IAMmodo de autenticação IAMModo de autenticação do Identity Center

Escolha um modo de autenticação para o Amazon EMR Studio

EMRO Studio oferece suporte a dois modos de IAM autenticação: modo de autenticação e modo de autenticação do IAM Identity Center. IAMo modo usa AWS Identity and Access Management (IAM), enquanto o modo IAM Identity Center usa AWS IAM Identity Center. Ao criar um EMR Studio, você escolhe o modo de autenticação para todos os usuários desse Studio. Para obter mais informações sobre os diferentes modos de autenticação, consulte Autenticação e login do usuário.

Use a tabela a seguir para escolher um modo de autenticação para o EMR Studio.

Se você...	Recomendamos…
Já está familiarizado ou já configurou a IAM autenticação ou federação	O IAMmodo de autenticação, que oferece os seguintes benefícios: Fornece configuração rápida para o EMR Studio se você já gerencia identidades, como usuários e grupos noIAM. Funciona com provedores de identidade compatíveis com OpenID Connect (OIDC) ou Security Assertion Markup Language 2.0 (2.0). SAML Oferecimento de suporte ao uso de diversos provedores de identidade com a mesma Conta da AWS. Disponível em um grande número de Regiões da AWS. Compatível com SOC 2.
Novo na Amazon AWS EMR	O IAMModo de autenticação do Identity Center, que fornece os seguintes recursos: Suporta fácil atribuição de AWS recursos por usuários e grupos. Funciona com o Microsoft Active Directory e provedores de identidade SAML 2.0. Facilita a configuração da federação de várias contas para que você não precise configurar separadamente a federação para cada uma Conta da AWS em sua organização.

Se você...

Recomendamos…

Já está familiarizado ou já configurou a IAM autenticação ou federação

O IAMmodo de autenticação, que oferece os seguintes benefícios:

Fornece configuração rápida para o EMR Studio se você já gerencia identidades, como usuários e grupos noIAM.
Funciona com provedores de identidade compatíveis com OpenID Connect (OIDC) ou Security Assertion Markup Language 2.0 (2.0). SAML
Oferecimento de suporte ao uso de diversos provedores de identidade com a mesma Conta da AWS.
Disponível em um grande número de Regiões da AWS.
Compatível com SOC 2.

Novo na Amazon AWS EMR

O IAMModo de autenticação do Identity Center, que fornece os seguintes recursos:

Suporta fácil atribuição de AWS recursos por usuários e grupos.
Funciona com o Microsoft Active Directory e provedores de identidade SAML 2.0.
Facilita a configuração da federação de várias contas para que você não precise configurar separadamente a federação para cada uma Conta da AWS em sua organização.

Configurar o modo de IAM autenticação para o Amazon EMR Studio

Com o modo de IAM autenticação, você pode usar a IAM autenticação ou a IAM federação. IAMa autenticação permite gerenciar IAM identidades como usuários, grupos e funções emIAM. Você concede aos usuários acesso a um Studio com políticas de IAM permissões e controle de acesso baseado em atributos () ABAC. IAMa federação permite estabelecer confiança entre um provedor de identidade (IdP) terceirizado e gerenciar as identidades dos usuários AWS por meio do seu IdP.

nota

Se você já usa IAM para controlar o acesso aos AWS recursos ou se já configurou seu provedor de identidade (IdP) paraIAM, consulte Permissões de usuários para o modo de autenticação do IAM para definir permissões de usuário ao usar o modo de IAM autenticação do Studio. EMR

Use a IAM federação para o Amazon EMR Studio

Para usar a IAM federação para o EMR Studio, você cria uma relação de confiança entre você Conta da AWS e seu provedor de identidade (IdP) e permite que usuários federados acessem o. AWS Management Console As etapas executadas para criar essa relação de confiança variam com base no padrão de federação do seu IdP.

Em geral, você conclui as tarefas a seguir para configurar a federação com um IdP externo. Para obter instruções completas, consulte Habilitando o acesso de usuários federados SAML 2.0 AWS Management Console e Habilitando o acesso personalizado do agente de identidade ao AWS Management Console no Guia do AWS Identity and Access Management Usuário.

Reúna informações do seu IdP. Isso geralmente significa gerar um documento de metadados para validar as solicitações de SAML autenticação do seu IdP.
Crie uma IAM entidade provedora de identidade para armazenar informações sobre seu IdP. Para obter instruções, consulte Criação de provedores de IAM identidade.
Crie uma ou mais IAM funções para seu IdP. EMRO Studio atribui uma função a um usuário federado quando o usuário faz login. O perfil permite que seu IdP solicite credenciais de segurança temporárias para obter acesso à AWS. Para obter instruções, consulte Criar um perfil para um provedor de identidades de terceiros (federação). As políticas de permissões que você atribui à função determinam o que os usuários federados podem fazer em AWS e em um EMR Studio. Para obter mais informações, consulte Permissões de usuários para o modo de autenticação do IAM.
(Para SAML provedores) Complete a SAML confiança configurando seu IdP com AWS informações e as funções que você deseja que os usuários federados assumam. Esse processo de configuração cria confiança entre seu AWS IdP e. Para obter mais informações, consulte Configurando seu IdP SAML 2.0 com confiança de terceiros confiáveis e adicionando declarações.

Para configurar um EMR Studio como um SAML aplicativo em seu portal IdP

Você pode configurar um determinado EMR Studio como um SAML aplicativo usando um link direto para o Studio. Isso permite que os usuários façam login no seu portal do IdP e iniciem um Studio específico em vez de navegar pelo console da Amazon. EMR

Use o formato a seguir para configurar um link direto para seu EMR Studio como destino URL após a verificação SAML da afirmação.
```
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
```

Configurar o modo de autenticação do IAM Identity Center para o Amazon EMR Studio

Para se preparar AWS IAM Identity Center para o EMR Studio, você deve configurar sua fonte de identidade e provisionar usuários e grupos. O provisionamento é o processo de disponibilizar informações de usuários e grupos para uso pelo IAM Identity Center e por aplicativos que usam o IAM Identity Center. Para obter mais informações, consulte User and group provisioning.

EMRO Studio oferece suporte ao uso dos seguintes provedores de identidade para o IAM Identity Center:

AWS Managed Microsoft AD e Active Directory autogerenciado — Para obter mais informações, consulte Connect to your Microsoft AD directory.
SAMLprovedores baseados — Para obter uma lista completa, consulte Provedores de identidade compatíveis.
O diretório do IAM Identity Center — Para obter mais informações, consulte Gerenciar identidades no IAM Identity Center.

Para configurar o IAM Identity Center for EMR Studio

Para configurar o IAM Identity Center for EMR Studio, você precisa do seguinte:
- Uma conta de gerenciamento em sua AWS organização se você usar várias contas em sua organização.
  
  nota
  Você só deve usar sua conta de gerenciamento para habilitar o IAM Identity Center e provisionar usuários e grupos. Depois de configurar o IAM Identity Center, use uma conta de membro para criar um EMR Studio e atribuir usuários e grupos. Para saber mais sobre AWS terminologia, consulte AWS Organizations terminologia e conceitos.
- Se você ativou o IAM Identity Center antes de 25 de novembro de 2019, talvez seja necessário habilitar aplicativos que usam o IAM Identity Center para as contas AWS da sua organização. Para obter mais informações, consulte Habilitar aplicativos integrados ao IAM Identity Center em AWS contas.
- Verifique se você tem os pré-requisitos listados na página de pré-requisitos do IAMIdentity Center.
Siga as instruções em Ativar o IAM Identity Center para habilitar o IAM Identity Center no Região da AWS local em que você deseja criar o EMR Studio.

Conecte o IAM Identity Center ao seu provedor de identidade e provisione os usuários e grupos que você deseja atribuir ao Studio.

Se você usar...	Fazer isso...
Um diretório do Microsoft AD	Siga as instruções em Conectar-se ao seu diretório do Microsoft AD para conectar seu Active Directory ou AWS Managed Microsoft AD diretório autogerenciado usando AWS Directory Service. Para provisionar usuários e grupos para o IAM Identity Center, você pode sincronizar dados de identidade do seu AD de origem com o IAM Identity Center. É possível sincronizar as identidades do seu AD de origem de várias maneiras. Uma das maneiras é atribuir usuários ou grupos do AD a uma conta da AWS na sua organização. Para obter instruções, consulte Single sign-on. A sincronização pode demorar até duas horas. Depois de concluir esta etapa, os usuários e os grupos sincronizados aparecerão no seu repositório de identidades. nota Usuários e grupos não aparecem no Identity Store até que você sincronize as informações do usuário e do grupo ou use just-in-time (JIT) o provisionamento de usuários. Para obter mais informações, consulte Provisioning when users come from Active Directory. (Opcional) Depois de sincronizar usuários e grupos do AD, você pode remover o acesso deles à sua AWS conta que você configurou na etapa anterior. Para obter instruções, consulte Remove user access.
Um provedor de identidades externo	Siga as instruções em Connect to your external identity provider.
O diretório do IAM Identity Center	Quando você cria usuários e grupos no IAM Identity Center, o provisionamento é automático. Para obter mais informações, consulte Gerenciar identidades no IAM Identity Center.

Agora você pode atribuir usuários e grupos da sua Identity Store a um EMR Studio. Para obter instruções, consulte Atribuir um usuário ou grupo a um EMR estúdio.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar um Amazon EMR Studio

Criar uma função de serviço do EMR Studio