Erste Schritte mit der AWS IAM Identity Center Integration für Amazon EMR - Amazon EMR
Eine Identity-Center-Instance erstellenErstellen Sie eine IAM-RolleEine Sicherheitskonfiguration erstellenStarten Sie einen Cluster.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit der AWS IAM Identity Center Integration für Amazon EMR

Dieser Abschnitt hilft Ihnen bei der Konfiguration von Amazon EMR für die Integration mit AWS IAM Identity Center.

Themen

Eine Identity-Center-Instance erstellen

Wenn Sie noch keine haben, erstellen Sie dort, AWS-Region wo Sie Ihren EMR Cluster starten möchten, eine Identity Center-Instance. Eine Identity-Center-Instance kann nur in einer einzigen Region für ein AWS-Konto existieren.

Verwenden Sie den folgenden AWS CLI Befehl, um eine neue Instanz mit dem Namen zu erstellenMyInstance:

aws sso-admin create-instance --name MyInstance

Erstellen Sie eine IAM Rolle für Identity Center

Um Amazon zu EMR integrieren AWS IAM Identity Center, erstellen Sie eine IAM Rolle, die sich über den EMR Cluster bei Identity Center authentifiziert. Unter der Haube EMR verwendet Amazon SigV4 Anmeldeinformationen, um die Identity Center-Identität an nachgelagerte Dienste weiterzuleiten, wie AWS Lake Formation z. Ihre Rolle sollte auch über die entsprechenden Berechtigungen zum Aufrufen der nachgelagerten Services verfügen.

Verwenden Sie die folgende Berechtigungsrichtlinie zum Erstellen der Rolle:

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

Die Vertrauensrichtlinie für diese Rolle ermöglicht es der InstanceProfile-Rolle, sie die Rolle übernehmen zu lassen.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Wenn die Rolle keine vertrauenswürdigen Anmeldeinformationen hat und auf eine durch Lake Formation geschützte Tabelle zugreift, setzt Amazon den Wert principalId der angenommenen Rolle EMR automatisch auf. userID-untrusted Im Folgenden finden Sie einen Auszug aus einem Ereignis, das den anzeigt. CloudTrail principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Eine Identity-Center-fähige Sicherheitskonfiguration erstellen

Um einen EMR Cluster mit IAM Identity Center-Integration zu starten, verwenden Sie den folgenden Beispielbefehl, um eine EMR Amazon-Sicherheitskonfiguration zu erstellen, für die Identity Center aktiviert ist. Jede Konfiguration wird im Folgenden erklärt.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://my-bucket/cert/my-certs.zip"
			}
		}
	}
}'

  • EnableIdentityCenter – (erforderlich) Aktiviert die Identity-Center-Integration.

  • IdentityCenterApplicationARN— (erforderlich) Die Identity Center-InstanzARN.

  • IAMRoleForEMRIdentityCenterApplicationARN— (erforderlich) Die IAM Rolle, die Identity Center-Token aus dem Cluster beschafft.

  • IdentityCenterApplicationAssignmentRequired – (boolean) Legt fest, ob für die Nutzung der Identity-Center-Anwendung eine Zuweisung erforderlich ist. Der Standardwert ist true.

  • AuthorizationConfiguration/LakeFormationConfiguration— Konfigurieren Sie optional die Autorisierung:

    • EnableLakeFormation – Aktivieren Sie die Lake-Formation-Autorisierung auf dem Cluster.

Um die Identity Center-Integration mit Amazon zu aktivierenEMR, müssen Sie EncryptionConfiguration und angebenIntransitEncryptionConfiguration.

Einen Identity-Center-fähigen Cluster erstellen und starten

Nachdem Sie nun die IAM Rolle eingerichtet haben, die sich bei Identity Center authentifiziert, und eine EMR Amazon-Sicherheitskonfiguration erstellt haben, für die Identity Center aktiviert ist, können Sie Ihren identitätsbewussten Cluster erstellen und starten. Schritte zum Starten Ihres Clusters mit der erforderlichen Sicherheitskonfiguration finden Sie unter Angabe einer Sicherheitskonfiguration für einen Cluster.

Lesen Sie optional den folgenden Abschnitt, wenn Sie Ihren Identity Center-fähigen Cluster mit anderen Sicherheitsoptionen verwenden möchten, die Amazon EMR unterstützt: