Criação de uma instância do Centro de Identidade Criar um perfil do IAM Adicionar permissões para serviços não integrados ao Centro de Identidade do IAM Criar uma configuração de segurança Executar um cluster

Introdução à AWS IAM Identity Center integração com o Amazon EMR

Esta seção ajuda você a configurar o Amazon EMR para integração com o. AWS IAM Identity Center

Tópicos

Criação de uma instância do Centro de Identidade
Criação de um perfil do IAM para o Centro de Identidade
Adicionar permissões para serviços não integrados ao Centro de Identidade do IAM
Criação de uma configuração de segurança habilitada para o Centro de Identidade
Criação e execução de um cluster habilitado para o Centro de Identidade
Configuração do Lake Formation para um cluster do EMR habilitado para o Centro de Identidade do IAM
Como trabalhar com o S3 Access Grants em um cluster do EMR habilitado para o Centro de Identidade do IAM

nota

Para usar a integração do Centro de Identidade com o EMR, o Lake Formation ou a Concessão de Acesso do S3 devem estar habilitados. Você também pode usar ambos. Se nenhum estiver habilitado, a integração do Centro de Identidade não será compatível.

Criação de uma instância do Centro de Identidade

Se ainda não tiver uma, crie uma instância do Centro de Identidade na Região da AWS em que deseja executar o cluster do EMR. Uma instância do Centro de Identidade só pode existir em uma única região para uma Conta da AWS.

Use o AWS CLI comando a seguir para criar uma nova instância chamadaMyInstance:


aws sso-admin create-instance --name MyInstance

Criação de um perfil do IAM para o Centro de Identidade

Para integrar o Amazon EMR com AWS IAM Identity Center, crie uma função do IAM que se autentique com o Identity Center a partir do cluster do EMR. Sob o capô, o Amazon EMR usa SigV4 credenciais para retransmitir a identidade do Identity Center para serviços posteriores, como. AWS Lake Formation Seu perfil também deve ter as respectivas permissões para invocar os serviços downstream.

Ao criar o perfil, use a seguinte política de permissões:


{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

A política de confiança para essa função permite que InstanceProfile papel para permitir que ele assuma o papel.


{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Se o perfil não tiver credenciais confiáveis e acessar uma tabela protegida pelo Lake Formation, o Amazon EMR define automaticamente o principalId do perfil assumido como userID-untrusted. A seguir está um trecho de um CloudTrail evento que exibe o. principalId


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Adicionar permissões para serviços não integrados ao Centro de Identidade do IAM

AWS as credenciais que usam propagação de identidade confiável usam as políticas do IAM definidas na função do IAM para todas as chamadas feitas para serviços não integrados ao IAM Identity Center. Isso inclui, por exemplo, AWS Key Management Service o. Seu perfil também deve definir as permissões do IAM para quaisquer serviços desse tipo que você tentaria acessar. Os serviços integrados do IAM Identity Center atualmente suportados incluem AWS Lake Formation Amazon S3 Access Grants.

Para saber mais sobre propagação de identidade confiável, consulte Trusted identity propagation across applications.

Criação de uma configuração de segurança habilitada para o Centro de Identidade

Para executar um cluster do EMR com a integração do Centro de Identidade do IAM, use o exemplo de comando a seguir para criar uma configuração de segurança do Amazon EMR que tenha o Centro de Identidade habilitado. Cada configuração é explicada abaixo.


aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

EnableIdentityCenter: (obrigatório) habilita a integração do Centro de Identidade.
IdentityCenterInstanceARN: (opcional) o ARN da instância do Centro de Identidade. Se isso não estiver incluído, o ARN existente da instância do Centro de Identidade do IAM será pesquisado como parte da etapa de configuração.
IAMRoleForEMRIdentityCenterApplicationARN: (obrigatório) o perfil do IAM que adquire tokens do Centro de Identidade do cluster.
IdentityCenterApplicationAssignmentRequired: (booleano) determina se uma atribuição será necessária para usar a aplicação do Centro de Identidade. Esse campo é opcional. Se um valor não for fornecido, o padrão será false.
AuthorizationConfiguration ou LakeFormationConfiguration: opcionalmente, configure a autorização:
- EnableLakeFormation: habilite a autorização do Lake Formation no cluster.

Para habilitar a integração do Centro de Identidade com o Amazon EMR, você deve especificar EncryptionConfiguration e IntransitEncryptionConfiguration.

Criação e execução de um cluster habilitado para o Centro de Identidade

Agora que configurou o perfil do IAM que se autentica ao Centro de Identidade e criou uma configuração de segurança do Amazon EMR com o Centro de Identidade habilitado, você pode criar e executar seu cluster com reconhecimento de identidade. Para ver as etapas de execução do cluster com a configuração de segurança necessária, consulte Como especificar uma configuração de segurança para um cluster do Amazon EMR.

As seguintes seções descrevem como configurar o cluster habilitado pelo Centro de Identidade com opções de segurança compatíveis com o Amazon EMR:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Integrar o Amazon EMR ao Centro de Identidade

Usar o Lake Formation