기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EMRStudio 사용자 할당 및 관리
EMR스튜디오를 생성한 후 사용자와 그룹을 스튜디오에 할당할 수 있습니다. 사용자를 할당, 업데이트 및 제거하는 데 사용하는 방법은 Studio 인증 모드에 따라 다릅니다.
-
IAM인증 모드를 사용하는 경우 ID 공급자와 함께 IAM 또는 ID 공급자를 통해 EMR Studio 사용자 할당 IAM 및 권한을 구성합니다.
-
IAMID 센터 인증 모드에서는 Amazon EMR 관리 콘솔 또는 AWS CLI 를 사용하여 사용자를 관리합니다.
Amazon EMR Studio의 인증에 대한 자세한 내용은 을 참조하십시오Amazon EMR 스튜디오의 인증 모드 선택.
EMR스튜디오에 사용자 또는 그룹 배정
- IAM
-
를 사용할 Amazon EMR 스튜디오용 IAM 인증 모드 설정 때는 사용자의 IAM 권한 정책에서
CreateStudioPresignedUrl작업을 허용하고 사용자를 특정 Studio로 제한해야 합니다. IAM 인증 모드의 사용자 권한에서CreateStudioPresignedUrl을 포함하거나 별도의 정책을 사용할 수 있습니다.사용자를 스튜디오 (또는 스튜디오 세트) 로 제한하려면 속성 기반 액세스 제어 (ABAC) 를 사용하거나 권한 정책의
Resource요소에 스튜디오의 Amazon Resource Name (ARN) 을 지정할 수 있습니다.예 스튜디오를 사용하여 사용자를 스튜디오에 배정합니다. ARN
다음 예제 정책은
CreateStudioPresignedUrl작업을 허용하고Resource요소에 EMR 스튜디오의 Amazon Resource Name (ARN) 을 지정하여 사용자에게 특정 스튜디오에 대한 액세스 권한을 부여합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>" } ] }예 IAM인증을 ABAC 위해 사용자를 스튜디오에 배정합니다.
Studio의 속성 기반 액세스 제어 (ABAC) 를 구성하는 방법은 여러 가지가 있습니다. 예를 들어 EMR Studio에 하나 이상의 태그를 추가한 다음 해당 태그가 있는 특정 Studio 또는 Studio 집합으로
CreateStudioPresignedUrl작업을 제한하는 IAM 정책을 만들 수 있습니다.Studio 생성 중 또는 이후에 태그를 추가할 수 있습니다. 기존 Studio에 태그를 추가하려면 AWS CLI
emr add-tags명령을 사용합니다. 다음 예시에서는 키-값 쌍이 있는 태그를 Team = Data AnalyticsStudio에 추가합니다. EMRaws emr add-tags --resource-id<example-studio-id>--tags Team="Data Analytics"다음 예제 권한 정책은 태그 키-값 쌍이 있는 EMR Studios에 대한
CreateStudioPresignedUrl작업을 허용합니다.Team = DataAnalytics태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 사용자 및 역할에 대한 액세스 제어 및 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }예 aws: SourceIdentity 글로벌 조건 키를 사용하여 스튜디오에 사용자를 할당합니다.
페더레이션을 사용하는 경우 권한 정책의 글로벌 조건 키를
aws:SourceIdentity사용하여 IAM 페더레이션 IAM 역할을 수임할 때 사용자에게 Studio 액세스 권한을 부여할 수 있습니다.먼저 사용자가 인증하고 페더레이션 역할을 맡을 때 이메일 주소 또는 사용자 이름과 같은 식별 문자열을 반환하도록 ID 공급자 (IdP) 를 구성해야 합니다. IAM IAM글로벌 조건 키를
aws:SourceIdentityIdP에서 반환한 식별 문자열로 설정합니다.자세한 내용은 AWS 보안 블로그의 IAM역할 활동을 기업 아이덴티티와 연관시키는 방법
블로그 게시물 및 글로벌 조건 키 참조의 aws: SourceIdentity 항목을 참조하십시오. 다음 예시 정책은
CreateStudioPresignedUrl작업을 허용하고 사용자에게 다음과aws:SourceIdentity일치하는 작업을 제공합니다.<example-source-identity>에서 지정한 EMR Studio 액세스 권한<example-studio-arn>.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "<example-studio-arn>", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>" } } } ] } - IAM Identity Center
-
EMRStudio에 사용자 또는 그룹을 할당할 때는 해당 사용자 또는 그룹에 대한 세분화된 권한 (예: 새 EMR 클러스터 생성 기능) 을 정의하는 세션 정책을 지정합니다. Amazon은 이러한 세션 정책 매핑을 EMR 저장합니다. 할당 후 사용자 또는 그룹의 세션 정책을 업데이트할 수 있습니다.
참고
사용자 또는 그룹에 대한 최종 권한은 EMR Studio 사용자 역할에 정의된 권한과 해당 사용자 또는 그룹에 대한 세션 정책에 정의된 권한의 교차입니다. 사용자가 Studio에 할당된 둘 이상의 그룹에 속하는 경우 EMR Studio는 해당 사용자에 대한 권한 통합을 사용합니다.
Amazon EMR 콘솔을 사용하여 EMR 스튜디오에 사용자 또는 그룹을 할당하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
사용자 추가를 선택하여 사용자 및 그룹 검색 테이블을 확인합니다.
-
사용자 탭 또는 그룹 탭을 선택하고 검색 표시줄에 검색어를 입력하여 사용자 또는 그룹을 찾습니다.
-
검색 결과 목록에서 사용자 또는 그룹을 하나 이상 선택합니다. 사용자 탭과 그룹 탭 사이를 전환할 수 있습니다.
-
Studio에 추가할 사용자 및 그룹을 선택한 후 추가를 선택합니다. Studio 사용자 목록에 사용자와 그룹이 표시됩니다. 목록을 새로 고치는 데 몇 초가 걸릴 수 있습니다.
-
Studio에 할당된 사용자 또는 그룹의 권한 업데이트의 지침에 따라 사용자 또는 그룹의 Studio 권한을 세분화합니다.
를 사용하여 EMR Studio에 사용자 또는 그룹을 할당하려면 AWS CLI
다음
create-studio-session-mapping인수에 고유한 값을 입력합니다.create-studio-session-mapping명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.-
--studio-id- 사용자 또는 그룹을 할당하려는 Studio의 ID. Studio ID를 검색하는 방법에 관한 지침은 Studio 세부 정보 보기 섹션을 참조하세요. -
--identity-name- 자격 증명 저장소의 사용자 또는 그룹 이름. 자세한 내용은 ID 저장소 API 참조의 사용자 및 DisplayName그룹용을 참조하십시오 UserName. -
--identity-type-USER또는GROUP중 하나를 사용하여 자격 증명 유형을 지정합니다. -
--session-policy-arn— 사용자 또는 그룹과 연결하려는 세션 정책의 Amazon 리소스 이름 (ARN). 예:arn:aws:iam::. 자세한 내용은 EMRStudio 사용자를 위한 권한 정책을 생성하십시오. 단원을 참조하십시오.<aws-account-id>:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-name<example-identity-name>\ --identity-type<USER-or-GROUP>\ --session-policy-arn<example-session-policy-arn>참고
가독성을 위해 Linux 줄 연속 문자(\)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.
get-studio-session-mapping명령을 사용하여 새 할당을 확인합니다. Replace<example-identity-name>업데이트한 사용자 또는 그룹의 IAM ID 센터 이름과 함께.aws emr get-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<user-or-group-name>\
Studio에 할당된 사용자 또는 그룹의 권한 업데이트
- IAM
-
IAM인증 모드를 사용할 때 사용자 또는 그룹 권한을 IAM 업데이트하려면 IAM ID (사용자, 그룹 또는 역할) 에 연결된 IAM 권한 정책을 사용하여 변경하십시오.
자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.
- IAM Identity Center
-
콘솔을 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, 업데이트할 사용자 또는 그룹을 검색합니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
업데이트할 사용자 또는 그룹을 선택하고 정책 할당을 선택하여 세션 정책 대화 상자를 엽니다.
-
5단계에서 선택한 사용자 또는 그룹에 적용할 정책을 선택하고 정책 적용을 선택합니다. Studio 사용자 목록에는 업데이트한 사용자 또는 그룹의 세션 정책 열에 있는 정책 이름이 표시됩니다.
를 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하려면 AWS CLI
다음
update-studio-session-mappings인수에 고유한 값을 입력합니다.update-studio-session-mappings명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr update-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-name<name-of-user-or-group-to-update>\ --session-policy-arn<new-session-policy-arn-to-apply>\ --identity-type<USER-or-GROUP>\get-studio-session-mapping명령을 사용하여 새 세션 정책 할당을 확인합니다. Replace<example-identity-name>업데이트한 사용자 또는 그룹의 IAM Identity Center 이름을 포함합니다.aws emr get-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<user-or-group-name>\
Studio에서 사용자 또는 그룹 제거
- IAM
-
IAM인증 모드를 사용할 때 EMR Studio에서 사용자 또는 그룹을 제거하려면 사용자의 권한 정책을 재구성하여 Studio에 대한 사용자의 액세스 권한을 취소해야 합니다. IAM
다음 예제 정책에서는 태그 키-값 쌍이 있는 EMR Studio가 있다고 가정해 보겠습니다.
Team = Quality Assurance정책에 따라 사용자는 값이Data Analytics또는Quality Assurance와 같은Team키로 태그가 지정된 Studios에 액세스할 수 있습니다.Team = Quality Assurance태그가 지정된 Studio에서 사용자를 제거하려면 태그 값 목록에서Quality Assurance를 제거합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
콘솔을 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면
새 Amazon EMR 콘솔로 이동한 다음 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색 메뉴에서 EMRStudio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, Studio에서 제거할 사용자 또는 그룹을 찾습니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
삭제할 사용자 또는 그룹을 선택하고 삭제를 선택한 후 삭제를 확인합니다. 삭제한 사용자 또는 그룹은 Studio 사용자 목록에서 사라집니다.
를 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면 AWS CLI
다음
delete-studio-session-mapping인수에 고유한 값을 입력합니다.delete-studio-session-mapping명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr delete-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<name-of-user-or-group-to-delete>\
