Cara Kerja Amazon EMR Studio

Amazon EMR Studio adalah sumber daya EMR Amazon yang Anda buat untuk tim pengguna. Setiap Studio adalah lingkungan pengembangan terintegrasi berbasis web mandiri untuk notebook Jupyter yang berjalan di kluster EMR Amazon. Pengguna masuk ke Studio menggunakan kredensi perusahaan.

Setiap EMR Studio yang Anda buat menggunakan sumber daya berikut: AWS

• Amazon Virtual Private Cloud (VPC) dengan subnet - Pengguna menjalankan kernel Studio dan aplikasi di Amazon EMR dan Amazon EMR pada kluster EKS di VPC yang ditentukan. EMR Studio dapat terhubung ke klaster apa pun di subnet yang Anda tentukan saat membuat Studio.

• Peran IAM dan kebijakan izin - Untuk mengelola izin pengguna, Anda membuat kebijakan izin IAM yang Anda lampirkan ke identitas IAM pengguna atau ke peran pengguna. EMR Studio juga menggunakan peran layanan IAM dan kelompok keamanan untuk berinteraksi dengan layanan lain. AWS Untuk informasi selengkapnya, silakan lihat Kontrol akses dan Tentukan grup keamanan untuk mengontrol lalu lintas jaringan EMR Studio.

• Grup keamanan - EMR Studio menggunakan grup keamanan untuk membuat saluran jaringan aman antara Studio dan cluster EMR.

• Lokasi cadangan Amazon S3 - EMR Studio menyimpan pekerjaan notebook di lokasi Amazon S3.

Langkah-langkah berikut menguraikan cara membuat dan mengelola EMR Studio:

1. Buat Studio di Anda Akun AWS dengan autentikasi IAM atau IAM Identity Center. Untuk petunjuk, silakan lihat Siapkan Amazon EMR Studio.

2. Tetapkan pengguna dan grup ke Studio Anda. Gunakan kebijakan izin untuk menetapkan izin berbutir halus untuk setiap pengguna. Untuk informasi lebih lanjut, lihat topiknyaMenetapkan dan mengelola pengguna EMR Studio.

3. Mulai memantau tindakan EMR Studio dengan AWS CloudTrail acara. Untuk informasi selengkapnya, lihat Pantau tindakan Amazon EMR Studio.

4. Berikan lebih banyak opsi klaster kepada pengguna Studio dengan templat klaster dan Amazon EMR di titik akhir yang dikelola EKS.

Otentikasi dan login pengguna

Amazon EMR Studio mendukung dua mode otentikasi: mode otentikasi IAM dan mode otentikasi IAM Identity Center. Mode IAM menggunakan AWS Identity and Access Management (IAM), sedangkan mode IAM Identity Center menggunakan. AWS IAM Identity Center Saat membuat EMR Studio, Anda memilih mode otentikasi untuk semua pengguna Studio tersebut.

Mode otentikasi IAM

Dengan mode otentikasi IAM, Anda dapat menggunakan otentikasi IAM atau federasi IAM.

Autentikasi IAM memungkinkan Anda mengelola identitas IAM seperti pengguna, grup, dan peran di IAM. Anda memberi pengguna akses ke Studio dengan kebijakan izin IAM dan kontrol akses berbasis atribut (ABAC).

Federasi IAM memungkinkan Anda membangun kepercayaan antara penyedia identitas pihak ketiga (iDP) AWS dan sehingga Anda dapat mengelola identitas pengguna melalui IDP Anda.

Mode otentikasi Pusat Identitas IAM

Mode autentikasi IAM Identity Center memungkinkan Anda memberi pengguna akses federasi ke EMR Studio. Anda dapat menggunakan IAM Identity Center untuk mengautentikasi pengguna dan grup dari direktori IAM Identity Center, direktori perusahaan yang ada, atau IDP eksternal seperti Azure Active Directory (AD). Anda kemudian mengelola pengguna dengan penyedia identitas Anda (iDP).

EMR Studio mendukung penggunaan penyedia identitas berikut untuk IAM Identity Center:

• AWS Managed Microsoft AD dan Direktori Aktif yang dikelola sendiri — Untuk informasi lebih lanjut, lihat Menghubungkan ke direktori Microsoft AD.

• Penyedia berbasis SAML – Untuk daftar lengkap, lihat Penyedia identitas yang didukung.

• Direktori Pusat Identitas IAM — Untuk informasi selengkapnya, lihat Mengelola identitas di Pusat Identitas IAM dan propagasi identitas tepercaya di seluruh aplikasi dalam Panduan Pengguna. AWS IAM Identity Center

Bagaimana otentikasi memengaruhi login dan penetapan pengguna

Mode autentikasi yang Anda pilih untuk EMR Studio memengaruhi cara pengguna masuk ke Studio, cara Anda menetapkan pengguna ke Studio, dan cara Anda mengotorisasi (memberikan izin kepada) pengguna untuk melakukan tindakan seperti membuat kluster EMR Amazon baru.

Tabel berikut merangkum metode login untuk EMR Studio sesuai dengan modus otentikasi.

Opsi login EMR Studio dengan mode otentikasi
Mode autentikasi	Metode login	Deskripsi
IAM (otentikasi dan federasi) Pusat Identitas IAM	URL Studio EMR	Pengguna masuk ke Studio menggunakan URL akses Studio. Sebagai contoh, https://xxxxxxxxxxxxxxxxxxxxxxx.emrstudio-prod.us-east-1.amazonaws.com. Pengguna memasukkan kredensi IAM saat Anda menggunakan autentikasi IAM. Saat Anda menggunakan federasi IAM atau IAM Identity Center, EMR Studio mengalihkan pengguna ke URL masuk penyedia identitas Anda untuk memasukkan kredensyal. Dalam konteks federasi identitas, opsi login ini disebut Service Provider (SP) memulai sign-in.
IAM (federasi) Pusat Identitas IAM	Portal penyedia identitas (iDP)	Pengguna masuk ke portal penyedia identitas Anda, seperti portal Azure, dan meluncurkan konsol EMR Amazon. Setelah meluncurkan konsol EMR Amazon, pengguna memilih dan membuka Studio dari daftar Studios. Anda juga dapat mengonfigurasi EMR Studio sebagai aplikasi SAMP sehingga pengguna dapat masuk ke Studio tertentu dari portal penyedia identitas Anda. Untuk petunjuk, lihat Untuk mengonfigurasi EMR Studio sebagai aplikasi SAMP di portal iDP Anda. Dalam konteks federasi identitas, opsi login ini disebut penyedia identitas (iDP) memulai login.
IAM (otentikasi)	AWS Management Console	Pengguna masuk ke AWS Management Console menggunakan kredensyal IAM dan membuka Studio dari daftar Studios di konsol EMR Amazon.

Tabel berikut menguraikan penugasan pengguna dan otorisasi untuk EMR Studio dengan mode otentikasi.

Penugasan dan otorisasi pengguna EMR Studio dengan mode otentikasi
Mode autentikasi	Penugasan pengguna	Otorisasi pengguna
IAM (otentikasi dan federasi)	Izinkan CreateStudioPresignedUrl tindakan dalam kebijakan izin IAM yang dilampirkan ke identitas IAM (pengguna, grup, atau peran). Untuk pengguna federasi, izinkan CreateStudioPresignedUrl tindakan dalam IAM dalam kebijakan izin yang Anda konfigurasikan untuk peran IAM yang Anda gunakan untuk federasi. Gunakan kontrol akses berbasis atribut (ABAC) untuk menentukan Studio atau Studio yang dapat diakses pengguna. Untuk petunjuk, silakan lihat Menetapkan pengguna atau grup ke Studio EMR.	Tentukan kebijakan izin IAM yang memungkinkan tindakan EMR Studio tertentu. Untuk pengguna asli, lampirkan kebijakan izin IAM ke identitas IAM (pengguna, grup, atau peran). Untuk pengguna federasi, izinkan tindakan Studio dalam kebijakan izin yang Anda konfigurasikan untuk peran IAM yang Anda gunakan untuk federasi. Untuk informasi selengkapnya, lihat Konfigurasikan izin pengguna EMR Studio untuk Amazon EC2 atau Amazon EKS.
Pusat Identitas IAM	Untuk Studios yang dibuat dengan IdCUserAssignment set toREQUIRED, petakan pengguna ke Studio dengan kebijakan sesi tertentu. Untuk informasi selengkapnya, lihat Menetapkan pengguna atau grup ke Studio EMR. Untuk Studio yang dibuat dengan IdCUserAssignment set toOPTIONAL, setiap pengguna atau grup Pusat Identitas dapat mengakses Studio.	Opsional: Tentukan kebijakan sesi IAM yang memungkinkan tindakan EMR Studio tertentu. Memetakan kebijakan sesi ke pengguna saat Anda menetapkan pengguna ke Studio. Untuk informasi selengkapnya, lihat Izin pengguna untuk mode otentikasi Pusat Identitas IAM.

Kontrol akses

Di Amazon EMR Studio, Anda mengonfigurasi otorisasi pengguna (izin) dengan kebijakan berbasis identitas AWS Identity and Access Management (IAM). Dalam kebijakan ini, Anda menentukan tindakan dan sumber daya yang diizinkan, serta kondisi di mana tindakan diizinkan.

Izin pengguna untuk mode otentikasi IAM

Untuk menetapkan izin pengguna saat Anda menggunakan autentikasi IAM untuk EMR Studio, Anda mengizinkan tindakan seperti elasticmapreduce:RunJobFlow dalam kebijakan izin IAM. Anda dapat membuat satu atau beberapa kebijakan izin untuk digunakan. Misalnya, Anda dapat membuat kebijakan dasar yang tidak mengizinkan pengguna membuat kluster EMR Amazon baru, dan kebijakan lain yang mengizinkan pembuatan klaster. Untuk daftar semua tindakan Studio, lihatAWS Identity and Access Management izin untuk pengguna EMR Studio.

Izin pengguna untuk mode otentikasi Pusat Identitas IAM

Bila Anda menggunakan autentikasi IAM Identity Center, Anda membuat satu peran pengguna EMR Studio. Peran pengguna adalah peran IAM khusus yang diasumsikan Studio saat pengguna masuk.

Anda melampirkan kebijakan sesi IAM ke peran pengguna EMR Studio. Kebijakan sesi adalah jenis khusus dari kebijakan izin IAM yang membatasi apa yang dapat dilakukan pengguna federasi selama sesi login Studio. Kebijakan sesi memungkinkan Anda menetapkan izin khusus untuk pengguna atau grup tanpa membuat beberapa peran pengguna untuk EMR Studio.

Saat menetapkan pengguna dan grup ke Studio, Anda memetakan kebijakan sesi ke pengguna atau grup tersebut untuk menerapkan izin berbutir halus. Anda juga dapat memperbarui kebijakan sesi pengguna atau grup kapan saja. Amazon EMR menyimpan setiap pemetaan kebijakan sesi yang Anda buat.

Untuk informasi selengkapnya tentang kebijakan sesi, lihat Izin dan kebijakan dalam Panduan Pengguna AWS Identity and Access Management.

Workspace

Workspace adalah blok bangunan utama Amazon EMR Studio. Untuk mengatur buku catatan, pengguna membuat satu atau beberapa Ruang Kerja di Studio. Untuk informasi selengkapnya, lihat Pelajari dasar-dasar Ruang Kerja.

Mirip dengan ruang kerja di JupyterLab, Workspace mempertahankan status kerja notebook. Namun, antarmuka pengguna Workspace memperluas JupyterLabantarmuka sumber terbuka dengan alat tambahan untuk memungkinkan Anda membuat dan melampirkan kluster EMR, menjalankan pekerjaan, menjelajahi contoh notebook, dan menautkan repositori Git.

Daftar berikut mencakup fitur utama EMR Studio Workspaces:

• Visibilitas Workspace berbasis Studio. Ruang kerja yang Anda buat di satu Studio tidak terlihat di Studio lain.

• Secara default, Workspace dibagikan dan dapat dilihat oleh semua pengguna Studio. Namun, hanya satu pengguna yang dapat membuka dan bekerja di Workspace pada satu waktu. Untuk bekerja secara bersamaan dengan pengguna lain, Anda bisa Konfigurasikan kolaborasi Workspace

• Anda dapat berkolaborasi secara bersamaan dengan pengguna lain di Workspace saat Anda mengaktifkan kolaborasi Workspace. Untuk informasi selengkapnya, lihat Konfigurasikan kolaborasi Workspace.

• Notebook di Workspace berbagi cluster EMR yang sama untuk menjalankan perintah. Anda dapat melampirkan Workspace ke kluster EMR Amazon yang berjalan di Amazon EC2 atau ke EMR Amazon di klaster virtual EKS dan titik akhir terkelola.

• Ruang kerja dapat beralih ke Availability Zone lain yang Anda kaitkan dengan subnet Studio. Anda dapat menghentikan dan memulai ulang Workspace untuk meminta proses failover. Saat memulai ulang Workspace, EMR Studio meluncurkan Workspace di Availability Zone yang berbeda di VPC Studio saat Studio dikonfigurasi dengan akses ke beberapa Availability Zone. Jika Studio hanya memiliki satu Availability Zone, EMR Studio mencoba meluncurkan Workspace di subnet yang berbeda. Untuk informasi selengkapnya, lihat Mengatasi masalah konektivitas Workspace.

• Workspace dapat terhubung ke cluster di salah satu subnet yang terkait dengan Studio.

Untuk informasi selengkapnya tentang membuat dan mengonfigurasi Workspace EMR Studio, lihat Pelajari dasar-dasar Ruang Kerja.

Penyimpanan notebook di Amazon EMR Studio

Saat Anda menggunakan Workspace, EMR Studio menyimpan otomatis sel dalam file notebook dengan irama reguler di lokasi Amazon S3 yang terkait dengan Studio Anda. Proses pencadangan ini mempertahankan pekerjaan antar sesi sehingga Anda dapat kembali ke sana nanti tanpa melakukan perubahan pada repositori Git. Untuk informasi selengkapnya, lihat Menyimpan konten Workspace.

Ketika Anda menghapus file notebook dari Workspace, EMR Studio menghapus versi pencadangan dari Amazon S3 untuk Anda. Namun, jika Anda menghapus Workspace tanpa terlebih dahulu menghapus file notebook, file notebook tetap berada di Amazon S3 dan terus bertambah biaya penyimpanan. Untuk mempelajari informasi lebih lanjut, lihat Menghapus file Workspace dan notebook.