Memulai AWS IAM Identity Center integrasi untuk Amazon EMR

Bagian ini membantu Anda mengonfigurasi Amazon EMR untuk diintegrasikan AWS IAM Identity Center.

Topik

• Buat instance Pusat Identitas
• Buat IAM peran untuk Pusat Identitas
• Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas
• Membuat dan meluncurkan cluster yang diaktifkan Pusat Identitas
• Konfigurasikan Lake Formation untuk EMR kluster yang diaktifkan Pusat IAM Identitas
• Bekerja dengan Hibah Akses S3 pada klaster yang diaktifkan Pusat IAM Identitas EMR

Buat instance Pusat Identitas

Jika Anda belum memilikinya, buat instance Identity Center di Wilayah AWS tempat Anda ingin meluncurkan EMR cluster Anda. Instance Pusat Identitas hanya dapat ada di satu Wilayah untuk sebuah Akun AWS.

Gunakan AWS CLI perintah berikut untuk membuat instance baru bernamaMyInstance:

aws sso-admin create-instance --name MyInstance

Buat IAM peran untuk Pusat Identitas

Untuk mengintegrasikan Amazon EMR dengan AWS IAM Identity Center, buat IAM peran yang mengautentikasi dengan Identity Center dari EMR cluster. Di bawah tenda, Amazon EMR menggunakan SigV4 kredensyal untuk menyampaikan identitas Pusat Identitas ke layanan hilir seperti. AWS Lake Formation Peran Anda juga harus memiliki izin masing-masing untuk memanggil layanan hilir.

Saat Anda membuat peran, gunakan kebijakan izin berikut:

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

Kebijakan kepercayaan untuk peran ini memungkinkan InstanceProfile peran untuk membiarkannya mengambil peran.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Jika peran tidak memiliki kredensyal tepercaya dan mengakses tabel yang dilindungi Lake Formation, EMR Amazon secara otomatis menyetel peran principalId yang diasumsikan. userID-untrusted Berikut ini adalah cuplikan dari CloudTrail acara yang menampilkan. principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas

Untuk meluncurkan EMR cluster dengan integrasi IAM Identity Center, gunakan perintah contoh berikut untuk membuat konfigurasi EMR keamanan Amazon yang mengaktifkan Identity Center. Setiap konfigurasi dijelaskan di bawah ini.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://my-bucket/cert/my-certs.zip"
			}
		}
	}
}' 

• EnableIdentityCenter— (wajib) Memungkinkan integrasi Pusat Identitas.

• IdentityCenterApplicationARN— (wajib) Instance Pusat IdentitasARN.

• IAMRoleForEMRIdentityCenterApplicationARN— (wajib) IAM Peran yang mendapatkan token Identity Center dari cluster.

• IdentityCenterApplicationAssignmentRequired — (boolean) Mengatur jika tugas akan diperlukan untuk menggunakan aplikasi Pusat Identitas. Nilai default-nya adalah true.

• AuthorizationConfiguration/LakeFormationConfiguration— Secara opsional, konfigurasikan otorisasi:

  • EnableLakeFormation— Aktifkan otorisasi Lake Formation di cluster.

Untuk mengaktifkan integrasi Pusat Identitas dengan AmazonEMR, Anda harus menentukan EncryptionConfiguration danIntransitEncryptionConfiguration.

Membuat dan meluncurkan cluster yang diaktifkan Pusat Identitas

Sekarang setelah Anda menyiapkan IAM peran yang mengautentikasi dengan Pusat Identitas, dan membuat konfigurasi EMR keamanan Amazon yang mengaktifkan Pusat Identitas, Anda dapat membuat dan meluncurkan klaster sadar identitas Anda. Untuk langkah-langkah untuk meluncurkan klaster Anda dengan konfigurasi keamanan yang diperlukan, lihatMenentukan konfigurasi keamanan untuk sebuah klaster.

Secara opsional, lihat bagian berikut jika Anda ingin menggunakan kluster yang diaktifkan Pusat Identitas dengan opsi keamanan lain yang EMR didukung Amazon:

• Bekerja dengan Hibah Akses S3 pada klaster yang diaktifkan Pusat IAM Identitas EMR

• Konfigurasikan Lake Formation untuk EMR kluster yang diaktifkan Pusat IAM Identitas