Créer un EMR Studio - Amazon EMR
RelayState Paramètres du fournisseur d'identité et URL d'authentification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer un EMR Studio

Vous pouvez créer un Studio EMR pour votre équipe à l’aide de la console Amazon EMR ou de la AWS CLI. La création d'une instance Studio fait partie de la configuration d'Amazon EMR Studio.

Note

Nous avons repensé la console Amazon EMR pour en faciliter l'utilisation. Consultez Console Amazon EMR pour en savoir plus sur les différences entre l'ancienne et la nouvelle expérience console.

Prérequis

Avant de créer un Studio, assurez-vous d'avoir effectué les tâches précédentes dans Configurer un Amazon EMR Studio.

Pour créer un Studio à l'aide de l'AWS CLI, vous devez avoir installé la dernière version. Pour plus d'informations, consultez Installation ou mise à jour de la version la plus récente de l'AWS CLI.

Important

Désactivez les outils de gestion de proxy tels que FoxyProxy ou SwitchyOmega dans le navigateur avant de créer un Studio. Les proxys actifs peuvent générer un message d'erreur de défaillance du réseau lorsque vous choisissez Créer un studio.

Amazon EMR vous fournit une expérience de console simple pour créer un studio, afin que vous puissiez rapidement démarrer avec les paramètres par défaut, pour exécuter des charges de travail interactives ou des tâches par lots avec les paramètres par défaut. La création d'un studio EMR crée également une application EMR Serverless prête à exécuter vos tâches interactives.

Si vous souhaitez contrôler totalement les paramètres de votre studio, vous pouvez choisir Personnalisé, qui vous permet de configurer tous les paramètres supplémentaires.

Interactive workloads
Pour créer un studio EMR pour les charges de travail interactives

  1. Ouvrez la console Amazon EMR à l'adresse https://console.aws.amazon.com/emr.

  2. Sous EMR Studio dans le menu de navigation de gauche, choisissez Mise en route. Vous pouvez également créer un Studio à partir de la page Studios.

  3. Amazon EMR fournit des paramètres par défaut si vous créez un studio EMR pour les charges de travail interactives, mais vous pouvez modifier ces paramètres. Les paramètres configurables incluent le nom du studio EMR, l'emplacement S3 de votre espace de travail, le rôle de service à utiliser, le ou les espaces de travail que vous souhaitez utiliser, le nom de l'application EMR Serverless et le rôle d'exécution associé.

  4. Choisissez Create Studio et lancez Workspace pour terminer et accéder à la page Studios. Votre nouveau Studio apparaît dans la liste avec des informations telles que le Nom du Studio, la Date de création et l'URL d'accès Studio. Votre espace de travail s'ouvre dans un nouvel onglet de votre navigateur.

Batch jobs
Pour créer un studio EMR pour les charges de travail interactives

  1. Ouvrez la console Amazon EMR à l'adresse https://console.aws.amazon.com/emr.

  2. Sous EMR Studio dans le menu de navigation de gauche, choisissez Mise en route. Vous pouvez également créer un Studio à partir de la page Studios.

  3. Amazon EMR fournit des paramètres par défaut si vous créez un studio EMR pour les tâches par lots, mais vous pouvez modifier ces paramètres. Les paramètres configurables incluent le nom du studio EMR, le nom de l'application EMR Serverless et le rôle d'exécution associé.

  4. Choisissez Create Studio et lancez Workspace pour terminer et accéder à la page Studios. Votre nouveau Studio apparaît dans la liste avec des informations telles que le Nom du Studio, la Date de création et l'URL d'accès Studio. Votre EMR Studio s'ouvre dans un nouvel onglet de votre navigateur.

Custom settings
Pour créer un studio EMR avec des paramètres personnalisés

  1. Ouvrez la console Amazon EMR à l'adresse https://console.aws.amazon.com/emr.

  2. Sous EMR Studio dans le menu de navigation de gauche, choisissez Mise en route. Vous pouvez également créer un Studio à partir de la page Studios.

  3. Choisissez Créer un Studio pour ouvrir la page Créer un Studio.

  4. Entrez le nom du studio.

  5. Choisissez de créer un nouveau compartiment S3 ou d'utiliser un emplacement existant.

  6. Choisissez l'espace de travail à ajouter au studio. Vous pouvez ajouter jusqu'à 3 espaces de travail.

  7. Sous Authentification, choisissez un mode d'authentification pour le Studio et fournissez les informations conformément au tableau suivant. Pour en savoir plus sur l'authentification pour EMR Studio, consultez Choisir un mode d'authentification pour Amazon EMR Studio.

    Si vous utilisez... Faites ceci...
    Authentification ou fédération IAM

    La méthode d’authentification par défaut est AWS Identity and Access Management (IAM). En bas de l’écran, vous pouvez également ajouter des balises pour permettre à des utilisateurs spécifiques d’accéder au Studio, comme décrit dans la rubrique Attribuer un utilisateur ou un groupe à un EMR Studio.

    Si vous souhaitez que les utilisateurs fédérés se connectent à l'aide de l'URL Studio et des informations d'identification de votre fournisseur d'identité (IdP), sélectionnez votre IdP dans la liste déroulante, puis entrez l'URL de connexion et le nom du paramètre de votre fournisseur d'identité (IdP). RelayState

    Pour obtenir la liste des URL et des RelayState noms d'authentification IdP, consultez. RelayState Paramètres du fournisseur d'identité et URL d'authentification
    Authentification IAM Identity Center

    Sélectionnez votre Fonction du service et Rôle utilisateur EMR Studio. Pour plus d’informations, consultez Créer une fonction du service EMR Studio et Créer un rôle d'utilisateur EMR Studio pour le mode d'authentification IAM Identity Center.

    Lorsque vous utilisez l’authentification IAM Identity Center (anciennement AWS Single Sign On) pour le Studio, vous pouvez choisir de rationaliser l’expérience de connexion des utilisateurs grâce à l’option Activer la propagation d’identité approuvée. Grâce à la propagation d’identité approuvée, les utilisateurs peuvent se connecter à l’aide de leurs informations d’identification Identity Center et communiquer leur identité aux services AWS en aval lorsqu’ils utilisent le Studio.

    Dans la section Accès à l’application, vous pouvez également spécifier si tous les utilisateurs et groupes de votre Identity Center doivent avoir accès au Studio, ou si seuls les utilisateurs et groupes assignés que vous choisissez peuvent y accéder.

    Pour plus d’informations, voir les rubriques Intégrez Amazon EMR avec AWS IAM Identity Center et Propagation d’identité approuvée entre applications du Guide de l’utilisateur AWS IAM Identity Center.

  8. Pour le VPC, choisissez un Amazon Virtual Private Cloud (VPC) pour le studio dans la liste déroulante.

  9. Sous Sous-réseaux, sélectionnez un maximum de cinq sous-réseaux dans votre VPC à associer au Studio. Vous avez la possibilité d'ajouter d'autres sous-réseaux après avoir créé le Studio.

  10. Pour Groupes de sécurité, choisissez les groupes de sécurité par défaut ou les groupes de sécurité personnalisés. Pour plus d’informations, consultez Définir des groupes de sécurité pour contrôler le trafic réseau d'EMR Studio.

    Si vous choisissez… Faites ceci...
    Les groupes de sécurité EMR Studio par défaut

    Pour activer la liaison entre référentiels basée sur Git pour le Studio, choisissez Activer les clusters/points de terminaison et le référentiel Git. Sinon, choisissez Activer les clusters/points de terminaison.
    Groupes de sécurité personnalisés pour votre Studio

    • Sous Groupe de sécurité du cluster/point de terminaison, sélectionnez le groupe de sécurité moteur que vous avez configuré dans la liste déroulante. Votre Studio utilise ce groupe de sécurité pour autoriser l'accès entrant depuis les espaces de travail attachés.

    • Sous Groupe de sécurité du cluster/point de terminaison, sélectionnez le groupe de sécurité d'espace de travail que vous avez configuré dans la liste déroulante. Votre Studio utilise ce groupe de sécurité avec les espaces de travail pour fournir un accès sortant aux clusters Amazon EMR attachés et aux référentiels Git hébergés publiquement.

  11. Ajoutez des tags à votre Studio et à d'autres ressources. Pour plus d'informations sur les balises, consultez la section Groupes de balises.

  12. Choisissez Create Studio et lancez Workspace pour terminer et accéder à la page Studios. Votre nouveau Studio apparaît dans la liste avec des informations telles que le Nom du Studio, la Date de création et l'URL d'accès Studio.

Une fois que vous avez créé un Studio, suivez les instructions de la rubrique Attribuer un utilisateur ou un groupe à un EMR Studio.

CLI
Note

Les caractères de continuation de ligne Linux (\) sont inclus pour des raisons de lisibilité. Ils peuvent être supprimés ou utilisés dans les commandes Linux. Pour Windows, supprimez-les ou remplacez-les par un caret (^).

Exemple - Créer un studio EMR qui utilise IAM pour l’authentification

L'exemple de commande AWS CLI suivant crée un EMR Studio avec le mode d'authentification IAM. Lorsque vous utilisez l'authentification ou la fédération IAM pour le Studio, vous ne spécifiez pas de --user-role.

Pour permettre aux utilisateurs fédérés de se connecter à l'aide de l'URL Studio et des informations d'identification de votre fournisseur d'identité (IdP), spécifiez votre --idp-auth-url et votre --idp-relay-state-parameter-name. Pour obtenir la liste des URL et des RelayState noms d'authentification IdP, consultez. RelayState Paramètres du fournisseur d'identité et URL d'authentification

aws emr create-studio \
--name <example-studio-name> \
--auth-mode IAM \
--vpc-id <example-vpc-id> \
--subnet-ids <subnet-id-1> <subnet-id-2>... <subnet-id-5>  \
--service-role <example-studio-service-role-name> \
--user-role studio-user-role-name \
--workspace-security-group-id <example-workspace-sg-id> \
--engine-security-group-id <example-engine-sg-id> \
--default-s3-location <example-s3-location> \
--idp-auth-url <https://EXAMPLE/login/> \
--idp-relay-state-parameter-name <example-RelayState>
Exemple - Créer un Studio EMR qui utilise Identity Center pour l’authentification

L'exemple de commande AWS CLI suivant crée un EMR Studio avec le mode d'authentification IAM Identity Center. Lorsque vous utilisez l'authentification IAM Identity Center, vous devez spécifier un --user-role.

Pour plus d'informations sur l'authentification IAM Identity Center, consultez Configurer le mode d'authentification IAM Identity Center pour Amazon EMR Studio.

aws emr create-studio \
--name <example-studio-name> \
--auth-mode SSO \
--vpc-id <example-vpc-id> \
--subnet-ids <subnet-id-1> <subnet-id-2>... <subnet-id-5>  \
--service-role <example-studio-service-role-name> \
--user-role <example-studio-user-role-name> \
--workspace-security-group-id <example-workspace-sg-id> \
--engine-security-group-id <example-engine-sg-id> \
--default-s3-location <example-s3-location>
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn <iam-identity-center-instance-arn>
Exemple - Sortie CLI pour aws emr create-studio

Voici un exemple de la sortie qui apparaît après avoir créé un Studio.

{
    StudioId: "es-123XXXXXXXXX",
    Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}

Pour plus d'informations sur la commande create-studio, consultez la Référence de commande de l'AWS CLI.

RelayState Paramètres du fournisseur d'identité et URL d'authentification

Lorsque vous utilisez la fédération IAM et que vous souhaitez que les utilisateurs se connectent à l'aide de l'URL de votre studio et des informations d'identification de votre fournisseur d'identité (IdP), vous pouvez spécifier l'URL de connexion RelayStateet le nom du paramètre de votre fournisseur d'identité (IdP) lorsque vous le souhaitez. Créer un EMR Studio

Le tableau suivant indique l'URL d'authentification standard et le nom du RelayState paramètre pour certains fournisseurs d'identité populaires.

Fournisseur d'identité Paramètre URL d'authentification
Auth0 RelayState https://<sub_domain>.auth0.com/samlp/<app_id>
Comptes Google RelayState https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false
Microsoft Azure RelayState https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>
Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
PingFederate TargetResource https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>
PingOne TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>