Attribuer et gérer les utilisateurs d'EMR Studio

Après avoir créé un EMR Studio, vous pouvez lui attribuer des utilisateurs et des groupes. La méthode que vous utilisez pour attribuer, mettre à jour et supprimer des utilisateurs dépend du mode d'authentification Studio.

• Lorsque vous utilisez le mode d'authentification IAM, vous configurez l'attribution des utilisateurs et les autorisations EMR Studio dans IAM ou avec IAM et votre fournisseur d'identité.

• Avec le mode d'authentification IAM Identity Center, vous utilisez la console de gestion Amazon EMR ou pour gérer AWS CLI les utilisateurs.

Pour en savoir plus sur l'authentification pour Amazon EMR Studio, consultez Choisir un mode d'authentification pour Amazon EMR Studio.

Attribuer un utilisateur ou un groupe à un EMR Studio

IAM

Lorsque vous utilisez Configurer le mode d'authentification IAM pour Amazon EMR Studio, vous devez autoriser l'action CreateStudioPresignedUrl dans la politique d'autorisations IAM d'un utilisateur et limiter l'utilisateur à un Studio spécifique. Vous pouvez inclure CreateStudioPresignedUrl dans votre Autorisations utilisateur pour le mode d'authentification IAM ou utiliser une politique distincte.

Pour limiter un utilisateur à un Studio (ou à un ensemble de Studios), vous pouvez utiliser le Contrôle d'accès par attributs (ABAC) ou spécifier l'Amazon Resource Name (ARN) d'un Studio dans l'élément Resource de la politique d'autorisations.

Exemple Attribuer un utilisateur à un Studio à l'aide d'un ARN Studio

L'exemple de politique suivant permet à un utilisateur d'accéder à un EMR Studio spécifique en autorisant l'action CreateStudioPresignedUrl et en spécifiant l'Amazon Resource Name (ARN) du Studio dans l'élément Resource.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}

Exemple Attribuer un utilisateur à un Studio avec l'ABAC pour l'authentification IAM

Il existe plusieurs méthodes pour configurer le Contrôle d'accès par attributs (ABAC) pour un Studio. Par exemple, vous pouvez attacher une ou plusieurs balises à un EMR Studio, puis créer une politique IAM qui limite l'action CreateStudioPresignedUrl à un Studio ou à un ensemble de Studios spécifiques dotés de ces balises.

Vous pouvez ajouter des balises pendant ou après la création de Studio. Pour ajouter des balises à un Studio existant, utilisez la commande emr add-tags de l'AWS CLI. L'exemple suivant ajoute une balise avec la paire clé-valeur Team = Data Analytics à un EMR Studio.

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

L'exemple de politique d'autorisation suivant autorise l'action CreateStudioPresignedUrl pour les EMR Studios avec la paire clé-valeur de balise Team = DataAnalytics. Pour plus d'informations sur l'utilisation des balises pour le contrôle d'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises ou Contrôle de l'accès aux ressources AWS à l'aide de balises.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}

Exemple Affecter un utilisateur à un studio à l'aide de la clé de condition SourceIdentity globale aws :

Lorsque vous utilisez la fédération IAM, vous pouvez utiliser la clé de condition globale aws:SourceIdentity dans une politique d'autorisations pour donner aux utilisateurs l'accès à Studio lorsqu'ils assument votre rôle IAM pour la fédération.

Vous devez d'abord configurer votre fournisseur d'identité (IdP) pour qu'il renvoie une chaîne d'identification, telle qu'une adresse e-mail ou un nom d'utilisateur, lorsqu'un utilisateur s'authentifie et assume votre rôle IAM pour la fédération. IAM définit la clé de condition globale aws:SourceIdentity sur la chaîne d'identification renvoyée par votre IdP.

Pour plus d'informations, consultez le billet de blog Comment associer l'activité des rôles IAM à l'identité d'entreprise dans le blog sur la AWS sécurité et l'SourceIdentityentrée aws : dans la référence des clés de condition globales.

L'exemple de politique suivant autorise l'CreateStudioPresignedUrlaction et donne aux utilisateurs un accès aws:SourceIdentity correspondant à l'<example-source-identity>accès au studio EMR spécifié par. <example-studio-arn>

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}

IAM Identity Center

Lorsque vous attribuez un utilisateur ou un groupe à un EMR Studio, vous devez définir une politique de session qui définit des autorisations détaillées, comme la possibilité de créer un nouveau cluster EMR pour cet utilisateur ou ce groupe. Amazon EMR stocke ces mappages de politiques de session. Vous pouvez mettre à jour la politique de session d'un utilisateur ou d'un groupe après son attribution.

Note

Les autorisations finales pour un utilisateur ou un groupe se situent à l'intersection des autorisations définies dans votre rôle d'utilisateur EMR Studio et des autorisations définies dans la politique de session pour cet utilisateur ou ce groupe. Si un utilisateur appartient à plusieurs groupes attribués au Studio, EMR Studio utilise une union d'autorisations pour cet utilisateur.

Pour attribuer des utilisateurs ou des groupes à un EMR Studio à l'aide de la console Amazon EMR

1. Accédez à la nouvelle console Amazon EMR et sélectionnez Changer pour l'ancienne console depuis le menu latéral. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.

2. Dans le volet de navigation de gauche, choisissez EMR Studio.

3. Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.

4. Choisissez Ajouter des utilisateurs pour voir la table de recherche d'Utilisateurs et de Groupes.

5. Sélectionnez l'onglet Utilisateurs ou Groupes, puis saisissez un terme de recherche dans la barre de recherche pour trouver un utilisateur ou un groupe.

6. Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste des résultats de recherche. Vous pouvez basculer entre l'onglet Utilisateurs et l'onglet Groupes.

7. Après avoir sélectionné les utilisateurs et les groupes à ajouter au Studio, choisissez Ajouter. Vous devriez voir les utilisateurs et les groupes apparaître dans la liste Utilisateurs Studio. La liste s'actualise au bout de quelques instants.

8. Suivez les instructions dans Mettre à jour les autorisations d'un utilisateur ou d'un groupe attribué à un Studio pour affiner les autorisations Studio pour un utilisateur ou un groupe.

Pour attribuer un utilisateur ou un groupe à un EMR Studio à l'aide de l' AWS CLI

Insérez vos propres valeurs pour les arguments create-studio-session-mapping suivants. Pour plus d'informations sur la commande create-studio-session-mapping, consultez la Référence de commande de l'AWS CLI .

• --studio-id : l'ID du Studio auquel vous souhaitez attribuer l'utilisateur ou le groupe. Pour savoir comment récupérer un ID de Studio, consultez la rubrique Afficher les détails de Studio.

• --identity-name : le nom de l'utilisateur ou du groupe issu de l'Identity Store. Pour plus d'informations, consultez la section UserNamepour les utilisateurs et DisplayNamepour les groupes dans le manuel Identity Store API Reference.

• --identity-type : utilisez USER ou GROUP pour spécifier le type d'identité.

• --session-policy-arn : l'Amazon Resource Name (ARN) de la politique de session que vous souhaitez associer à l'utilisateur ou au groupe. Par exemple, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Pour de plus amples informations, veuillez consulter Créer des politiques d'autorisation pour les utilisateurs d'EMR Studio.

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>

Note

Les caractères de continuation de ligne Linux (\) sont inclus pour des raisons de lisibilité. Ils peuvent être supprimés ou utilisés dans les commandes Linux. Pour Windows, supprimez-les ou remplacez-les par un caret (^).

Utilisez la commande get-studio-session-mapping pour vérifier la nouvelle attribution. <example-identity-name>Remplacez-le par le nom du centre d'identité IAM de l'utilisateur ou du groupe que vous avez mis à jour.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Mettre à jour les autorisations d'un utilisateur ou d'un groupe attribué à un Studio

IAM

Pour mettre à jour les autorisations des utilisateurs ou des groupes lorsque vous utilisez le mode d'authentification IAM, utilisez IAM pour modifier les politiques d'autorisations IAM attachées à vos identités IAM (utilisateurs, groupes ou rôles).

Pour de plus amples informations, veuillez consulter Autorisations utilisateur pour le mode d'authentification IAM.

IAM Identity Center

Pour mettre à jour les autorisations EMR Studio pour un utilisateur ou un groupe à l'aide de la console

1. Accédez à la nouvelle console Amazon EMR et sélectionnez Changer pour l'ancienne console depuis le menu latéral. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.

2. Dans le volet de navigation de gauche, choisissez EMR Studio.

3. Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.

4. Dans la liste Utilisateurs Studio sur la page détaillée de Studio, recherchez l'utilisateur ou le groupe que vous souhaitez mettre à jour. Vous pouvez effectuer une recherche par nom ou par type d'identité.

5. Sélectionnez l'utilisateur ou le groupe que vous souhaitez mettre à jour et choisissez Attribuer une stratégie pour ouvrir la boîte de dialogue Stratégie de session.

6. Sélectionnez une politique à appliquer à l'utilisateur ou au groupe que vous avez choisi à l'étape 5, puis choisissez Appliquer la stratégie. La liste Utilisateurs Studio doit afficher le nom de la politique dans la colonne Stratégie de session pour l'utilisateur ou le groupe que vous avez mis à jour.

Pour mettre à jour les autorisations d'EMR Studio pour un utilisateur ou un groupe à l'aide du AWS CLI

Insérez vos propres valeurs pour les arguments update-studio-session-mappings suivants. Pour plus d'informations sur la commande update-studio-session-mappings, consultez la Référence de commande de l'AWS CLI .

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Utilisez la commande get-studio-session-mapping pour vérifier l'attribution de la nouvelle politique de session. <example-identity-name>Remplacez-le par le nom du centre d'identité IAM de l'utilisateur ou du groupe que vous avez mis à jour.

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Supprimer un utilisateur ou un groupe d'un Studio

IAM

Pour supprimer un utilisateur ou un groupe d'un EMR Studio lorsque vous utilisez le mode d'authentification IAM, vous devez révoquer l'accès de l'utilisateur au Studio en reconfigurant la politique d'autorisations IAM de l'utilisateur.

Dans l'exemple de politique suivant, supposons que vous disposiez d'un EMR Studio avec la paire clé-valeur de balise Team = Quality Assurance. Selon la politique, l'utilisateur peut accéder aux Studios balisés avec la clé Team dont la valeur est égale à Data Analytics ou Quality Assurance. Pour supprimer l'utilisateur du Studio balisé avec Team = Quality Assurance, supprimez Quality Assurance de la liste des valeurs de balise.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}

IAM Identity Center

Pour supprimer un utilisateur ou un groupe d'un EMR Studio à l'aide de la console

1. Accédez à la nouvelle console Amazon EMR et sélectionnez Changer pour l'ancienne console depuis le menu latéral. Pour plus d'informations sur ce qu'implique le passage à l'ancienne console, consultez la rubrique Utilisation de l'ancienne console.

2. Dans le volet de navigation de gauche, choisissez EMR Studio.

3. Choisissez le nom de votre Studio dans la liste des Studios, ou sélectionnez le Studio et choisissez Afficher les détails pour ouvrir la page des détails du Studio.

4. Dans la liste Utilisateurs Studio sur la page détaillée de Studio, recherchez l'utilisateur ou le groupe que vous souhaitez supprimer du Studio. Vous pouvez effectuer une recherche par nom ou par type d'identité.

5. Sélectionnez l'utilisateur ou le groupe que vous souhaitez supprimer, puis choisissez Supprimer et confirmez. L'utilisateur ou le groupe que vous avez supprimé disparaît de la liste Utilisateurs Studio.

Pour supprimer un utilisateur ou un groupe d'un EMR Studio à l'aide de l' AWS CLI

Insérez vos propres valeurs pour les arguments delete-studio-session-mapping suivants. Pour plus d'informations sur la commande delete-studio-session-mapping, consultez la Référence de commande de l'AWS CLI .

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \