Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Guida introduttiva all' AWS IAM Identity Center integrazione per Amazon EMR

PDF
Modalità Focus
Guida introduttiva all' AWS IAM Identity Center integrazione per Amazon EMR - Amazon EMR
Crea un'istanza del Centro identitàCreazione di un ruolo IAMAggiungi le autorizzazioni per i servizi non integrati con IAM Identity CenterCreazione di una configurazione di sicurezzaAvvia un cluster

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questa sezione ti aiuta a configurare Amazon EMR per l'integrazione con. AWS IAM Identity Center

Argomenti
Nota

Per utilizzare Identity Center, è necessario abilitare l'integrazione con EMR, Lake Formation o S3 Access Grants. Puoi anche usarli entrambi. Se nessuna delle due è abilitata, l'integrazione con Identity Center non è supportata.

Crea un'istanza del Centro identità

Se non ne hai ancora una, crea un'istanza del Centro identità nella Regione AWS in cui desideri avviare il cluster EMR. Un'istanza del Centro identità può esistere solo in una singola regione per un Account AWS.

Utilizzate il AWS CLI comando seguente per creare una nuova istanza denominataMyInstance:

aws sso-admin create-instance --name MyInstance

Crea un ruolo IAM per il Centro identità

Con cui integrare Amazon EMR AWS IAM Identity Center, crea un ruolo IAM che si autentichi con Identity Center dal cluster EMR. Sotto il cofano, Amazon EMR utilizza SigV4 credenziali per inoltrare l'identità dell'Identity Center a servizi downstream come. AWS Lake Formation Il tuo ruolo dovrebbe avere anche le autorizzazioni necessarie per richiamare i servizi downstream.

Quando crei il ruolo, utilizza la seguente policy di autorizzazione:

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

La politica di fiducia per questo ruolo consente di InstanceProfile ruolo per consentirgli di assumere il ruolo.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Se il ruolo non dispone di credenziali affidabili e accede a una tabella protetta da Lake Formation, Amazon EMR imposta principalId automaticamente il ruolo assunto su. userID-untrusted Di seguito è riportato un frammento di un evento che mostra il. CloudTrail principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Aggiungi le autorizzazioni per i servizi non integrati con IAM Identity Center

AWS le credenziali che utilizzano la propagazione affidabile dell'identità utilizzano le politiche IAM definite nel ruolo IAM per tutte le chiamate effettuate a servizi non integrati con IAM Identity Center. Ciò include, ad esempio, il. AWS Key Management Service Il tuo ruolo dovrebbe anche definire eventuali autorizzazioni IAM per tutti i servizi a cui tenteresti di accedere. I servizi integrati IAM Identity Center attualmente supportati includono AWS Lake Formation Amazon S3 Access Grants.

Per saperne di più sulla propagazione affidabile delle identità, consulta Propagazione affidabile dell'identità tra le applicazioni.

Crea una configurazione di sicurezza abilitata per il Centro identità

Per avviare un cluster EMR con l'integrazione del Centro identità IAM, utilizza il seguente comando di esempio per creare una configurazione di sicurezza Amazon EMR con il Centro identità abilitato. Ogni configurazione è spiegata di seguito.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
			"EnableIdentityCenter":true,
			"IdentityCenterApplicationAssigmentRequired":false,
			"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
			"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::123456789012:role/tip-role"
	    }
	},
	"AuthorizationConfiguration": {
		"LakeFormationConfiguration": {
			"EnableLakeFormation": true
		}
	},
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
				"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

  • EnableIdentityCenter: (obbligatorio) abilita l'integrazione del Centro identità.

  • IdentityCenterInstanceARN— (opzionale) L'ARN dell'istanza di Identity Center. Se questo non è incluso, l'ARN dell'istanza IAM Identity Center esistente viene cercato come parte della fase di configurazione.

  • IAMRoleForEMRIdentityCenterApplicationARN: (obbligatorio) il ruolo IAM che procura i token del Centro identità dal cluster.

  • IdentityCenterApplicationAssignmentRequired : (booleano) determina se sarà richiesta un'assegnazione per utilizzare l'applicazione del Centro identità. Questo campo è facoltativo. Se non viene fornito un valore, il valore predefinito èfalse.

  • AuthorizationConfiguration/LakeFormationConfiguration— Facoltativamente, configura l'autorizzazione:

    • EnableLakeFormation: abilita l'autorizzazione di Lake Formation sul cluster.

Per abilitare l'integrazione del Centro identità con Amazon EMR, devi specificare EncryptionConfiguration e. IntransitEncryptionConfiguration

Crea e avvia un cluster abilitato per il Centro identità

Ora che hai configurato il ruolo IAM che esegue l'autenticazione con il Centro identità e hai creato una configurazione di sicurezza Amazon EMR con il Centro identità abilitato, puoi creare e avviare il tuo cluster con riconoscimento dell'identità. Per i passaggi per avviare il cluster con la configurazione di sicurezza richiesta, consulta Specificare una configurazione di sicurezza per un cluster Amazon EMR.

Le seguenti sezioni descrivono come configurare un cluster abilitato per Identity Center con le opzioni di sicurezza supportate da Amazon EMR:

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.