Elige un modo de autenticación para Amazon EMR Studio - Amazon EMR
IAMmodo de autenticaciónIAMModo de autenticación de Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Elige un modo de autenticación para Amazon EMR Studio

EMRStudio admite dos modos de autenticación: el modo de IAM autenticación y el modo de autenticación de IAM Identity Center. IAMel modo utiliza AWS Identity and Access Management (IAM), mientras que el modo IAM Identity Center usa AWS IAM Identity Center. Al crear un EMR estudio, se elige el modo de autenticación para todos los usuarios de ese estudio. Para obtener más información sobre los distintos modos de autenticación, consulte Autenticación e inicio de sesión de los usuarios.

Utilice la siguiente tabla para elegir un modo de autenticación para EMR Studio.

En caso de que... Recomendamos...
¿Ya estás familiarizado con la IAM autenticación o la federación o la has configurado anteriormente

IAMmodo de autenticación, que ofrece los siguientes beneficios:

  • Proporciona una configuración rápida para EMR Studio si ya gestionas identidades como usuarios y gruposIAM.

  • Funciona con proveedores de identidad compatibles con OpenID Connect (OIDC) o Security Assertion Markup Language 2.0 (2.0). SAML

  • Admite el uso de varios proveedores de identidad con el mismo Cuenta de AWS.

  • Disponible en un amplio número de Regiones de AWS.

  • Cumple con SOC 2.
¿Nuevo en AWS o Amazon EMR

IAMModo de autenticación de Identity Center, que ofrece las siguientes características:

  • Soporta una fácil asignación de usuarios y grupos a AWS recursos.

  • Funciona con Microsoft Active Directory y proveedores de identidad SAML 2.0.

  • Facilita la configuración de la federación de varias cuentas, de modo que no es necesario configurar la federación por separado para cada una Cuenta de AWS en su organización.

Configurar el modo de IAM autenticación para Amazon EMR Studio

Con el modo de IAM autenticación, puede utilizar la IAM autenticación o IAM la federación. IAMla autenticación le permite administrar IAM identidades como usuarios, grupos y roles enIAM. Concedes a los usuarios el acceso a un estudio con políticas de IAM permisos y un control de acceso basado en atributos () ABAC. IAMla federación le permite establecer confianza entre un proveedor de identidades (IdP) externo y AWS para que pueda administrar las identidades de los usuarios a través de su IdP.

nota

Si ya utiliza IAM para controlar el acceso a AWS recursos o, si ya ha configurado su proveedor de identidad (IdP)IAM, consulte Permisos de usuario para el modo de autenticación de IAM para configurar los permisos de usuario cuando utilice el modo de IAM autenticación de EMR Studio.

Utilice IAM la federación para Amazon EMR Studio

Para usar IAM la federación en EMR Studio, debes crear una relación de confianza entre tus Cuenta de AWS y su proveedor de identidad (IdP) y permita que los usuarios federados accedan al AWS Management Console. Los pasos que debe seguir para crear esta relación de confianza varían según el estándar de federación de su IdP.

En general, debe completar las siguientes tareas para configurar la federación con un IdP externo. Para obtener instrucciones completas, consulte Permitir que los usuarios federados de la SAML versión 2.0 accedan al AWS Management Consoley Habilitar el acceso personalizado de un agente de identidad a AWS Management Console en la AWS Identity and Access Management Guía del usuario.

  1. Recopile información de su IdP. Por lo general, esto implica generar un documento de metadatos para validar las solicitudes de SAML autenticación de su IdP.

  2. Cree una IAM entidad proveedora de identidad para almacenar información sobre su IdP. Para obtener instrucciones, consulte Crear proveedores de IAM identidad.

  3. Cree uno o más IAM roles para su IdP. EMRStudio asigna un rol a un usuario federado cuando el usuario inicia sesión. El rol permite a su IdP solicitar credenciales de seguridad temporales para acceder a AWS. Para obtener instrucciones, consulte Crear un rol para un proveedor de identidad externo (federación). Las políticas de permisos que asigne al rol determinan lo que pueden hacer los usuarios federados en AWS y en un EMR estudio. Para obtener más información, consulte Permisos de usuario para el modo de autenticación de IAM.

  4. (Para SAML proveedores) Complete la SAML confianza configurando su IdP con información sobre AWS y las funciones que desea que asuman los usuarios federados. Este proceso de configuración crea confianza entre la parte de confianza entre su IdP y AWS. Para obtener más información, consulte Configurar su IdP SAML 2.0 con la confianza de una parte de confianza y agregar reclamos.

Para configurar un EMR estudio como una SAML aplicación en su portal de IdP

Puede configurar un EMR estudio concreto como una SAML aplicación mediante un enlace directo al estudio. Esto permite a los usuarios iniciar sesión en tu portal de IdP y lanzar un estudio específico en lugar de tener que navegar por la consola de Amazon. EMR

  • Usa el siguiente formato para configurar un enlace directo a tu EMR Studio como destino URL tras la verificación de la SAML afirmación. 

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configurar el modo de autenticación de IAM Identity Center para Amazon EMR Studio

Para preparar AWS IAM Identity Center en el EMR caso de Studio, debe configurar su fuente de identidad y aprovisionar usuarios y grupos. El aprovisionamiento es el proceso de hacer que la información de usuarios y grupos esté disponible para que la utilicen IAM Identity Center y las aplicaciones que utilizan IAM Identity Center. Para obtener más información, consulte Aprovisionamiento de usuarios y grupos.

EMRStudio admite el uso de los siguientes proveedores de identidad para IAM Identity Center:

Para configurar IAM Identity Center para EMR Studio

  1. Para configurar IAM Identity Center para EMR Studio, necesita lo siguiente:

    • Una cuenta de administración en su AWS organización si utiliza varias cuentas en su organización.

      nota

      Solo debe usar su cuenta de administración para habilitar IAM Identity Center y aprovisionar usuarios y grupos. Tras configurar IAM Identity Center, utilice una cuenta de miembro para crear un EMR Studio y asignar usuarios y grupos. Para obtener más información AWS terminología, consulte AWS Organizations terminología y conceptos.

    • Si activó IAM Identity Center antes del 25 de noviembre de 2019, es posible que deba habilitar las aplicaciones que utilizan IAM Identity Center para las cuentas de su AWS organización. Para obtener más información, consulte Habilitar las aplicaciones integradas en IAM Identity Center en AWS cuentas.

    • Asegúrese de cumplir con los requisitos previos que figuran en la página de requisitos previos del Centro de IAM Identidad.

  2. Siga las instrucciones de Activar IAM Identity Center para activar IAM Identity Center en el Región de AWS donde desee crear el EMR estudio.

  3. Connect IAM Identity Center con su proveedor de identidad y aprovisione los usuarios y grupos que desee asignar a Studio.

    Si usa… Haga lo siguiente...
    Un directorio de Microsoft AD

    1. Siga las instrucciones de Connect to your Microsoft AD directory para conectar su Active Directory autogestionado o AWS Managed Microsoft AD directorio mediante AWS Directory Service.

    2. Para aprovisionar usuarios y grupos para IAM Identity Center, puede sincronizar los datos de identidad de su AD de origen con IAM Identity Center. Puede sincronizar las identidades de su AD de origen de muchas maneras. Una forma consiste en asignar usuarios o grupos de AD a un AWS cuenta en su organización. Para obtener instrucciones, consulte Inicio de sesión único.

      La sincronización puede tardar hasta dos horas. Una vez que complete este paso, los usuarios y grupos sincronizados aparecerán en su almacén de identidades.

      nota

      Los usuarios y los grupos no aparecen en tu almacén de identidades hasta que no sincronices la información de usuarios y grupos o utilices just-in-time (JIT) el aprovisionamiento de usuarios. Para obtener más información, consulte Aprovisionamiento cuando los usuarios provienen de Active Directory.

    3. (Opcional) Tras sincronizar los usuarios y grupos de AD, puedes eliminar su acceso a tu AWS cuenta que configuraste en el paso anterior. Para obtener instrucciones, consulte Eliminar el acceso de los usuarios.

    Un proveedor de identidades externo Siga las instrucciones de Conectarse a su proveedor de identidades externo.
    El directorio del Centro de IAM Identidad Al crear usuarios y grupos en IAM Identity Center, el aprovisionamiento es automático. Para obtener más información, consulte Administrar identidades en IAM Identity Center.

Ahora puede asignar usuarios y grupos de su almacén de identidades a un EMR estudio. Para obtener instrucciones, consulte Asigne un usuario o grupo a un EMR estudio.