本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選擇 Amazon EMR 工作室的身份驗證模式
EMRStudio 支援兩種驗證模式:IAM驗證模式和IAM身分識別中心驗證模式。IAM模式使用 AWS Identity and Access Management (IAM),而IAM身分中心模式使用 AWS IAM Identity Center。當您建立 EMR Studio 時,您可以為該 Studio 的所有使用者選擇驗證模式。如需有關不同身分驗證模式的詳細資訊,請參閱 身分驗證和使用者登入。
使用下表選擇 EMR Studio 的驗證模式。
| 如果您是... | 建議... |
|---|---|
| 已熟悉或先前已設定IAM驗證或聯合 |
IAM驗證模式,它具有以下好處:
|
| Amazon 新手 AWS EMR |
IAM識別中心驗證模式,它可提供以下功能:
|
為 Amazon EMR 工作室設置IAM身份驗證模式
透過IAM驗證模式,您可以使用IAM驗證或IAM聯合。IAM驗證可讓您管理IAM身分識別,例如中的使用者、群組和角色IAM。您可以使用IAM權限策略和基於屬性的訪問控制()ABAC授予用戶對 Studio 的訪問權限。IAM同盟可讓您在第三方身分識別提供者 (IdP) 之間建立信任,以 AWS 便您可以透過 IdP 管理使用者身分識別。
注意
如果您已使用IAM來控制對 AWS 資源的存取,或者您已經為其設定身分識別提供者 (IdP)IAM,請參閱在IAM 身分驗證模式的使用者許可使用 EMR Studio 的IAM驗證模式時設定使用者權限。
使用IAM聯邦 Amazon EMR 工作室
若要使用 EMR Studio 的同IAM盟,您可以在您 AWS 帳戶 與您的身分識別提供者 (IdP) 之間建立信任關係,並允許同盟使用者存取。 AWS Management Console建立此信任關係所採取的步驟會因 IdP 的聯合標準而有所不同。
一般而言,需要完成下列任務來設定與外部 IdP 的聯合。如需完整指示,請參閱AWS Identity and Access Management 使用指南 AWS Management Console中的啟用 SAML 2.0 同盟使用者存取 AWS Management Console和啟用自訂身分識別代理人存取權限。
-
從您的 IdP 中收集資訊。這通常意味著生成元數據文檔以驗SAML證來自 IdP 的身份驗證請求。
-
建立身分識別提供者IAM實體以儲存 IdP 的相關資訊。如需指示,請參閱建立IAM身分提供者。
-
為您的 IdP 建立一或多個IAM角色。EMRStudio 會在使用者登入時將角色指派給聯合身分的使用者。該角色允許您的 IdP 請求暫時性安全憑證以存取 AWS。如需指示,請參閱針對第三方身分提供者建立角色 (聯合)。您指派給角色的權限原則會決定同盟使用者可以在 Studio 中 AWS 和在 EMR Studio 中執行的動作。如需詳細資訊,請參閱IAM 身分驗證模式的使用者許可。
-
(針對SAML提供者) 透過將 IdP 配置為您希望同盟使用者承擔的相關資訊 AWS 和角色,以完成SAML信任。此組態程序會在 IdP 和 AWS之間建立信賴憑證者信任。如需詳細資訊,請參閱使用信賴憑證者信任設定 SAML 2.0 IdP 和新增宣告。
若要在 IdP 入口網站中將 EMR Studio 設定為SAML應用程式
您可以配置一個特定的 EMR Studio 使SAML用深層鏈接到 Studio 的應用程序。這樣做可讓使用者登入您的 IdP 入口網站並啟動特定的 Studio,而不是透過 Amazon EMR 主控台瀏覽。
-
在SAML斷言驗證URL後,使用以下格式將 EMR Studio 的深層鏈接配置為著陸。
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
為 Amazon EMR 工作室設定IAM身分中心身份驗證模式
若要準 AWS IAM Identity Center 備 EMR Studio,您必須設定身分識別來源並佈建使用者和群組。佈建是將使用者和群組資訊提供給身分識別中心以及使用 IAM Identity Center 的應用程式使用IAM的程序。如需詳細資訊,請參閱使用者和群組佈建。
EMRStudio 支援身分識別中心使用下列身分IAM識別提供者:
-
AWS Managed Microsoft AD 和自我管理的作用中目錄 — 如需詳細資訊,請參閱 Connect 到您的 Microsoft AD 目錄。
-
SAML型提供者 — 如需完整清單,請參閱支援的身分識別提供者。
-
身分IAM識別中心目錄 — 如需詳細資訊,請參閱管理身分識別中心中的IAM身分。
若要設定EMR工作室的IAM身分識別中心
-
若要設定 EMR Studio 的IAM身分識別中心,您需要下列項目:
-
組織中的管理帳戶 (如果您在 AWS 組織中使用多個帳戶)。
注意
您應該只使用您的管理帳戶來啟用 IAM Identity Center 並佈建使用者和群組。設定IAM身分識別中心後,請使用成員帳戶建立 EMR Studio 並指派使用者和群組。若要進一步了解 AWS 術語,請參閱AWS Organizations 術語和概念。
-
如果您在 2019 年 11 月 25 日之前啟用IAM身分識別中心,則可能必須為 AWS 組織中的帳戶啟用使用IAM身分識別中心的應用程式。如需詳細資訊,請參閱在 AWS 帳戶中啟用整合IAM身分識別中心的應用
-
確定您已在 [IAM身分識別中心必要條件] 頁面上列出先決條件。
-
-
遵循啟用IAM身分識別中心中的指示,在您要建立 EMR Studio 的 AWS 區域 位置啟用IAM身分識別中心。
-
將IAM身分識別中心 Connect 至您的身分識別提供者,並佈建您要指派給 Studio 的使用者和群組。
如果您使用... 執行此作業... Microsoft AD 目錄 -
依照 Connect 到您的 Microsoft AD 目錄中的指示,使用連線到您自我管理的作用 AWS Directory Service中目錄或 AWS Managed Microsoft AD 目錄。
-
若要佈建 IAM Identity Center 的使用者和群組,您可以將來源 AD 的身分識別資料同步至IAM身分識別中心。可以透過多種方式同步來源 AD 中的身分。其中一種方法是將 AD 使用者或群組指派給組織中的 AWS 帳戶。如需指示,請參閱單一登入。
同步可能需要長達兩個小時。完成此步驟後,已同步的使用者和群組會出現在 Identity Store 中。
注意
在您同步使用者和群組資訊或使用 just-in-time (JIT) 使用者佈建之前,使用者和群組不會出現在您的識別身分存放區中。如需詳細資訊,請參閱在使用者來自 Active Directory 時進行佈建。
-
(選擇性) 同步 AD 使用者和群組之後,您可以移除他們對您在上一個步驟中設定之 AWS 帳戶的存取權。如需指示,請參閱移除使用者存取權。
外部身分提供者 遵循連接至外部身分提供者中的指示。 IAM身分識別中心目錄 當您在 IAM Identity Center 中建立使用者和群組時,會自動佈建。如需詳細資訊,請參閱管理身分識別中心中的IAM身分。 -
您現在可以從身分識別存放區將使用者和群組指派給 EMR Studio。如需說明,請參閱 將使用者或群組指派給EMR工作室。
