本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon EMR Studio 选择一种身份验证模式
EMRStudio 支持两种身份IAM验证模式:身份验证模式和IAM身份中心身份验证模式。IAM模式使用 AWS Identity and Access Management (IAM),而IAM身份中心模式使用 AWS IAM Identity Center。创建 EMR Studio 时,您可以为该工作室的所有用户选择身份验证模式。有关不同身份验证模式的更多信息,请参阅 身份验证和用户登录。
使用下表为 EMR Studio 选择身份验证模式。
| 如果您是… | 我们建议… |
|---|---|
| 已经熟悉或之前设置过IAM身份验证或联合 |
IAM 身份验证模式,具备下列优点:
|
| 我们的 Amazon 新 AWS 手 EMR |
IAM身份中心身份验证模式,提供以下功能:
|
为 Amazon EMR Studio 设置IAM身份验证模式
在IAM身份验证模式下,您可以使用IAM身份验证或IAM联合。IAM身份验证允许您在中管理用户、群组和角色等IAM身份IAM。您可以通过IAM权限策略和基于属性的访问控制 () ABAC 向用户授予对 Studio 的访问权限。IAM联合允许您在第三方身份提供商 (IdP) 之间建立信任, AWS 以便您可以通过 IdP 管理用户身份。
注意
如果您已经使用IAM来控制对 AWS 资源的访问权限,或者您已经为其配置了身份提供商 (IdP)IAM,则在使用 Studio 的IAM身份验证模式时,请参阅IAM 身份验证模式的用户权限设置用户权限。EMR
在 Amazon EMR Studio 中使用IAM联盟
要使用 EMR Studio 的IAM联合,您需要在您 AWS 账户 和您的身份提供商 (IdP) 之间创建信任关系,并允许联合用户访问。 AWS Management Console创建此信任关系所采取的步骤取决于您身份提供商 (IdP) 的联合身份验证标准。
通常,您可以完成以下任务以使用外部身份供应商 (IdP) 配置联合身份验证。有关完整说明,请参阅用户指南 AWS Management Console中的启用 SAML 2.0 联合身份AWS Identity and Access Management 用户访问 AWS Management Console和启用自定义身份代理访问权限。
-
通过您的身份提供商 (IdP) 收集信息。这通常意味着生成元数据文档来验证来自您的 IdP 的SAML身份验证请求。
-
创建身份提供者IAM实体来存储有关您的 IdP 的信息。有关说明,请参阅创建IAM身份提供商。
-
为您的 IdP 创建一个或多个IAM角色。EMRStudio 会在联合用户登录时为其分配角色。该角色允许您的 IdP 请求临时安全凭证以便访问 AWS。有关说明,请参阅针对第三方身份提供商(联合)创建角色。您分配给该角色的权限策略决定了联合用户在 EMR Studio 中 AWS 和中可以执行的操作。有关更多信息,请参阅 IAM 身份验证模式的用户权限。
-
(适用于SAML提供商)通过为你的 IdP 配置你的 IdP AWS 以及你希望联合用户扮演的角色来完成SAML信任。此配置过程在您的 IdP 和之间创建依赖方信任。 AWS有关更多信息,请参阅使用信赖方信任配置您的 SAML 2.0 IdP 并添加声明。
在 I EMR dP 门户中将 Studio 配置为SAML应用程序
您可以使用指向 EMR Studio 的深层链接将特定的 Studio 配置为SAML应用程序。这样用户就可以登录您的 IdP 门户网站并启动特定的 Studio,而不必浏览亚马逊控制台。EMR
-
使用以下格式将指向 EMR Studio 的深度链接配置为SAML断言验证URL后的登陆点。
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
为 Amazon EMR Studio 设置IAM身份中心身份验证模式
要 AWS IAM Identity Center 为 EMR Studio 做好准备,您必须配置身份源并配置用户和群组。配置是将用户和群组信息提供给 Identity Center 和使用 Ident IAM ity Center 的应用程序使用的IAM过程。有关更多信息,请参阅用户和组预置。
EMRStudio 支持为身份中心使用以下IAM身份提供商:
-
AWS Managed Microsoft AD 和自我管理的 Active Directory — 有关更多信息,请参阅 Connect 连接到你的 Microsoft AD 目录。
-
SAML基于的提供商-有关完整列表,请参阅支持的身份提供商。
-
IAM身份中心目录-有关更多信息,请参阅在 Identity Cent er 中管理IAM身份。
为 EMR Studio 设置IAM身份中心
-
要为 EMR Studio 设置IAM身份中心,您需要满足以下条件:
-
如果您在 AWS 组织中使用多个帐户,则为组织中的管理帐户。
注意
您只能使用您的管理帐户来启用 Ident IAM ity Center 并配置用户和群组。设置 Ident IAM ity Center 后,使用成员帐户创建 EMR Studio 并分配用户和群组。要了解有关 AWS 术语的更多信息,请参阅AWS Organizations 术语和概念。
-
如果您在 2019 年 11 月 25 日之前启用了 Ident IAM ity Center,则可能需要为 AWS 组织中的账户启用使用 Ident IAM ity Center 的应用程序。有关更多信息,请参阅在账户中启用集成IAM身份中心的应用程序。 AWS
-
-
按照启用IAM身份中心中的说明在要创建 EMR Studio 的 AWS 区域 位置启用IAM身份中心。
-
将 IAM Identity Center 连接到您的身份提供商,然后配置要分配给 Studio 的用户和群组。
如果您使用... 请执行此操作... Microsoft AD 目录 -
按照 Connect 到 Microsoft AD 目录中的说明使用 AWS Directory Service连接自我管理的 Active Direct AWS Managed Microsoft AD ory 或目录。
-
要为 Ident IAM ity Center 配置用户和群组,您可以将来自源 AD 的身份数据同步到 Ident IAM ity Center。您可以通过多种方式同步源 AD 中的身份。一种方法是将 AD 用户或组分配给企业中的 AWS 账户。有关说明,请参阅单点登录。
同步最多可能需要两个小时。完成此步骤后,同步的用户和组都显示在您的 Identity Store 中。
注意
在您同步用户和群组信息或使用 just-in-time (JIT) 用户配置之前,用户和群组不会出现在您的身份存储中。有关更多信息,请参阅当用户来自 Active Directory 时进行预置。
-
(可选)同步 AD 用户和群组后,您可以删除他们对您在上一步中配置的 AWS 账户的访问权限。有关说明,请参阅删除用户访问权限。
外部身份提供商 按照连接到您的外部身份提供商中的说明进行操作。 IAM身份中心目录 在 Ident IAM ity Center 中创建用户和群组时,会自动进行配置。有关更多信息,请参阅在 Identity Cent er 中管理IAM身份。 -
现在,您可以将身份存储中的用户和群组分配给 EMR Studio。有关说明,请参阅 将用户或群组分配给 EMR Studio。
