Choisissez un mode d'authentification pour Amazon EMR Studio - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choisissez un mode d'authentification pour Amazon EMR Studio

EMRStudio prend en charge deux modes d'authentification : le mode IAM d'authentification et le mode d'authentification IAM Identity Center. IAMmode utilise AWS Identity and Access Management (IAM), tandis que le mode IAM Identity Center utilise AWS IAM Identity Center. Lorsque vous créez un EMR studio, vous choisissez le mode d'authentification pour tous les utilisateurs de ce studio. Pour plus d'informations sur mes différents modes d'authentification, consultez Authentification et connexion utilisateur.

Utilisez le tableau suivant pour choisir un mode d'authentification pour EMR Studio.

Si... Il est recommandé de...
Vous connaissez déjà ou avez déjà configuré IAM l'authentification ou la fédération

IAMmode d'authentification, qui offre les avantages suivants :

  • Permet de configurer rapidement EMR Studio si vous gérez déjà des identités telles que des utilisateurs et des groupes dansIAM.

  • Fonctionne avec des fournisseurs d'identité compatibles avec OpenID Connect (OIDC) ou Security Assertion Markup Language 2.0 (SAML2.0).

  • prend en charge l'utilisation de plusieurs fournisseurs d'identité avec le même Compte AWS ;

  • Disponible dans un grand nombre de Régions AWS.

  • Conforme à SOC 2.

Nouveau sur Amazon AWS ou sur Amazon EMR

IAMMode d'authentification Identity Center, qui offre les fonctionnalités suivantes :

  • Facilite l'affectation des AWS ressources aux utilisateurs et aux groupes.

  • Fonctionne avec les fournisseurs d'identité Microsoft Active Directory et SAML 2.0.

  • Facilite la configuration de la fédération multicomptes afin que vous n'ayez pas à configurer la fédération séparément pour chaque compte Compte AWS de votre organisation.

Configurer le mode IAM d'authentification pour Amazon EMR Studio

Avec le mode IAM d'authentification, vous pouvez utiliser IAM l'authentification ou IAM la fédération. IAMl'authentification vous permet de gérer les IAM identités telles que les utilisateurs, les groupes et les rôles dansIAM. Vous accordez aux utilisateurs l'accès à un studio avec des politiques IAM d'autorisation et un contrôle d'accès basé sur les attributs () ABAC. IAMLa fédération vous permet d'établir un lien de confiance entre un fournisseur d'identité (IdP) tiers et de gérer AWS les identités des utilisateurs par le biais de votre IdP.

Note

Si vous avez déjà l'IAMhabitude de contrôler l'accès aux AWS ressources, ou si vous avez déjà configuré votre fournisseur d'identité (IdP) pourIAM, voir comment Autorisations utilisateur pour le mode d'authentification IAM définir les autorisations utilisateur lorsque vous utilisez le mode IAM d'authentification pour EMR Studio.

Utiliser IAM la fédération pour Amazon EMR Studio

Pour utiliser IAM la fédération pour EMR Studio, vous devez créer une relation de confiance entre vous Compte AWS et votre fournisseur d'identité (IdP) et permettre aux utilisateurs fédérés d'accéder au. AWS Management Console Les étapes à suivre pour créer cette relation de confiance varient en fonction de la norme de fédération de votre IdP.

En général, vous devez effectuer les tâches suivantes pour configurer la fédération avec un IdP externe. Pour obtenir des instructions complètes, reportez-vous aux sections Activation de l'accès des utilisateurs fédérés SAML 2.0 AWS Management Console et Activation de l'accès des courtiers d'identité personnalisés au AWS Management Console dans le guide de l'AWS Identity and Access Management utilisateur.

  1. Récoltez des informations sur votre IdP. Cela implique généralement de générer un document de métadonnées pour valider les demandes SAML d'authentification de votre IdP.

  2. Créez une IAM entité fournisseur d'identité pour stocker des informations sur votre IdP. Pour obtenir des instructions, consultez la section Création de fournisseurs IAM d'identité.

  3. Créez un ou plusieurs IAM rôles pour votre IdP. EMRStudio attribue un rôle à un utilisateur fédéré lorsque celui-ci se connecte. Le rôle permet à votre IdP de demander des informations d'identification de sécurité temporaires pour accéder à AWS. Pour obtenir des instructions, consultez la rubrique Création d'un rôle pour un fournisseur d'identité tiers (fédération). Les politiques d'autorisation que vous attribuez au rôle déterminent ce que les utilisateurs fédérés peuvent faire dans AWS et dans un EMR studio. Pour de plus amples informations, veuillez consulter Autorisations utilisateur pour le mode d'authentification IAM.

  4. (Pour les SAML fournisseurs) Renforcez la SAML confiance en configurant votre IdP avec les informations AWS et les rôles que vous souhaitez que les utilisateurs fédérés assument. Ce processus de configuration crée un climat de confiance entre votre IdP et. AWS Pour plus d'informations, consultez Configuration de votre IdP SAML 2.0 avec la confiance des parties et ajout de réclamations.

Pour configurer un EMR studio en tant qu'SAMLapplication sur votre portail IdP

Vous pouvez configurer un EMR studio particulier en tant qu'SAMLapplication à l'aide d'un lien profond vers le studio. Cela permet aux utilisateurs de se connecter à votre portail IdP et de lancer un studio spécifique au lieu de naviguer via la console Amazon. EMR

  • Utilisez le format suivant pour configurer un lien profond vers votre EMR Studio comme point de départ URL après la vérification des SAML assertions.

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configurer le mode d'authentification IAM Identity Center pour Amazon EMR Studio

AWS IAM Identity Center Pour préparer EMR Studio, vous devez configurer votre source d'identité et configurer les utilisateurs et les groupes. Le provisionnement est le processus qui consiste à mettre les informations des utilisateurs et des groupes à la disposition d'IAMIdentity Center et des applications qui utilisent IAM Identity Center. Pour plus d'informations, consultez Provisionnement d'utilisateurs et de groupes.

EMRStudio prend en charge l'utilisation des fournisseurs d'identité suivants pour IAM Identity Center :

Pour configurer IAM Identity Center pour EMR Studio
  1. Pour configurer IAM Identity Center for EMR Studio, vous avez besoin des éléments suivants :

    • Un compte de gestion dans votre AWS organisation si vous utilisez plusieurs comptes dans votre organisation.

      Note

      Vous ne devez utiliser votre compte de gestion que pour activer IAM Identity Center et configurer des utilisateurs et des groupes. Après avoir configuré IAM Identity Center, utilisez un compte membre pour créer un EMR studio et attribuer des utilisateurs et des groupes. Pour en savoir plus sur AWS la terminologie, voir AWS Organizations Terminologie et concepts.

    • Si vous avez activé IAM Identity Center avant le 25 novembre 2019, vous devrez peut-être activer les applications qui utilisent IAM Identity Center pour les comptes de votre AWS organisation. Pour plus d'informations, voir Activer les applications intégrées à IAM Identity Center dans AWS les comptes.

    • Assurez-vous que les conditions requises sont répertoriées sur la page des conditions préalables IAMd'Identity Center.

  2. Suivez les instructions de la section Activer IAM Identity Center pour activer IAM Identity Center à l' Région AWS endroit où vous souhaitez créer le EMR studio.

  3. Connectez IAM Identity Center à votre fournisseur d'identité et configurez les utilisateurs et les groupes que vous souhaitez attribuer au Studio.

    Si vous utilisez... Faites ceci...
    Un annuaire Microsoft AD
    1. Suivez les instructions de la section Connect to your Microsoft AD directory (Connexion à votre annuaire Microsoft AD) pour connecter votre Active Directory ou AWS Managed Microsoft AD votre annuaire autogéré à l'aide AWS Directory Service de.

    2. Pour configurer des utilisateurs et des groupes pour IAM Identity Center, vous pouvez synchroniser les données d'identité de votre AD source avec IAM Identity Center. Vous pouvez synchroniser les identités à partir de votre AD source de nombreuses manières. L'une des méthodes consiste à attribuer des utilisateurs ou des groupes AD à un compte AWS au sein de votre organisation. Pour obtenir des instructions, consultez la rubrique relative à l'authentification unique.

      La synchronisation peut prendre jusqu'à deux heures. Une fois cette étape accomplie, les utilisateurs et groupes synchronisés apparaissent dans votre Identity Store.

      Note

      Les utilisateurs et les groupes n'apparaissent pas dans votre magasin d'identités tant que vous n'avez pas synchronisé les informations relatives aux utilisateurs et aux groupes ou que vous n'avez pas utilisé just-in-time (JIT) le provisionnement des utilisateurs. Pour plus d'informations, consultez la rubrique Provisionnement lorsque les utilisateurs proviennent d'Active Directory.

    3. (Facultatif) Après avoir synchronisé les utilisateurs et les groupes AD, vous pouvez supprimer leur accès à votre AWS compte que vous avez configuré à l'étape précédente. Pour plus d'instructions, consultez Remove user access.

    Un fournisseur d'identité externe Suivez les instructions de la rubrique Connect to your external identity provider.
    Le répertoire IAM Identity Center Lorsque vous créez des utilisateurs et des groupes dans IAM Identity Center, le provisionnement est automatique. Pour plus d'informations, consultez Gérer les identités dans IAM Identity Center.

Vous pouvez désormais attribuer des utilisateurs et des groupes depuis votre magasin d'identités à un EMR studio. Pour obtenir des instructions, consultez Affecter un utilisateur ou un groupe à un EMR studio.