Asigne y administre usuarios de EMR Studio - Amazon EMR
Asignar usuariosActualizar permisos de usuarioEliminar usuarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asigne y administre usuarios de EMR Studio

Después de crear un EMR estudio, puedes asignarle usuarios y grupos. El método que utilice para asignar, actualizar y eliminar usuarios depende del modo de autenticación de Studio.

  • Cuando utilizas el modo de IAM autenticación, configuras la asignación de usuarios y los permisos de EMR Studio en IAM o con IAM tu proveedor de identidades.

  • Con el modo de autenticación de IAM Identity Center, se utiliza la consola EMR de administración de Amazon o AWS CLI para gestionar los usuarios.

Para obtener más información sobre la autenticación de Amazon EMR Studio, consulteElige un modo de autenticación para Amazon EMR Studio.

Asigne un usuario o un grupo a un EMR estudio

IAM

Cuando lo utilicesConfigurar el modo de IAM autenticación para Amazon EMR Studio, debes permitir la CreateStudioPresignedUrl acción en la política de IAM permisos de un usuario y restringirlo a un estudio concreto. Puede incluir CreateStudioPresignedUrl en su Permisos de usuario para el modo de autenticación de IAM o utilizar una política independiente.

Para restringir a un usuario a un estudio (o conjunto de estudios), puedes usar el control de acceso basado en atributos (ABAC) o especificar el nombre de recurso de Amazon (ARN) de un estudio en el Resource elemento de la política de permisos.

ejemplo Asigne un usuario a un estudio mediante un estudio ARN

El siguiente ejemplo de política proporciona a un usuario acceso a un EMR estudio concreto al permitir la CreateStudioPresignedUrl acción y especificar el nombre del recurso de Amazon del estudio (ARN) en el Resource elemento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}
ejemplo Asigne un usuario a un Studio con ABAC fines de IAM autenticación

Hay varias formas de configurar el control de acceso basado en atributos (ABAC) para un Studio. Por ejemplo, puedes adjuntar una o más etiquetas a un EMR estudio y, a continuación, crear una IAM política que restrinja la CreateStudioPresignedUrl acción a un estudio concreto o a un conjunto de estudios con esas etiquetas.

Puede agregar etiquetas durante o después de la creación del estudio. Para agregar etiquetas a un estudio existente, puede utilizar el comando AWS CLIemr add-tags. En el siguiente ejemplo, se añade una etiqueta con el par clave-valor Team = Data Analytics a un estudio. EMR 

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

El siguiente ejemplo de política de permisos permite la CreateStudioPresignedUrl acción para los EMR estudios con el par clave-valor de la etiqueta. Team = DataAnalytics Para obtener más información sobre el uso de etiquetas para el control de acceso, consulte Controlar el acceso a y para los usuarios y roles utilizando etiquetas o Controlar el acceso a los recursos de AWS utilizando etiquetas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}
ejemplo Asigne un usuario a un estudio mediante la clave de condición aws: SourceIdentity global

Cuando usas la IAM federación, puedes usar la clave de condición global aws:SourceIdentity en una política de permisos para que los usuarios accedan a Studio cuando asuman tu IAM función de federación.

Primero debe configurar su proveedor de identidad (IdP) para que devuelva una cadena de identificación, como una dirección de correo electrónico o un nombre de usuario, cuando un usuario se autentique y asuma su IAM función de federación. IAMestablece la clave de condición global en aws:SourceIdentity la cadena de identificación devuelta por su IdP.

Para obtener más información, consulte la entrada del blog Cómo relacionar la actividad del IAM rol con la identidad corporativa en el blog de AWS seguridad y la referencia aws: SourceIdentity entry in the global condition keys.

El siguiente ejemplo de política permite la CreateStudioPresignedUrl acción y proporciona a los usuarios una aws:SourceIdentity que coincide con la <example-source-identity> acceso al EMR estudio especificado por <example-studio-arn>.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}
IAM Identity Center

Al asignar un usuario o un grupo a un EMR Studio, se especifica una política de sesión que define permisos específicos, como la posibilidad de crear un nuevo EMR clúster, para ese usuario o grupo. Amazon EMR almacena estas asignaciones de políticas de sesión. Puede actualizar la política de sesión de un usuario o grupo después de la asignación.

nota

Los permisos finales de un usuario o grupo son una intersección de los permisos definidos en tu rol de usuario de EMR Studio y los permisos definidos en la política de sesión para ese usuario o grupo. Si un usuario pertenece a más de un grupo asignado a Studio, EMR Studio utiliza una unión de permisos para ese usuario.

Para asignar usuarios o grupos a un EMR estudio mediante la EMR consola de Amazon

  1. Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.

  2. Selecciona EMRStudio en el menú de navegación de la izquierda.

  3. Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.

  4. Elija la pestaña Agregar usuarios para ver la tabla de búsqueda Usuarios y Grupos.

  5. Seleccione la pestaña Usuarios o la pestaña Grupos e introduzca un término de búsqueda en la barra de búsqueda para buscar un usuario o grupo.

  6. Seleccione uno o más usuarios o grupos de la lista de resultados de la búsqueda. Puede cambiar de una pestaña a otra de Usuarios y Grupos.

  7. Tras seleccionar los usuarios y grupos para agregarlos al estudio, seleccione Agregar. Debería ver los usuarios y grupos en la lista Usuarios del estudio. La lista puede tardar unos segundos en actualizarse.

  8. Siga las instrucciones que se indican en Actualizar los permisos de un usuario o grupo asignado a un estudio para ajustar los permisos de Studio de un usuario o un grupo.

Para asignar un usuario o un grupo a un EMR estudio mediante el AWS CLI

Inserte sus propios valores para los siguientes argumentos de create-studio-session-mapping. Para obtener más información sobre el comando create-studio-session-mapping, consulte la Referencia de comandos de la AWS CLI .

  • --studio-id: el ID del estudio al que quiere asignar el usuario o grupo. Para obtener instrucciones sobre cómo recuperar un ID de Studio, consulte Ver detalles del estudio.

  • --identity-name: el nombre del usuario o grupo del Almacén de identidades. Para obtener más información, consulte UserNamela sección sobre usuarios y DisplayNamegrupos en la APIReferencia del almacén de identidades.

  • --identity-type: utilice USER o GROUP para especificar el tipo de identidad.

  • --session-policy-arn— El nombre del recurso de Amazon (ARN) de la política de sesión que desea asociar al usuario o grupo. Por ejemplo, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Para obtener más información, consulte Crea políticas de permisos para los usuarios de EMR Studio.

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
nota

Se incluyen caracteres de continuación de línea de Linux (\) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).

Utilice el comando get-studio-session-mapping para comprobar la nueva asignación. Reemplazar <example-identity-name> con el nombre del centro de IAM identidad del usuario o grupo que ha actualizado.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Actualizar los permisos de un usuario o grupo asignado a un estudio

IAM

Para actualizar los permisos de usuario o grupo al utilizar el modo de IAM autenticación, utilice esta opción IAM para cambiar las políticas de IAM permisos asociadas a sus IAM identidades (usuarios, grupos o funciones).

Para obtener más información, consulte Permisos de usuario para el modo de autenticación de IAM.

IAM Identity Center
Para actualizar los permisos de EMR Studio para un usuario o grupo mediante la consola

  1. Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.

  2. Selecciona EMRStudio en el menú de navegación de la izquierda.

  3. Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.

  4. En la lista Usuarios del estudio de la página de detalles del estudio, busque el usuario o grupo que desee actualizar. Puede buscar por nombre o tipo de identidad.

  5. Seleccione el usuario o grupo que desee actualizar y seleccione Asignar política para abrir el cuadro de diálogo Política de sesión.

  6. Seleccione una política para aplicarla al usuario o grupo que eligió en el paso 5 y seleccione Aplicar política. La lista Usuarios del estudio mostrará el nombre de la política en la columna Política de sesión del usuario o grupo que haya actualizado.

Para actualizar los permisos de EMR Studio para un usuario o grupo mediante el AWS CLI

Inserte sus propios valores para los siguientes argumentos de update-studio-session-mappings. Para obtener más información sobre el comando update-studio-session-mappings, consulte la Referencia de comandos de la AWS CLI .

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Utilice el comando get-studio-session-mapping para comprobar la nueva asignación de la política de sesión. Reemplazar <example-identity-name> con el nombre del centro de IAM identidad del usuario o grupo que ha actualizado.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Eliminar un usuario o grupo de un estudio

IAM

Para eliminar un usuario o un grupo de un EMR Studio al usar el modo de IAM autenticación, debe revocar el acceso del usuario al Studio reconfigurando la política de IAM permisos del usuario.

En el siguiente ejemplo de política, suponga que tiene un EMR Studio con el par clave-valor de la etiqueta. Team = Quality Assurance Según la política, el usuario puede acceder a los estudios etiquetados con la clave Team cuyo valor sea igual a Data Analytics o Quality Assurance. Para eliminar al usuario del estudio etiquetado con Team = Quality Assurance, elimine Quality Assurance de la lista de valores de etiqueta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}
IAM Identity Center
Para eliminar un usuario o un grupo de un EMR estudio mediante la consola

  1. Ve a la nueva EMR consola de Amazon y selecciona Cambiar a la consola anterior en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte Uso de la consola antigua.

  2. Selecciona EMRStudio en el menú de navegación de la izquierda.

  3. Elija el nombre de su estudio en la lista Studios o seleccione el estudio y elija Ver detalles para abrir la página de detalles del estudio.

  4. En la lista Usuarios del estudio, en la página de detalles del estudio, busque el usuario o grupo que desee eliminar del estudio. Puede buscar por nombre o tipo de identidad.

  5. Seleccione el usuario o grupo que desea eliminar, seleccione Eliminar y confirme la eliminación. El usuario o grupo que ha eliminado desaparece de la lista Usuarios del estudio.

Para eliminar un usuario o un grupo de un EMR Studio mediante el AWS CLI

Inserte sus propios valores para los siguientes argumentos de delete-studio-session-mapping. Para obtener más información sobre el comando delete-studio-session-mapping, consulte la Referencia de comandos de la AWS CLI .

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \