Criação de uma instância do Centro de Identidade Crie uma IAM função Criar uma configuração de segurança Executar um cluster

Introdução à AWS IAM Identity Center integração com a Amazon EMR

Esta seção ajuda você a configurar EMR a Amazon para integração com AWS IAM Identity Center.

Tópicos

nota

Para usar a integração do Identity Center comEMR, o Lake Formation ou o S3 Access Grants devem estar habilitados. Você também pode usar os dois. Se nenhum deles estiver ativado, a integração com o Identity Center não será suportada.

Criação de uma instância do Centro de Identidade

Se você ainda não tiver uma, crie uma instância do Identity Center no Região da AWS local em que você deseja iniciar seu EMR cluster. Uma instância do Centro de Identidade só pode existir em uma única região para uma Conta da AWS.

Use o AWS CLI comando a seguir para criar uma nova instância chamadaMyInstance:


aws sso-admin create-instance --name MyInstance

Crie uma IAM função para o Identity Center

Para integrar a Amazon EMR AWS IAM Identity Center, crie uma IAM função que se autentique com o Identity Center a partir do EMR cluster. Sob o capô, a Amazon EMR usa SigV4 credenciais para retransmitir a identidade do Identity Center para serviços posteriores, como. AWS Lake Formation Seu perfil também deve ter as respectivas permissões para invocar os serviços downstream.

Ao criar o perfil, use a seguinte política de permissões:


{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

A política de confiança para essa função permite que InstanceProfile papel para permitir que ele assuma o papel.


{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Se a função não tiver credenciais confiáveis e acessar uma tabela protegida por Lake Formation, a EMR Amazon definirá automaticamente principalId a função assumida como. userID-untrusted A seguir está um trecho de um CloudTrail evento que exibe o. principalId


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Criação de uma configuração de segurança habilitada para o Centro de Identidade

Para iniciar um EMR cluster com integração com o IAM Identity Center, use o comando de exemplo a seguir para criar uma configuração de EMR segurança da Amazon que tenha o Identity Center ativado. Cada configuração é explicada abaixo.


aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

EnableIdentityCenter: (obrigatório) habilita a integração do Centro de Identidade.
IdentityCenterInstanceARN— (opcional) A instância do Identity CenterARN. Se isso não estiver incluído, a instância existente do IAM Identity Center ARN será pesquisada como parte da etapa de configuração.
IAMRoleForEMRIdentityCenterApplicationARN— (obrigatório) A IAM função que adquire os tokens do Identity Center do cluster.
IdentityCenterApplicationAssignmentRequired: (booleano) determina se uma atribuição será necessária para usar a aplicação do Centro de Identidade. Esse campo é opcional. Se um valor não for fornecido, o padrão seráfalse.
AuthorizationConfiguration/LakeFormationConfiguration— Opcionalmente, configure a autorização:
- EnableLakeFormation: habilite a autorização do Lake Formation no cluster.

Para habilitar a integração do Identity Center com a AmazonEMR, você deve especificar EncryptionConfiguration IntransitEncryptionConfiguration e.

Criação e execução de um cluster habilitado para o Centro de Identidade

Agora que você configurou a IAM função que se autentica com o Identity Center e criou uma configuração de EMR segurança da Amazon com o Identity Center ativado, você pode criar e iniciar seu cluster com reconhecimento de identidade. Para ver as etapas de execução do cluster com a configuração de segurança necessária, consulte Especifique uma configuração de segurança para um EMR cluster da Amazon.

As seções a seguir descrevem como configurar seu cluster habilitado para o Identity Center com opções de segurança EMR suportadas pela Amazon:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Integre a Amazon EMR com o Identity Center

Usar o Lake Formation