Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai AWS IAM Identity Center integrasi untuk Amazon EMR
Bagian ini membantu Anda mengonfigurasi Amazon EMR untuk diintegrasikan AWS IAM Identity Center.
Topik
- Buat instance Pusat Identitas
- Buat IAM peran untuk Pusat Identitas
- Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas
- Membuat dan meluncurkan cluster yang diaktifkan Pusat Identitas
- Konfigurasikan Lake Formation untuk EMR kluster yang diaktifkan Pusat IAM Identitas
- Bekerja dengan Hibah Akses S3 pada klaster yang diaktifkan Pusat IAM Identitas EMR
Buat instance Pusat Identitas
Jika Anda belum memilikinya, buat instance Identity Center di Wilayah AWS tempat Anda ingin meluncurkan EMR cluster Anda. Instance Pusat Identitas hanya dapat ada di satu Wilayah untuk sebuah Akun AWS.
Gunakan AWS CLI perintah berikut untuk membuat instance baru bernama
:MyInstance
aws sso-admin create-instance --name
MyInstance
Buat IAM peran untuk Pusat Identitas
Untuk mengintegrasikan Amazon EMR dengan AWS IAM Identity Center, buat IAM peran yang mengautentikasi dengan Identity Center dari EMR cluster. Di bawah tenda, Amazon EMR menggunakan SigV4 kredensyal untuk menyampaikan identitas Pusat Identitas ke layanan hilir seperti. AWS Lake Formation Peran Anda juga harus memiliki izin masing-masing untuk memanggil layanan hilir.
Saat Anda membuat peran, gunakan kebijakan izin berikut:
{ "Statement": [ { "Sid": "IdCPermissions", "Effect": "Allow", "Action": [ "sso-oauth:*" ], "Resource": "*" }, { "Sid": "GlueandLakePermissions", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" }, { "Sid": "AccessGrantsPermissions", "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ], "Resource": "*" } ] }
Kebijakan kepercayaan untuk peran ini memungkinkan InstanceProfile peran untuk membiarkannya mengambil peran.
{ "Sid": "AssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] }
Jika peran tidak memiliki kredensyal tepercaya dan mengakses tabel yang dilindungi Lake Formation, EMR Amazon secara otomatis menyetel peran principalId
yang diasumsikan.
Berikut ini adalah cuplikan dari CloudTrail acara yang menampilkan. userID
-untrustedprincipalId
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted", "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted", "accountId": "123456789012", "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3" ...
Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas
Untuk meluncurkan EMR cluster dengan integrasi IAM Identity Center, gunakan perintah contoh berikut untuk membuat konfigurasi EMR keamanan Amazon yang mengaktifkan Identity Center. Setiap konfigurasi dijelaskan di bawah ini.
aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{ "AuthenticationConfiguration":{ "IdentityCenterConfiguration":{ "EnableIdentityCenter":true, "IdentityCenterApplicationAssigmentRequired":false, "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789", "IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role" } }, "AuthorizationConfiguration": { "LakeFormationConfiguration": { "EnableLakeFormation": true } }, "EncryptionConfiguration": { "EnableInTransitEncryption": true, "EnableAtRestEncryption": false, "InTransitEncryptionConfiguration": { "TLSCertificateConfiguration": { "CertificateProviderType": "PEM", "S3Object": "s3://my-bucket/cert/my-certs.zip" } } } }'
-
EnableIdentityCenter
— (wajib) Memungkinkan integrasi Pusat Identitas. -
IdentityCenterApplicationARN
— (wajib) Instance Pusat IdentitasARN. -
IAMRoleForEMRIdentityCenterApplicationARN
— (wajib) IAM Peran yang mendapatkan token Identity Center dari cluster. -
IdentityCenterApplicationAssignmentRequired
— (boolean) Mengatur jika tugas akan diperlukan untuk menggunakan aplikasi Pusat Identitas. Nilai default-nya adalahtrue
. -
AuthorizationConfiguration
/LakeFormationConfiguration
— Secara opsional, konfigurasikan otorisasi:-
EnableLakeFormation
— Aktifkan otorisasi Lake Formation di cluster.
-
Untuk mengaktifkan integrasi Pusat Identitas dengan AmazonEMR, Anda harus menentukan EncryptionConfiguration
danIntransitEncryptionConfiguration
.
Membuat dan meluncurkan cluster yang diaktifkan Pusat Identitas
Sekarang setelah Anda menyiapkan IAM peran yang mengautentikasi dengan Pusat Identitas, dan membuat konfigurasi EMR keamanan Amazon yang mengaktifkan Pusat Identitas, Anda dapat membuat dan meluncurkan klaster sadar identitas Anda. Untuk langkah-langkah untuk meluncurkan klaster Anda dengan konfigurasi keamanan yang diperlukan, lihatMenentukan konfigurasi keamanan untuk sebuah klaster.
Secara opsional, lihat bagian berikut jika Anda ingin menggunakan kluster yang diaktifkan Pusat Identitas dengan opsi keamanan lain yang EMR didukung Amazon: