선택.
EMR스튜디오에 사용자 또는 그룹 배정
- IAM
-
를 사용할 Amazon EMR 스튜디오용 IAM 인증 모드 설정 때는 사용자의 IAM 권한 정책에서
CreateStudioPresignedUrl
작업을 허용하고 사용자를 특정 Studio로 제한해야 합니다. IAM 인증 모드의 사용자 권한에서CreateStudioPresignedUrl
을 포함하거나 별도의 정책을 사용할 수 있습니다.사용자를 스튜디오 (또는 스튜디오 세트) 로 제한하려면 속성 기반 액세스 제어 (ABAC) 를 사용하거나 권한 정책의
Resource
요소에 스튜디오의 Amazon Resource Name (ARN) 을 지정할 수 있습니다.예 스튜디오를 사용하여 사용자를 스튜디오에 배정합니다. ARN
다음 예제 정책은
CreateStudioPresignedUrl
작업을 허용하고Resource
요소에 EMR 스튜디오의 Amazon Resource Name (ARN) 을 지정하여 사용자에게 특정 스튜디오에 대한 액세스 권한을 부여합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/<studio-id>
" } ] }예 IAM인증을 ABAC 위해 사용자를 스튜디오에 배정합니다.
Studio의 속성 기반 액세스 제어 (ABAC) 를 구성하는 방법은 여러 가지가 있습니다. 예를 들어 EMR Studio에 하나 이상의 태그를 추가한 다음 해당 태그가 있는 특정 Studio 또는 Studio 집합으로
CreateStudioPresignedUrl
작업을 제한하는 IAM 정책을 만들 수 있습니다.Studio 생성 중 또는 이후에 태그를 추가할 수 있습니다. 기존 Studio에 태그를 추가하려면 AWS CLI
emr add-tags
명령을 사용합니다. 다음 예시에서는 키-값 쌍이 있는 태그를 Team = Data Analytics
Studio에 추가합니다. EMRaws emr add-tags --resource-id
<example-studio-id>
--tags Team="Data Analytics"다음 예제 권한 정책은 태그 키-값 쌍이 있는 EMR Studios에 대한
CreateStudioPresignedUrl
작업을 허용합니다.Team = DataAnalytics
태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 사용자 및 역할에 대한 액세스 제어 및 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }예 aws: SourceIdentity 글로벌 조건 키를 사용하여 스튜디오에 사용자를 할당합니다.
페더레이션을 사용하는 경우 권한 정책의 글로벌 조건 키를
aws:SourceIdentity
사용하여 IAM 페더레이션 IAM 역할을 수임할 때 사용자에게 Studio 액세스 권한을 부여할 수 있습니다.먼저 사용자가 인증하고 페더레이션 역할을 맡을 때 이메일 주소 또는 사용자 이름과 같은 식별 문자열을 반환하도록 ID 공급자 (IdP) 를 구성해야 합니다. IAM IAM글로벌 조건 키를
aws:SourceIdentity
IdP에서 반환한 식별 문자열로 설정합니다.자세한 내용은 AWS 보안 블로그의 IAM역할 활동을 기업 아이덴티티와 연관시키는 방법
블로그 게시물 및 글로벌 조건 키 참조의 aws: SourceIdentity 항목을 참조하십시오. 다음 예시 정책은
CreateStudioPresignedUrl
작업을 허용하고 사용자에게 다음과aws:SourceIdentity
일치하는 작업을 제공합니다.<example-source-identity>
에서 지정한 EMR Studio 액세스 권한<example-studio-arn>
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "
<example-studio-arn>
", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>
" } } } ] } - IAM Identity Center
-
EMRStudio에 사용자 또는 그룹을 할당할 때는 해당 사용자 또는 그룹에 대한 세분화된 권한 (예: 새 EMR 클러스터 생성 기능) 을 정의하는 세션 정책을 지정합니다. Amazon은 이러한 세션 정책 매핑을 EMR 저장합니다. 할당 후 사용자 또는 그룹의 세션 정책을 업데이트할 수 있습니다.
참고
사용자 또는 그룹에 대한 최종 권한은 EMR Studio 사용자 역할에 정의된 권한과 해당 사용자 또는 그룹에 대한 세션 정책에 정의된 권한의 교차입니다. 사용자가 Studio에 할당된 둘 이상의 그룹에 속하는 경우 EMR Studio는 해당 사용자에 대한 권한 통합을 사용합니다.
Amazon EMR 콘솔을 사용하여 EMR 스튜디오에 사용자 또는 그룹을 할당하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
사용자 추가를 선택하여 사용자 및 그룹 검색 테이블을 확인합니다.
-
사용자 탭 또는 그룹 탭을 선택하고 검색 표시줄에 검색어를 입력하여 사용자 또는 그룹을 찾습니다.
-
검색 결과 목록에서 사용자 또는 그룹을 하나 이상 선택합니다. 사용자 탭과 그룹 탭 사이를 전환할 수 있습니다.
-
Studio에 추가할 사용자 및 그룹을 선택한 후 추가를 선택합니다. Studio 사용자 목록에 사용자와 그룹이 표시됩니다. 목록을 새로 고치는 데 몇 초가 걸릴 수 있습니다.
-
Studio에 할당된 사용자 또는 그룹의 권한 업데이트의 지침에 따라 사용자 또는 그룹의 Studio 권한을 세분화합니다.
를 사용하여 EMR Studio에 사용자 또는 그룹을 할당하려면 AWS CLI
다음
create-studio-session-mapping
인수에 고유한 값을 입력합니다.create-studio-session-mapping
명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.-
--studio-id
- 사용자 또는 그룹을 할당하려는 Studio의 ID. Studio ID를 검색하는 방법에 관한 지침은 Studio 세부 정보 보기 섹션을 참조하세요. -
--identity-name
- 자격 증명 저장소의 사용자 또는 그룹 이름. 자세한 내용은 ID 저장소 API 참조의 사용자 및 DisplayName그룹용을 참조하십시오 UserName. -
--identity-type
-USER
또는GROUP
중 하나를 사용하여 자격 증명 유형을 지정합니다. -
--session-policy-arn
— 사용자 또는 그룹과 연결하려는 세션 정책의 Amazon 리소스 이름 (ARN). 예:arn:aws:iam::
. 자세한 내용은 EMRStudio 사용자를 위한 권한 정책을 생성하십시오. 단원을 참조하십시오.<aws-account-id>
:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<example-identity-name>
\ --identity-type<USER-or-GROUP>
\ --session-policy-arn<example-session-policy-arn>
참고
가독성을 위해 Linux 줄 연속 문자(\)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.
get-studio-session-mapping
명령을 사용하여 새 할당을 확인합니다. Replace<example-identity-name>
업데이트한 사용자 또는 그룹의 IAM ID 센터 이름과 함께.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Studio에 할당된 사용자 또는 그룹의 권한 업데이트
- IAM
-
IAM인증 모드를 사용할 때 사용자 또는 그룹 권한을 IAM 업데이트하려면 IAM ID (사용자, 그룹 또는 역할) 에 연결된 IAM 권한 정책을 사용하여 변경하십시오.
자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.
- IAM Identity Center
-
콘솔을 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, 업데이트할 사용자 또는 그룹을 검색합니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
업데이트할 사용자 또는 그룹을 선택하고 정책 할당을 선택하여 세션 정책 대화 상자를 엽니다.
-
5단계에서 선택한 사용자 또는 그룹에 적용할 정책을 선택하고 정책 적용을 선택합니다. Studio 사용자 목록에는 업데이트한 사용자 또는 그룹의 세션 정책 열에 있는 정책 이름이 표시됩니다.
를 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하려면 AWS CLI
다음
update-studio-session-mappings
인수에 고유한 값을 입력합니다.update-studio-session-mappings
명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr update-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-name<name-of-user-or-group-to-update>
\ --session-policy-arn<new-session-policy-arn-to-apply>
\ --identity-type<USER-or-GROUP>
\get-studio-session-mapping
명령을 사용하여 새 세션 정책 할당을 확인합니다. Replace<example-identity-name>
업데이트한 사용자 또는 그룹의 IAM Identity Center 이름을 포함합니다.aws emr get-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<user-or-group-name>
\
Studio에서 사용자 또는 그룹 제거
- IAM
-
IAM인증 모드를 사용할 때 EMR Studio에서 사용자 또는 그룹을 제거하려면 사용자의 권한 정책을 재구성하여 Studio에 대한 사용자의 액세스 권한을 취소해야 합니다. IAM
다음 예제 정책에서는 태그 키-값 쌍이 있는 EMR Studio가 있다고 가정해 보겠습니다.
Team = Quality Assurance
정책에 따라 사용자는 값이Data Analytics
또는Quality Assurance
와 같은Team
키로 태그가 지정된 Studios에 액세스할 수 있습니다.Team = Quality Assurance
태그가 지정된 Studio에서 사용자를 제거하려면 태그 값 목록에서Quality Assurance
를 제거합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:
<region>
:<account-id>
:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
콘솔을 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, Studio에서 제거할 사용자 또는 그룹을 찾습니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
삭제할 사용자 또는 그룹을 선택하고 삭제를 선택한 후 삭제를 확인합니다. 삭제한 사용자 또는 그룹은 Studio 사용자 목록에서 사라집니다.
를 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면 AWS CLI
다음
delete-studio-session-mapping
인수에 고유한 값을 입력합니다.delete-studio-session-mapping
명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr delete-studio-session-mapping \ --studio-id
<example-studio-id>
\ --identity-type<USER-or-GROUP>
\ --identity-name<name-of-user-or-group-to-delete>
\