EMR Studio 사용자 할당 및 관리 - Amazon EMR

EMR Studio 사용자 할당 및 관리

EMR Studio를 생성한 후 사용자와 그룹을 할당할 수 있습니다. 사용자를 할당, 업데이트 및 제거하는 데 사용하는 방법은 Studio 인증 모드에 따라 다릅니다.

  • IAM 인증 모드를 사용하는 경우 IAM에서 EMR Studio 사용자 할당 및 권한을 구성하거나 IAM 및 ID 제공업체를 통해 구성합니다.

  • IAM Identity Center 인증 모드에서는 Amazon EMR 관리 콘솔 또는 AWS CLI를 사용하여 사용자를 관리합니다.

Amazon EMR Studio의 인증에 대한 자세한 내용은 Amazon EMR Studio의 인증 모드 선택 섹션을 참조하세요.

EMR Studio에 사용자 또는 그룹 할당

IAM

Amazon EMR Studio에 대한 IAM 인증 모드 설정을 사용할 때는 사용자의 IAM 권한 정책에서 CreateStudioPresignedUrl 작업을 허용하고 사용자를 특정 Studio로 제한해야 합니다. IAM 인증 모드의 사용자 권한에서 CreateStudioPresignedUrl을 포함하거나 별도의 정책을 사용할 수 있습니다.

사용자를 Studio(또는 Studio 세트)로 제한하기 위해 ABAC(속성 기반 액세스 제어)를 사용하거나 권한 정책의 Resource 요소에 Studio의 Amazon 리소스 이름(ARN)을 지정할 수 있습니다.

예 Studio ARN을 사용하여 Studio에 사용자 할당

다음 예제 정책은 CreateStudioPresignedUrl 작업을 허용하고 Resource 요소에 Studio의 Amazon 리소스 이름(ARN)을 지정하여 사용자에게 특정 EMR Studio에 대한 액세스 권한을 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>" } ] }
예 IAM 인증을 위해 ABAC를 사용하여 Studio에 사용자 할당

Studio에 대해 ABAC(속성 기반 액세스 제어)를 구성하는 방법은 여러 가지가 있습니다. 예를 들어 EMR Studio에 하나 이상의 태그를 연결한 다음 해당 태그가 있는 특정 Studio 또는 Studio 세트로 CreateStudioPresignedUrl 작업을 제한하는 IAM 정책을 생성할 수 있습니다.

Studio 생성 중 또는 이후에 태그를 추가할 수 있습니다. 기존 Studio에 태그를 추가하려면 AWS CLIemr add-tags 명령을 사용합니다. 다음 예제에서는 키-값 페어 Team = Data Analytics를 포함하는 태그를 EMR Studio에 추가합니다.

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

다음 예제 권한 정책은 태그 키-값 페어 Team = DataAnalytics를 사용하는 EMR Studio에 대한 CreateStudioPresignedUrl 작업을 허용합니다. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 사용자 및 역할에 대한 액세스 제어태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }
예 aws:SourceIdentity 글로벌 조건 키를 사용하여 Studio에 사용자 할당

IAM 페더레이션을 사용하는 경우 권한 정책에서 글로벌 조건 키 aws:SourceIdentity를 사용하여 페더레이션을 위한 IAM 역할을 수임할 때 사용자에게 Studio 액세스 권한을 부여할 수 있습니다.

먼저 사용자를 인증하고 사용자가 페더레이션을 위한 IAM 역할을 수임할 때 이메일 주소 또는 사용자 이름과 같은 식별 문자열을 반환하도록 ID 제공업체(idP)를 구성해야 합니다. IAM은 글로벌 조건 키 aws:SourceIdentity를 IdP에서 반환한 식별 문자열로 설정합니다.

자세한 내용은 AWS 보안 블로그의 How to relate IAM role activity to corporate identity 블로그 게시물 및 글로벌 조건 키 참조의 aws:SourceIdentity 항목을 참조하세요.

다음 예제 정책에서는 CreateStudioPresignedUrl 작업을 허용하고 <example-studio-arn>.에서 지정한 EMR Studio에 대한 <example-source-identity> 액세스와 일치하는 aws:SourceIdentity를 사용자에게 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "<example-studio-arn>", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>" } } } ] }
IAM Identity Center

EMR Studio에 사용자 또는 그룹을 할당할 때 해당 사용자 또는 그룹에 대한 세분화된 권한(예: 새 EMR 클러스터 생성 기능)을 정의하는 세션 정책을 지정합니다. Amazon EMR은 이러한 세션 정책 매핑을 저장합니다. 할당 후 사용자 또는 그룹의 세션 정책을 업데이트할 수 있습니다.

참고

사용자 또는 그룹의 최종 권한은 EMR Studio 사용자 역할에 정의된 권한과 해당 사용자 또는 그룹의 세션 정책에 정의된 권한의 교집합입니다. 사용자가 Studio에 할당된 둘 이상의 그룹에 속하는 경우 EMR Studio는 해당 사용자에 대한 권한 합집합을 사용합니다.

Amazon EMR 콘솔을 사용하여 EMR Studio에 사용자 또는 그룹을 할당하는 방법
  1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.

  2. 왼쪽 탐색에서 EMR Studio를 선택합니다.

  3. Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.

  4. 사용자 추가를 선택하여 사용자그룹 검색 테이블을 확인합니다.

  5. 사용자 탭 또는 그룹 탭을 선택하고 검색 표시줄에 검색어를 입력하여 사용자 또는 그룹을 찾습니다.

  6. 검색 결과 목록에서 사용자 또는 그룹을 하나 이상 선택합니다. 사용자 탭과 그룹 탭 사이를 전환할 수 있습니다.

  7. Studio에 추가할 사용자 및 그룹을 선택한 후 추가를 선택합니다. Studio 사용자 목록에 사용자와 그룹이 표시됩니다. 목록을 새로 고치는 데 몇 초가 걸릴 수 있습니다.

  8. Studio에 할당된 사용자 또는 그룹의 권한 업데이트의 지침에 따라 사용자 또는 그룹의 Studio 권한을 세분화합니다.

AWS CLI를 사용하여 EMR Studio에 사용자 또는 그룹을 할당하는 방법

다음 create-studio-session-mapping 인수에 고유한 값을 입력합니다. create-studio-session-mapping 명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.

  • --studio-id- 사용자 또는 그룹을 할당하려는 Studio의 ID. Studio ID를 검색하는 방법에 관한 지침은 Studio 세부 정보 보기 섹션을 참조하세요.

  • --identity-name - 자격 증명 저장소의 사용자 또는 그룹 이름. 자세한 내용은 자격 증명 스토어 API 참조에서 사용자에 대해 UserName, 그룹에 대해 DisplayName을 참조하세요.

  • --identity-type - USER 또는 GROUP 중 하나를 사용하여 자격 증명 유형을 지정합니다.

  • --session-policy-arn - 사용자 또는 그룹에 연결할 세션 정책의 Amazon 리소스 이름(ARN). 예: arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. 자세한 내용은 EMR Studio 사용자를 위한 권한 정책 생성 단원을 참조하십시오.

aws emr create-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <example-identity-name> \ --identity-type <USER-or-GROUP> \ --session-policy-arn <example-session-policy-arn>
참고

가독성을 위해 Linux 줄 연속 문자(\)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.

get-studio-session-mapping 명령을 사용하여 새 할당을 확인합니다. <example-identity-name>을 업데이트한 사용자 또는 그룹의 IAM Identity Center 이름으로 바꿉니다.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Studio에 할당된 사용자 또는 그룹의 권한 업데이트

IAM

IAM 인증 모드를 사용할 때 사용자 또는 그룹 권한을 업데이트하려면 IAM을 사용하여 IAM 자격 증명(사용자, 그룹 또는 역할)에 연결된 IAM 권한 정책을 변경합니다.

자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.

IAM Identity Center
콘솔을 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하는 방법
  1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.

  2. 왼쪽 탐색에서 EMR Studio를 선택합니다.

  3. Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.

  4. Studio 세부 정보 페이지의 Studio 사용자 목록에서, 업데이트할 사용자 또는 그룹을 검색합니다. 이름 또는 ID 유형으로 검색할 수 있습니다.

  5. 업데이트할 사용자 또는 그룹을 선택하고 정책 할당을 선택하여 세션 정책 대화 상자를 엽니다.

  6. 5단계에서 선택한 사용자 또는 그룹에 적용할 정책을 선택하고 정책 적용을 선택합니다. Studio 사용자 목록에는 업데이트한 사용자 또는 그룹의 세션 정책 열에 있는 정책 이름이 표시됩니다.

AWS CLI를 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하는 방법

다음 update-studio-session-mappings 인수에 고유한 값을 입력합니다. update-studio-session-mappings 명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.

aws emr update-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <name-of-user-or-group-to-update> \ --session-policy-arn <new-session-policy-arn-to-apply> \ --identity-type <USER-or-GROUP> \

get-studio-session-mapping 명령을 사용하여 새 세션 정책 할당을 확인합니다. <example-identity-name>을 업데이트한 사용자 또는 그룹의 IAM Identity Center 이름으로 바꿉니다.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Studio에서 사용자 또는 그룹 제거

IAM

IAM 인증 모드를 사용할 때 EMR Studio에서 사용자 또는 그룹을 제거하려면 사용자의 IAM 권한 정책을 재구성하여 Studio에 대한 사용자 액세스를 취소해야 합니다.

다음 정책 예제에서 태그 키-값 페어 Team = Quality Assurance가 있는 EMR Studio가 있다고 가정합니다. 정책에 따라 사용자는 값이 Data Analytics 또는 Quality Assurance와 같은 Team 키로 태그가 지정된 Studios에 액세스할 수 있습니다. Team = Quality Assurance 태그가 지정된 Studio에서 사용자를 제거하려면 태그 값 목록에서 Quality Assurance를 제거합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] }
IAM Identity Center
콘솔을 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하는 방법
  1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.

  2. 왼쪽 탐색에서 EMR Studio를 선택합니다.

  3. Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.

  4. Studio 세부 정보 페이지의 Studio 사용자 목록에서, Studio에서 제거할 사용자 또는 그룹을 찾습니다. 이름 또는 ID 유형으로 검색할 수 있습니다.

  5. 삭제할 사용자 또는 그룹을 선택하고 삭제를 선택한 후 삭제를 확인합니다. 삭제한 사용자 또는 그룹은 Studio 사용자 목록에서 사라집니다.

AWS CLI를 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하는 방법

다음 delete-studio-session-mapping 인수에 고유한 값을 입력합니다. delete-studio-session-mapping 명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.

aws emr delete-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <name-of-user-or-group-to-delete> \