Creación de una instancia de Identity Center Creación de un rol de IAM Agregue permisos para los servicios que no están integrados con IAM Identity Center Creación de una configuración de seguridad Lance un clúster

Introducción a la AWS IAM Identity Center integración para Amazon EMR

Esta sección le ayuda a configurar Amazon EMR para que se integre con. AWS IAM Identity Center

Temas

Creación de una instancia de Identity Center
Creación de un rol de IAM para Identity Center
Agregue permisos para los servicios que no están integrados con IAM Identity Center
Creación de una configuración de seguridad habilitada por Identity Center
Creación y lanzamiento de un clúster habilitado por Identity Center
Configuración de Lake Formation para un clúster de EMR habilitado por IAM Identity Center
Cómo trabajar con S3 Access Grants en un clúster de EMR habilitado por IAM Identity Center

nota

Para utilizar la integración de Identity Center con EMR, Lake Formation o Concesiones de acceso a S3 deben estar habilitados. También puede usar ambos. Si ninguna de las dos está habilitada, no se admite la integración de Identity Center.

Creación de una instancia de Identity Center

Si aún no tiene una instancia de Identity Center, cree una en la Región de AWS en la que desea lanzar el clúster de EMR. Una instancia de Identity Center solo puede existir en una sola región para una Cuenta de AWS.

Use el siguiente AWS CLI comando para crear una nueva instancia con el nombreMyInstance:


aws sso-admin create-instance --name MyInstance

Creación de un rol de IAM para Identity Center

Para integrar Amazon EMR con AWS IAM Identity Center, cree un rol de IAM que se autentique con Identity Center desde el clúster de EMR. Amazon EMR también utiliza credenciales SigV4 para transmitir la identidad de Identity Center a servicios posteriores, como AWS Lake Formation. El rol también debe tener los permisos correspondientes para invocar los servicios posteriores.

Al crear el rol, utilice la siguiente política de permisos:


{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

La política de confianza de este rol permite que el rol InstanceProfile deje asumir el rol.


{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Si el rol no tiene credenciales de confianza y accede a una tabla protegida por Lake Formation, Amazon EMR establece automáticamente el principalId del rol asumido en userID-untrusted. El siguiente es un fragmento de un evento que muestra el. CloudTrail principalId


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Agregue permisos para los servicios que no están integrados con IAM Identity Center

AWS credenciales que utilizan Trusted Identity Propagation: las políticas de IAM definidas en la función de IAM para cualquier llamada realizada a servicios que no estén integrados con el IAM Identity Center. Esto incluye, por ejemplo, el. AWS Key Management Service Su rol también debe definir los permisos de IAM para cualquiera de estos servicios a los que intente acceder. Los servicios integrados del Centro de Identidad de IAM compatibles actualmente incluyen AWS Lake Formation Amazon S3 Access Grants.

Para obtener más información sobre la propagación de identidad confiable, consulte Propagación de identidad confiable en todas las aplicaciones.

Creación de una configuración de seguridad habilitada por Identity Center

Para lanzar un clúster de EMR con la integración de IAM Identity Center, utilice el siguiente comando de ejemplo para crear una configuración de seguridad de Amazon EMR que tenga Identity Center habilitado. A continuación, se explica cada configuración.


aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
    "AuthenticationConfiguration":{
        "IdentityCenterConfiguration":{
            "EnableIdentityCenter":true,
            "IdentityCenterApplicationAssigmentRequired":false,
            "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789"
        }
    },
    "AuthorizationConfiguration": {
        "LakeFormationConfiguration": {
            "AuthorizedSessionTagValue": "Amazon EMR"
        },
        "IAMConfiguration": {
          "EnableApplicationScopedIAMRole": true,
          "ApplicationScopedIAMRoleConfiguration": {
            "PropagateSourceIdentity": true
          }
        }
    },
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "PEM",
                "S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
            }
        }
    }
}'

EnableIdentityCenter: (obligatorio) habilita la integración de Identity Center.
IdentityCenterInstanceARN: (obligatorio). El ARN de la instancia del Identity Center. Si no se incluye, se busca el ARN de la instancia del IAM Identity Center existente como parte del paso de configuración.
IAMRoleForEMRIdentityCenterApplicationARN: (obligatorio) el rol de IAM que obtiene los tokens de Identity Center del clúster.
IdentityCenterApplicationAssignmentRequired: (booleano) determina si será necesaria una asignación para utilizar la aplicación de Identity Center. Este campo es opcional. Si no se proporciona un valor, se utiliza el valor predeterminado false.
AuthorizationConfiguration / LakeFormationConfiguration: si lo desea, configure la autenticación:
- IAMConfiguration— Permite utilizar la función EMR Runtimes Roles además de su identidad TIP. Si habilita esta configuración, usted (o el AWS servicio que llama) deberán especificar un rol de tiempo de ejecución de IAM en cada llamada a EMR Steps o EMR. GetClusterSessionCredentials APIs Si el clúster de EMR se usa con SageMaker Unified Studio, esta opción es necesaria si la propagación de identidad confiable también está habilitada.
- EnableLakeFormation: habilita la autorización de Lake Formation en el clúster.

Para habilitar la integración de Identity Center con Amazon EMR, debe especificar EncryptionConfiguration y IntransitEncryptionConfiguration.

Creación y lanzamiento de un clúster habilitado por Identity Center

Ahora que configuró el rol de IAM que se autentica con Identity Center y creó una configuración de seguridad de Amazon EMR que tiene Identity Center habilitado, puede crear y lanzar un clúster con reconocimiento de identidad. Para ver los pasos para lanzar el clúster con la configuración de seguridad requerida, consulte Especificar una configuración de seguridad para un clúster de Amazon EMR.

En las siguientes secciones, se describe cómo configurar el clúster habilitado por Identity Center con las opciones de seguridad compatibles con Amazon EMR:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Integración de Amazon EMR con Identity Center

Utilizar Lake Formation