創建一個EMR工作室 - Amazon EMR
識別提供者 RelayState 參數和驗證 URLs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

創建一個EMR工作室

您可以EMR使用 Amazon 主EMR控台或 AWS CLI. 創建一個工作室實例是設置 Amazon EMR 工作室的一部分。

先決條件

在建立 Studio 之前,請確保已完成 建立一個 Amazon EMR 工作室 中的先前任務。

若要使用建立 Studio AWS CLI,您應該已安裝最新版本。如需詳細資訊,請參閱安裝或更新最新版本的 AWS CLI

重要

SwitchyOmega 在建立 Studio 之前,請停用代理管理工具,例如瀏覽器中的 FoxyProxy 或。當您選擇建立 Studio 時,使用中的代理可能會導致網路故障錯誤訊息。

Amazon 為您EMR提供簡單的主控台體驗來建立 Studio,因此您可以快速開始使用預設設定。使用預設設定執行互動式工作負載或批次任務。建立 EMR Studio 也會建立準備好進行互動式工作的EMR無伺服器應用程式。

如果您想完全控制 Studio 的設置,則可以選擇「自定義」,它使您可以配置所有其他設置。

Interactive workloads
若要為互動式工作負載建立 EMR Studio

  1. 在以下位置打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr

  2. 在左側導覽區的 [EMRStudio] 下方,選擇 [開始使用]。也可以從 Studio 頁面中建立新的 Studio。

  3. 如果您要為互動式工作負載建立 EMR Studio,Amazon 會為您EMR提供預設設定,但您可以編輯這些設定。可設定的設定包括 EMR Studio 的名稱、工作區的 S3 位置、要使用的服務角色、要使用的工作區、EMR無伺服器應用程式名稱,以及關聯的執行階段角色。

  4. 選擇創建工作室並啟動工作區以完成並導航到「工作」頁面。您的新工作室出現在列表中,其中包含諸如工作室名稱創建日期和工作室訪問權限等詳細信息URL。您的工作區會在瀏覽器的新索引標籤中開啟。

Batch jobs
若要為互動式工作負載建立 EMR Studio

  1. 在以下位置打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr

  2. 在左側導覽區的 [EMRStudio] 下方,選擇 [開始使用]。也可以從 Studio 頁面中建立新的 Studio。

  3. 如果您要為批次任務建立 EMR Studio,Amazon 會為您EMR提供預設設定,但您可以編輯這些設定。可設定的設定包括 EMR Studio 的名稱、EMR無伺服器應用程式名稱,以及關聯的執行階段角色。

  4. 選擇創建工作室並啟動工作區以完成並導航到「工作」頁面。您的新工作室出現在列表中,其中包含諸如工作室名稱創建日期和工作室訪問權限等詳細信息URL。您的EMR工作室會在瀏覽器的新分頁中開啟。

Custom settings
使用自訂設定建立EMR工作室

  1. 在以下位置打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr

  2. 在左側導覽區的 [EMRStudio] 下方,選擇 [開始使用]。也可以從 Studio 頁面中建立新的 Studio。

  3. 選擇建立 Studio 以開啟建立 Studio 頁面。

  4. 輸入工作室名稱

  5. 選擇建立新的 S3 儲存貯體或使用現有位置。

  6. 選擇要添加到工作室的工作區。您最多可以新增 3 個工作區。

  7. 身分驗證下,選擇 Studio 的身分驗證模式,並根據下表提供資訊。若要進一步瞭解 EMR Studio 的驗證,請參閱選擇 Amazon EMR 工作室的身份驗證模式

    如果您使用... 執行此作業...
    IAM驗證或同盟

    預設驗證方法為 AWS Identity and Access Management (IAM)。在畫面底部,您也可以新增標籤,讓特定使用者可以存取 Studio,如 將使用者或群組指派給EMR工作室 中所述。

    如果您希望聯合身分使用者使用 Studio URL 和身分識別提供者 (IdP) 的認證登入,請從下拉式清單中選取您的 IdP,然後輸入您的身分識別提供者 (IdP) 登URL入名稱和參數名稱。RelayState

    如需 IdP 驗證URLs和 RelayState 名稱的清單,請參閱識別提供者 RelayState 參數和驗證 URLs
    IAM身分中心驗證

    選取您的 EMR Studio 服務角色使用者角色。如需詳細資訊,請參閱 建立EMR工作室服務角色建立IAM身分識別中心驗證模式的 EMR Studio 使用者角色

    當您針對 Studio 使用IAM身分識別中心 (先前稱為「 AWS 單一登入」) 驗證時,您可以選擇使用 [啟用信任的身分傳播] 選項來簡化使用者的登入體驗。透過受信任的身分識別傳播,使用者可以使用其 Identity Center 認證登入,並在使用 Studio 時將其識別傳播至下游 AWS 服務。

    應用程式存取權區段中,您也可以指定 Identity Center 中的所有使用者和群組是否應具有 Studio 的存取權限,或者是否僅有您選擇的已指派使用者和群組才能存取 Studio。

    如需詳細資訊整合 EMR Amazon AWS IAM Identity Center,請參閱身分識別中心使用者指南中的跨應用程式進行受信任的AWS IAM身分傳播

  8. 對於VPC,請從下拉式清單中選擇 Studio 的 Amazon Virtual Private Cloud (VPC)。

  9. 在「子網路」下,在您的子網路中選取最多五個VPC要與 Studio 相關聯的子網路。可以選擇在建立 Studio 之後新增更多子網路。

  10. 針對安全群組,請選擇預設安全群組或自訂安全群組。如需詳細資訊,請參閱定義安全群組以控制 EMR Studio 網路流量

    如果選擇… 執行此作業...
    默認的EMR工作室安全組

    若要為 Studio 啟用 GIT 型儲存庫連結,請選擇啟用叢集/端點和 Git 儲存庫。否則,請選擇啟用叢集/端點
    Studio 的自訂安全群組

    • 叢集/端點安全群組下,從下拉式清單中選取您設定的引擎安全群組。Studio 使用此安全群組,以允許來自所附接工作區的傳入存取。

    • 工作區安全群組下,從下拉式清單中選取您設定的工作區安全群組。您的工作室將此安全群組與 Workspace 搭配使用,提供對連接的 Amazon EMR 叢集和公開託管的 Git 儲存庫的對外存取。

  11. 將標籤新增至您的 Studio 和其他資源。如需標籤的詳細資訊,請參閱標記叢集

  12. 選擇創建工作室並啟動工作區以完成並導航到「工作」頁面。您的新工作室出現在列表中,其中包含諸如工作室名稱創建日期和工作室訪問權限等詳細信息URL。

建立 Studio 之後,請遵循 將使用者或群組指派給EMR工作室 中的指示。

CLI
注意

包含 Linux 行接續字元 (\) 以便於閱讀。它們可以在 Linux 命令中移除或使用。對於 Windows,請將其移除或取代為插入符號 (^)。

範例 — 創建一個用IAM於身份驗證的工EMR作室

下列範例 AWS CLI 命令會建立具有IAM驗證模式的 EMR Studio。當您為 Studio 使用IAM驗證或聯合時,您不會指定--user-role.

若要讓聯合身分使用者使用 Studio URL 和身分識別提供者 (IdP) 的認證登入,請指定您--idp-auth-url的和。--idp-relay-state-parameter-name如需 IdP 驗證URLs和 RelayState 名稱的清單,請參閱識別提供者 RelayState 參數和驗證 URLs

aws emr create-studio \
--name <example-studio-name> \
--auth-mode IAM \
--vpc-id <example-vpc-id> \
--subnet-ids <subnet-id-1> <subnet-id-2>... <subnet-id-5>  \
--service-role <example-studio-service-role-name> \
--user-role studio-user-role-name \
--workspace-security-group-id <example-workspace-sg-id> \
--engine-security-group-id <example-engine-sg-id> \
--default-s3-location <example-s3-location> \
--idp-auth-url <https://EXAMPLE/login/> \
--idp-relay-state-parameter-name <example-RelayState>
範例 — 創建一個使用身份中心進行身份驗證的EMR工作室

下列 AWS CLI 範例命令會建立使用IAM身分識別中心驗證模式的 EMR Studio。使用IAM身分識別中心驗證時,您必須指定--user-role.

如需IAM身分識別中心驗證模式的詳細資訊,請參閱為 Amazon EMR 工作室設定IAM身分中心身份驗證模式

aws emr create-studio \
--name <example-studio-name> \
--auth-mode SSO \
--vpc-id <example-vpc-id> \
--subnet-ids <subnet-id-1> <subnet-id-2>... <subnet-id-5>  \
--service-role <example-studio-service-role-name> \
--user-role <example-studio-user-role-name> \
--workspace-security-group-id <example-workspace-sg-id> \
--engine-security-group-id <example-engine-sg-id> \
--default-s3-location <example-s3-location>
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn <iam-identity-center-instance-arn>
範例 — CLI 輸出 aws emr create-studio

以下是建立 Studio 之後出現的輸出範例。

{
    StudioId: "es-123XXXXXXXXX",
    Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}

如需 create-studio 命令的詳細資訊,請參閱《AWS CLI 命令參考》

識別提供者 RelayState 參數和驗證 URLs

當您使用同IAM盟,並且希望使用者使用您的 Studio URL 和身分識別提供者 (IdP) 的認證登入時,您可以在您時指定身分識別提供者 (IdP) 登入URLRelayState參數名稱。創建一個EMR工作室

下表顯示一些常用身分識別提供者的標準驗證URL和 RelayState 參數名稱。

身分提供者 參數 驗證 URL
Auth0 RelayState https://<sub_domain>.auth0.com/samlp/<app_id>
Google 帳戶 RelayState https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false
Microsoft Azure RelayState https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>
Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
PingFederate TargetResource https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>
PingOne TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>