EMR-Studio-Benutzer zuweisen und verwalten - Amazon EMR
Benutzer zuweisenBenutzerberechtigungen aktualisierenBenutzer entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EMR-Studio-Benutzer zuweisen und verwalten

Nachdem Sie ein EMR Studio erstellt haben, können Sie ihm Benutzer und Gruppen zuweisen. Die Methode, mit der Sie Benutzer zuweisen, aktualisieren und entfernen, hängt vom Studio-Authentifizierungsmodus ab.

  • Wenn Sie den IAM-Authentifizierungsmodus verwenden, konfigurieren Sie die Benutzerzuweisung und die Berechtigungen von EMR Studio in IAM oder mit IAM und Ihrem Identitätsanbieter.

  • Im IAM-Identity-Center-Authentifizierungsmodus verwenden Sie die Amazon-EMR-Verwaltungskonsole oder AWS CLI, um Benutzer zu verwalten.

Weitere Informationen zur Authentifizierung für Amazon EMR Studio finden Sie unter Einen Authentifizierungsmodus für Amazon EMR Studio auswählen.

Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu

IAM

Wenn SieIAM-Authentifizierungsmodus für Amazon EMR Studio einrichten verwenden, müssen Sie die CreateStudioPresignedUrl-Aktion in der IAM-Berechtigungsrichtlinie eines Benutzers zulassen und den Benutzer auf ein bestimmtes Studio beschränken. Sie können CreateStudioPresignedUrl in Ihre eigene Benutzerberechtigungen für den IAM-Authentifizierungsmodus aufnehmen oder eine separate Richtlinie verwenden.

Um einen Benutzer auf ein Studio (oder eine Gruppe von Studios) zu beschränken, können Sie die attributbasierte Zugriffskontrolle (ABAC) verwenden oder den Amazon-Ressourcennamen (ARN) eines Studios im Resource Element der Berechtigungsrichtlinie angeben.

Beispiel Weisen Sie einem Studio mithilfe eines Studio-ARN einen Benutzer zu

Die folgende Beispielrichtlinie gewährt einem Benutzer Zugriff auf ein bestimmtes EMR Studio, indem die CreateStudioPresignedUrl-Aktion zugelassen und der Amazon-Ressourcenname (ARN) des Studios im Resource-Element angegeben wird.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}
Beispiel Einem Studio mit ABAC einen Benutzer für die IAM-Authentifizierung zuweisen

Es gibt mehrere Möglichkeiten, attributbasierte Zugriffskontrolle (ABAC) für ein Studio zu konfigurieren. Sie können beispielsweise ein oder mehrere Tags an ein EMR Studio anhängen und dann eine IAM-Richtlinie erstellen, die die CreateStudioPresignedUrl-Aktion auf ein bestimmtes Studio oder eine Gruppe von Studios mit diesen Tags beschränkt.

Sie können Tags während oder nach der Erstellung von Studio hinzufügen. Verwenden Sie den Befehl AWS CLIemr add-tags, um Tags zu einem bestehenden Studio hinzuzufügen. Das folgende Beispiel fügt einem EMR Studio ein Tag mit dem Schlüssel-Wert-Paar Team = Data Analytics hinzu. 

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

Die folgende Beispiel-Berechtigungsrichtlinie ermöglicht die CreateStudioPresignedUrl-Aktion für EMR Studios mit dem Tag key-value pair Team = DataAnalytics. Weitere Informationen zur Verwendung von Tags zur Zugriffssteuerung finden Sie unter Zugriffskontrolle für Benutzer und Rollen mithilfe von Tags oder Zugriffskontrolle auf AWS-Ressourcen mithilfe von Tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}
Beispiel Zuweisen eines Benutzers zu einem Studio mithilfe des aws:SourceIdentity global-Bedingungsschlüssels

Wenn Sie den IAM-Verbund verwenden, können Sie den globalen Bedingungsschlüssel aws:SourceIdentity in einer Berechtigungsrichtlinie verwenden, um Benutzern Studio-Zugriff zu gewähren, wenn sie Ihre IAM-Rolle für den Verbund übernehmen.

Sie müssen zunächst Ihren Identitätsanbieter (IdP) so konfigurieren, dass er eine identifizierende Zeichenfolge zurückgibt, z. B. eine E-Mail-Adresse oder einen Benutzernamen, wenn sich ein Benutzer authentifiziert und Ihre IAM-Rolle für den Verbund übernimmt. IAM setzt den globalen Bedingungsschlüssel aws:SourceIdentity auf die identifizierende Zeichenfolge, die von Ihrem IdP zurückgegeben wurde.

Weitere Informationen finden Sie im Blog-Beitrag So verknüpfen Sie IAM-Rollenaktivitäten mit Unternehmensidentitäten im -AWSSicherheitsblog und im Eintrag aws:SourceIdentity in der Referenz zu globalen Bedingungsschlüsseln.

Die folgende Beispielrichtlinie erlaubt die -CreateStudioPresignedUrlAktion und gibt Benutzern mit einem aws:SourceIdentity, das dem <example-source-identity>-Wert entspricht, Zugriff auf das EMR Studio, das durch <example-studio-arn> angegeben ist.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}
IAM Identity Center

Wenn Sie einem EMR Studio einen Benutzer oder eine Gruppe zuweisen, geben Sie eine Sitzungsrichtlinie an, die detaillierte Berechtigungen für diesen Benutzer oder diese Gruppe definiert, z. B. die Möglichkeit, einen neuen EMR-Cluster zu erstellen. Amazon EMR speichert diese Zuordnungen von Sitzungsrichtlinien. Sie können die Sitzungsrichtlinie eines Benutzers oder einer Gruppe nach der Zuweisung aktualisieren.

Anmerkung

Die endgültigen Berechtigungen für einen Benutzer oder eine Gruppe sind eine Schnittmenge der in Ihrer EMR-Studio-Benutzerrolle definierten Berechtigungen und den in der Sitzungsrichtlinie für diesen Benutzer oder diese Gruppe definierten Berechtigungen. Wenn ein Benutzer zu mehr als einer Gruppe gehört, die dem Studio zugewiesen ist, verwendet EMR Studio eine Kombination von Berechtigungen für diesen Benutzer.

So weisen Sie einem EMR Studio mithilfe der Amazon-EMR-Konsole Benutzer oder Gruppen zu

  1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMR Studio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Wählen Sie die Benutzer hinzufügen um die Suchtabelle Benutzer und Gruppen anzuzeigen.

  5. Wählen Sie die Registerkarte Benutzer oder die Registerkarte Gruppen und geben Sie einen Suchbegriff in die Suchleiste ein, um einen Benutzer oder eine Gruppe zu finden.

  6. Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Suchergebnisliste aus. Sie können zwischen der Registerkarte Benutzer und der Registerkarte Gruppen hin- und herwechseln.

  7. Nachdem Sie Benutzer und Gruppen ausgewählt haben, die Sie dem Studio hinzufügen möchten, wählen Sie Hinzufügen. Sie sollten sehen, dass die Benutzer und Gruppen in der Studio-Benutzerliste angezeigt werden. Es kann einige Sekunden dauern, bis die Liste aktualisiert wird.

  8. Folgen Sie den Anweisungen unter Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist, um die Studio-Berechtigungen für einen Benutzer oder eine Gruppe zu verfeinern.

Wie Sie EMR Studio einen Benutzer oder eine Gruppe mit AWS CLI zuweisen

Fügen Sie Ihre eigenen Werte für die folgenden create-studio-session-mapping-Argumente ein. Weitere Informationen über den Befehl create-studio-session-mapping finden Sie unter AWS CLI-Befehlsreferenz.

  • --studio-id – Die ID des Studios, dem Sie den Benutzer oder die Gruppe zuweisen möchten. Anleitungen zum Abrufen einer Studio-ID finden Sie unter Studio-Details anzeigen.

  • --identity-name – Der Name des Benutzers oder der Gruppe aus dem Identitätsspeicher. Weitere Informationen finden Sie unter UserName für -Benutzer und DisplayName für -Gruppen in der -Identity-Store-API-Referenz.

  • --identity-type – Verwenden Sie entweder USER oder GROUP, um den Identitätstyp anzugeben.

  • --session-policy-arn – Der Amazon-Ressourcenname (ARN) für die Sitzungsrichtlinie, die Sie mit dem Benutzer oder der Gruppe verknüpfen möchten. Beispiel: arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy Weitere Informationen finden Sie unter Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen.

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
Anmerkung

Linux-Zeilenfortsetzungszeichen (\) sind aus Gründen der Lesbarkeit enthalten. Sie können entfernt oder in Linux-Befehlen verwendet werden. Entfernen Sie sie unter Windows oder ersetzen Sie sie durch ein Caret-Zeichen (^).

Verwenden Sie den get-studio-session-mapping-Befehl, um die neue Zuweisung zu überprüfen. Ersetzen Sie <example-identity-name> durch den IAM-Identity-Center-Namen des Benutzers oder der Gruppe, den/die Sie aktualisiert haben.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist

IAM

Um Benutzer- oder Gruppenberechtigungen zu aktualisieren, wenn Sie den IAM-Authentifizierungsmodus verwenden, verwenden Sie IAM, um die IAM-Berechtigungsrichtlinien zu ändern, die Ihren IAM-Identitäten (Benutzern, Gruppen oder Rollen) zugeordnet sind.

Weitere Informationen finden Sie unter Benutzerberechtigungen für den IAM-Authentifizierungsmodus.

IAM Identity Center
So aktualisieren Sie die EMR-Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der Konsole

  1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMR Studio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Suchen Sie in der Studio-Benutzerliste auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aktualisieren möchten. Sie können nach Namen oder Identitätstyp suchen.

  5. Wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie aktualisieren möchten, und wählen Sie Richtlinie zuweisen, um das Dialogfeld Sitzungsrichtlinie zu öffnen.

  6. Wählen Sie eine Richtlinie aus, die auf den Benutzer oder die Gruppe angewendet werden soll, den Sie in Schritt 5 ausgewählt haben, und klicken Sie dann auf Richtlinie anwenden. In der Liste Studio-Benutzer sollte der Richtlinienname in der Spalte Sitzungsrichtlinie für den Benutzer oder die Gruppe angezeigt werden, den Sie aktualisiert haben.

Wie Sie die EMR-Studio-Berechtigungen für einen Benutzer oder eine Gruppe mit AWS CLI aktualisieren

Fügen Sie Ihre eigenen Werte für die folgenden update-studio-session-mappings-Argumente ein. Weitere Informationen über den Befehl update-studio-session-mappings finden Sie unter AWS CLI-Befehlsreferenz.

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Verwenden Sie den get-studio-session-mapping-Befehl, um die neue Zuweisung der Sitzungsrichtlinie zu überprüfen. Ersetzen Sie <example-identity-name> durch den IAM-Identity-Center-Namen des Benutzers oder der Gruppe, den/die Sie aktualisiert haben.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Einen Benutzer oder eine Gruppe aus einem Studio entfernen

IAM

Um einen Benutzer oder eine Gruppe aus einem EMR Studio zu entfernen, wenn Sie den IAM-Authentifizierungsmodus verwenden, müssen Sie dem Benutzer den Zugriff auf das Studio entziehen, indem Sie die IAM-Berechtigungsrichtlinie des Benutzers neu konfigurieren.

Gehen Sie in der folgenden Beispielrichtlinie davon aus, dass Sie über ein EMR Studio mit dem Tag-Schlüsselwertpaar Team = Quality Assurance verfügen. Gemäß der Richtlinie kann der Benutzer auf Studios zugreifen, die mit dem Team-Schlüssel gekennzeichnet sind, dessen Wert entweder Data Analytics oder Quality Assurance entspricht. Um den Benutzer aus dem Studio zu entfernen, das mit Team = Quality Assurance markiert ist, entfernen Sie Quality Assurance aus der Liste der Tag-Werte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}
IAM Identity Center
So entfernen Sie einen Benutzer oder eine Gruppe mithilfe der Konsole aus einem EMR Studio

  1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option Zur alten Konsole wechseln aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter Verwenden der alten Konsole.

  2. Wählen Sie in der linken Navigationsleiste EMR Studio aus.

  3. Wählen Sie Ihren Studio-Namen aus der Studio-Liste oder wählen Sie das Studio aus und klicken Sie auf Details anzeigen, um die Studio-Detailseite zu öffnen.

  4. Suchen Sie in der Liste Studio-Benutzer auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aus dem Studio entfernen möchten. Sie können nach Namen oder Identitätstyp suchen.

  5. Wählen Sie den Benutzer oder die Gruppe aus, die Sie löschen möchten, wählen Sie Löschen und bestätigen Sie das Löschen. Der Benutzer oder die Gruppe, den Sie gelöscht haben, verschwindet aus der Liste Studio-Benutzer.

Wie Sie einen Benutzer oder eine Gruppe aus einem EMR Studio mit der AWS CLI entfernen

Fügen Sie Ihre eigenen Werte für die folgenden delete-studio-session-mapping-Argumente ein. Weitere Informationen über den Befehl delete-studio-session-mapping finden Sie unter AWS CLI-Befehlsreferenz.

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \