Scelta di una modalità di autenticazione per Amazon EMR Studio - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scelta di una modalità di autenticazione per Amazon EMR Studio

EMR Studio supporta due modalità di autenticazione: la modalità di autenticazione IAM e la modalità di autenticazione IAM Identity Center. La modalità IAM utilizza AWS Identity and Access Management (IAM), mentre la modalità IAM Identity Center utilizza AWS IAM Identity Center. Quando crei un EMR Studio, scegli la modalità di autenticazione per tutti gli utenti di tale Studio. Per ulteriori informazioni sulle differenti modalità di autenticazione, consulta Autenticazione e accesso utente.

Utilizzare la tabella seguente per scegliere una modalità di autenticazione per EMR Studio.

Se hai... Consigliamo…
Già familiarità con o hai precedentemente configurato l'autenticazione o la federazione IAM

Modalità di autenticazione IAM, che offre i vantaggi seguenti:

  • Fornisce una configurazione rapida per EMR Studio se si già gestiscono identità come utenti e gruppi in IAM.

  • Funziona con i provider di identità compatibili con with OpenID Connect (OIDC) o Security Assertion Markup Language 2.0 (SAML 2.0).

  • Supporta l'utilizzo di più provider di identità con lo stesso Account AWS.

  • Disponibile in un gran numero di Regioni AWS.

  • Conforme a SOC 2.

Nuovo per AWS o per Amazon EMR

Modalità di autenticazione IAM Identity Center, che offre le seguenti caratteristiche:

  • Supporta una facile incarico di utenti e gruppi ad risorse AWS.

  • Funziona con Microsoft Active Directory e provider di identità SAML 2.0.

  • Facilita la configurazione della federazione multi-account in modo che non sia necessario configurare separatamente la federazione per ciascun Account AWS nella tua organizzazione.

Configurare una modalità di autenticazione IAM per Amazon EMR Studio

Con la modalità di autenticazione IAM, è possibile utilizzare l'autenticazione IAM o la federazione IAM. L'autenticazione IAM consente di gestire le identità IAM come utenti, gruppi e ruoli in IAM. Concedi agli utenti l'accesso a uno Studio con policy di autorizzazione IAM e controllo dell'accesso basato su attributi (ABAC). La federazione IAM consente di stabilire la fiducia tra un gestore dell'identità digitale (IdP) di terze parti eAWS in modo da poter gestire le identità utente tramite il tuo IdP.

Nota

Se usi già IAM per controllare l'accesso a risorse AWS o se hai già configurato il tuo gestore dell'identità digitale (IdP) per IAM, consulta Autorizzazioni utente per la modalità di autenticazione IAM per impostare le autorizzazioni utente quando si utilizza la modalità di autenticazione IAM per EMR Studio.

Uso della federazione IAM per Amazon EMR Studio

Per utilizzare la federazione IAM per EMR Studio, crei una relazione di attendibilità tra Account AWS e il gestore dell'identità digitale (IdP) e consenti agli utenti federati di accedere alla AWS Management Console. Le fasi che intraprendi per creare questa relazione di fiducia differiscono a seconda dello standard federativo del tuo IdP.

In generale, si completano le seguenti attività per configurare la federazione con un IdP esterno. Per istruzioni complete, consulta Abilitare gli utenti federati SAML 2.0 per accedere alla AWS Management Console e Abilitare il gestore identità personalizzato per accedere alla AWS Management Console nella Guida per l'utente di AWS Identity and Access Management.

  1. Raccogli informazioni dal tuo gestore dell'identità digitale. Questo di solito significa generare un documento di metadati per convalidare le richieste di autenticazione SAML dal tuo gestore dell'identità digitale.

  2. Crea un'entità IAM del provider di identità per archiviare informazioni sul tuo gestore dell'identità digitale. Per ricevere istruzioni, consulta Creazione di provider di identità IAM.

  3. Creare uno o più ruoli IAM per il gestore dell'identità digitale. EMR Studio assegna un ruolo a un utente federato quando l'utente effettua l'accesso. Il ruolo consente all'IdP di richiedere credenziali di sicurezza provvisorie per l'accesso a AWS. Per ricevere istruzioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione). Le policy di autorizzazione assegnate al ruolo determinano in cosa possono fare gli utenti federati in AWS e in uno Studio EMR. Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.

  4. (Per i provider SAML) Completare la attendibilità di SAML configurando il tuo IdP con informazioni su AWS e i ruoli che si desidera assumere gli utenti federati. Questo processo di configurazione crea una relazione di attendibilità tra IdP e AWS. Per ulteriori informazioni, consulta Configurazione del provider di identità SAML 2.0 con una relazione di attendibilità e aggiungendo attestazioni.

Per configurare un EMR Studio come applicazione SAML nel portale del provider di identità

È possibile configurare un particolare EMR Studio come applicazione SAML utilizzando un deep link allo Studio. In questo modo, gli utenti accedono al tuo portale del provider di identità e lanciano uno Studio specifico invece di navigare attraverso la console Amazon EMR.

  • Utilizza il seguente formato per configurare un deep link a EMR Studio come URL di destinazione dopo la verifica dell'asserzione SAML.

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configurazione della modalità di autenticazione IAM Identity Center per Amazon EMR Studio

Per preparare AWS IAM Identity Center per EMR Studio, è necessario configurare l'origine dell'identità e allocare utenti e gruppi. L'allocazione è il processo che rende disponibili le informazioni su utenti e gruppi per l'utilizzo da parte di IAM Identity Center e delle applicazioni che utilizzano IAM Identity Center. Per ulteriori informazioni, consulta Provisioning di utenti e gruppi.

EMR Studio supporta l'uso dei seguenti gestori dell'identità digitale per IAM Identity Center:

Configurazione di IAM Identity Center per EMR Studio
  1. Per configurare IAM Identity Center per EMR Studio, sono necessari i seguenti elementi:

    • Un account di gestione nella tua organizzazione AWS se utilizzi più account nell'organizzazione.

      Nota

      Per abilitare IAM Identity Center e allocare utenti e gruppi, dovresti utilizzare esclusivamente l'account di gestione. Dopo aver configurato IAM Identity Center, puoi utilizzare un account membro per creare un EMR Studio e assegnare utenti e gruppi. Per ulteriori informazioni sulla terminologia di AWS, consulta Terminologia e concetti AWS Organizations.

    • Se hai abilitato IAM Identity Center prima del 25 novembre 2019, potrebbe essere necessario abilitare le applicazioni che utilizzano IAM Identity Center per gli account nella tua organizzazione AWS. Per ulteriori informazioni, consulta la sezione Abilitazione di applicazioni integrate con IAM Identity Center negli account AWS.

    • Accertati di soddisfare i prerequisiti elencati nella pagina Prerequisiti di IAM Identity Center.

  2. Segui le istruzioni riportate nella sezione Abilitazione di IAM Identity Center per abilitare IAM Identity Center nella Regione AWS in cui desideri creare l'EMR Studio.

  3. Collega IAM Identity Center al tuo gestore dell'identità digitale (IdP) e alloca gli utenti e i gruppi che desideri assegnare allo Studio.

    Se utilizzi... Esegui questa operazione…
    Una directory Microsoft AD
    1. Segui le istruzioni in Connessione alla directory Microsoft AD per connettere l'Active Directory autogestita o la directory AWS Managed Microsoft AD utilizzando AWS Directory Service.

    2. Per allocare utenti e gruppi per IAM Identity Center, puoi sincronizzare i dati di identità dall'AD di origine a IAM Identity Center. Puoi sincronizzare le identità della tua AD di origine in molti modi. Un possibile modo è quello di assegnare utenti o gruppi AD a un account AWS nell'organizzazione. Per ricevere istruzioni, consulta Accesso single sign-on.

      La sincronizzazione può richiedere fino a due ore. Dopo avere completato questa fase, verranno visualizzati gli utenti e i gruppi sincronizzati nell'archivio identità.

      Nota

      Gli utenti e i gruppi non vengono visualizzati nel tuo Identity Store finché non sincronizzi le informazioni su utenti e gruppi o utilizzi just-in-time (JIT) il provisioning degli utenti. Per ulteriori informazioni, consulta Provisioning quando gli utenti provengono da Active Directory.

    3. (Facoltativo) Dopo aver sincronizzato gli utenti e i gruppi di AD, è possibile rimuoverne l'accesso all'account AWS configurato nella fase precedente. Per ricevere istruzioni, consulta Rimozione dell'accesso degli utenti.

    Un provider di identità esterno Segui le istruzioni in Connessione al provider di identità esterno.
    La directory di IAM Identity Center Quando crei utenti e gruppi in IAM Identity Center, l'allocazione è automatica. Per ulteriori informazioni, consulta la sezione Gestione delle identità in IAM Identity Center.

Ora puoi assegnare utenti e gruppi dall'archivio identità a un EMR Studio. Per istruzioni, consulta Assegnare un utente o un gruppo a un EMR Studio.