Escolha um modo de autenticação para o Amazon EMR Studio - Amazon EMR
Modo de autenticação do IAMModo de autenticação do Centro de Identidade do IAM

Escolha um modo de autenticação para o Amazon EMR Studio

O EMR Studio oferece suporte a dois modos de autenticação: o modo de autenticação do IAM e o modo de autenticação do Centro de Identidade do IAM. O modo do IAM usa o AWS Identity and Access Management (IAM), enquanto o modo do Centro de Identidade do IAM usa o AWS IAM Identity Center. Ao criar um EMR Studio, você escolhe o modo de autenticação para todos os usuários desse Studio. Para obter mais informações sobre os diferentes modos de autenticação, consulte Autenticação e login do usuário.

Use a tabela apresentada a seguir para escolher um modo de autenticação para o EMR Studio.

Se você... Recomendamos…
Já está familiarizado ou configurou anteriormente uma autenticação ou uma federação do IAM

O Modo de autenticação do IAM, que oferece os seguintes benefícios:

  • Disponibilização de uma configuração rápida para o EMR Studio, se você já gerencia identidades como usuários e grupos no IAM.

  • Funcionamento com provedores de identidade que são compatíveis com o OpenID Connect (OIDC) ou com a Security Assertion Markup Language 2.0 (SAML 2.0).

  • Oferecimento de suporte ao uso de diversos provedores de identidade com a mesma Conta da AWS.

  • Disponibilidade em um grande número de Regiões da AWS.

  • Compatibilidade com SOC 2.
É iniciante na AWS ou no Amazon EMR

O Modo de autenticação do Centro de Identidade do IAM, que fornece os seguintes recursos:

  • Oferece suporte à atribuição fácil de usuários e grupos aos recursos da AWS.

  • Funcionamento com provedores de identidade do Microsoft Active Directory e da SAML 2.0.

  • Facilitação da configuração da federação de várias contas para que você não tenha necessidade de configurar separadamente a federação para cada Conta da AWS na sua organização.

Configuração do modo de autenticação do IAM para o Amazon EMR Studio

Com o modo de autenticação do IAM, você pode usar a autenticação do IAM ou a federação do IAM. A autenticação do IAM permite gerenciar identidades do IAM, como usuários, grupos e perfis no IAM. Você concede aos usuários acesso a um Studio com as políticas de permissões do IAM e o controle de acesso por atributos (ABAC). A federação do IAM permite estabelecer confiança entre um provedor de identidades (IdP) terceirizado e a AWS para que você possa gerenciar identidades de usuários por meio do seu IdP.

nota

Se você já usa o IAM para controlar o acesso aos recursos da AWS ou se já configurou seu provedor de identidades (IdP) para o IAM, consulte Permissões de usuários para o modo de autenticação do IAM para definir permissões de usuário ao usar o modo de autenticação do IAM para o EMR Studio.

Uso da federação do IAM para o Amazon EMR Studio

Para usar a federação do IAM para o EMR Studio, você cria uma relação de confiança entre sua Conta da AWS e seu provedor de identidades (IdP) e possibilita que usuários federados acessem o AWS Management Console. As etapas executadas para criar essa relação de confiança variam com base no padrão de federação do seu IdP.

Em geral, você conclui as tarefas a seguir para configurar a federação com um IdP externo. Para obter instruções completas, consulte Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console e Habilitar o acesso do agente de identidades personalizado ao AWS Management Console no Guia do usuário do AWS Identity and Access Management.

  1. Reúna informações do seu IdP. Geralmente, isso significa gerar um documento de metadados para validar as solicitações de autenticação SAML do seu IdP.

  2. Crie uma entidade do IAM do provedor de identidades para armazenar as informações sobre seu IdP. Para obter instruções, consulte Criação de provedores de identidades do IAM.

  3. Crie um ou mais perfis do IAM para seu IdP. O EMR Studio atribui um perfil a um usuário federado quando o usuário realiza o login. O perfil permite que seu IdP solicite credenciais de segurança temporárias para obter acesso à AWS. Para obter instruções, consulte Criar um perfil para um provedor de identidades de terceiros (federação). As políticas de permissões atribuídas ao perfil determinam o que os usuários federados podem fazer na AWS e em um EMR Studio. Para ter mais informações, consulte Permissões de usuários para o modo de autenticação do IAM.

  4. (Para provedores SAML) Conclua o estabelecimento de confiança da SAML ao configurar seu IdP com informações sobre a AWS e sobre os perfis que você deseja que os usuários federados assumam. Esse processo de configuração cria confiança de terceira parte confiável entre seu IdP e a AWS. Para obter mais informações, consulte Configurar o IdP do SAML 2.0 com confiança da parte dependente e incluir declarações.

Para configurar um EMR Studio como uma aplicação da SAML em seu portal do IdP

Você pode configurar um EMR Studio específico como uma aplicação da SAML usando um link direto para o Studio. Isso permite que os usuários façam login no seu portal do IdP e iniciem um Studio específico em vez de navegar pelo console do Amazon EMR.

  • Use o formato apresentado a seguir para configurar um link direto para seu EMR Studio como um URL de destino após a verificação de declaração da SAML. 

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configuração do modo de autenticação do Centro de Identidade do IAM para o Amazon EMR Studio

Para preparar o AWS IAM Identity Center para o EMR Studio, você deve configurar sua origem de identidade e provisionar usuários e grupos. O provisionamento é o processo de disponibilização de informações de usuários e de grupos para o uso pelo Centro de Identidade do IAM e por aplicações que usam o Centro de Identidade do IAM. Para obter mais informações, consulte User and group provisioning.

O EMR Studio oferece suporte ao uso dos seguintes provedores de identidades para o Centro de Identidade do IAM:

Configurar o Centro de Identidade do IAM para o EMR Studio

  1. Para configurar o Centro de Identidade do IAM para o EMR Studio, você precisa do seguinte:

    • Uma conta de gerenciamento na sua organização da AWS, se você usar várias contas na organização.

      nota

      Você deve usar a conta de gerenciamento somente para habilitar o Centro de Identidade do IAM e provisionar usuários e grupos. Após configurar o Centro de Identidade do IAM, use uma conta de membro para criar um EMR Studio e atribuir usuários e grupos. Para saber mais sobre a terminologia da AWS, consulte Terminologia e conceitos do AWS Organizations.

    • Se você habilitou o Centro de Identidade do IAM antes de 25 de novembro de 2019, talvez seja necessário habilitar aplicações que usam o Centro de Identidade do IAM para as contas em sua organização da AWS. Para obter mais informações, consulte Enable IAM Identity Center-integrated applications in AWS accounts.

    • Certifique-se de ter os pré-requisitos listados na página de pré-requisitos do Centro de Identidade do IAM.

  2. Siga as instruções em Enable IAM Identity Center para habilitar o Centro de Identidade do IAM na Região da AWS em que você deseja criar o EMR Studio.

  3. Conecte o Centro de Identidade do IAM ao seu provedor de identidades e provisione os usuários e os grupos que você deseja atribuir ao Studio.

    Se você usar... Fazer isso...
    Um diretório do Microsoft AD

    1. Siga as instruções em Connect to your Microsoft AD directory para conectar o Active Directory autogerenciado ou o diretório do AWS Managed Microsoft AD usando o AWS Directory Service.

    2. Para provisionar usuários e grupos para o Centro de Identidade do IAM, você pode sincronizar dados de identidade do seu AD de origem para o Centro de Identidade do IAM. É possível sincronizar as identidades do seu AD de origem de várias maneiras. Uma das maneiras é atribuir usuários ou grupos do AD a uma conta da AWS na sua organização. Para obter instruções, consulte Single sign-on.

      A sincronização pode demorar até duas horas. Depois de concluir esta etapa, os usuários e os grupos sincronizados aparecerão no seu repositório de identidades.

      nota

      Os usuários e os grupos não aparecem no seu repositórios de identidades até que você sincronize as informações do usuário e do grupo ou use o provisionamento de usuário just-in-time (JIT). Para obter mais informações, consulte Provisioning when users come from Active Directory.

    3. (Opcional) Após sincronizar usuários e grupos do AD, é possível remover o acesso deles à sua conta da AWS configurada na etapa anterior. Para obter instruções, consulte Remove user access.

    Um provedor de identidades externo Siga as instruções em Connect to your external identity provider.
    O diretório do Centro de Identidade do IAM Ao criar usuários e grupos no Centro de Identidade do IAM, o provisionamento é automático. Para obter mais informações, consulte Manage identities in IAM Identity Center.

Agora você pode atribuir usuários e grupos do seu repositório de identidades a um EMR Studio. Para obter instruções, consulte Atribuir um usuário ou um grupo a um EMR Studio.