Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scegli una modalità di autenticazione per Amazon EMR Studio
EMRStudio supporta due modalità di autenticazione: modalità di IAM autenticazione e modalità di autenticazione IAM Identity Center. IAMmodalità utilizza AWS Identity and Access Management (IAM), mentre la modalità IAM Identity Center utilizza AWS IAM Identity Center. Quando crei uno EMR Studio, scegli la modalità di autenticazione per tutti gli utenti di quello Studio. Per ulteriori informazioni sulle differenti modalità di autenticazione, consulta Autenticazione e accesso utente.
Utilizzate la tabella seguente per scegliere una modalità di autenticazione per EMR Studio.
Se hai... | Consigliamo… |
---|---|
Conoscete già o avete già configurato IAM l'autenticazione o la federazione |
Modalità di autenticazione IAM, che offre i vantaggi seguenti:
|
Nuovo a AWS o Amazon EMR |
IAMModalità di autenticazione Identity Center, che offre le seguenti caratteristiche:
|
Configura la modalità di IAM autenticazione per Amazon EMR Studio
Con la modalità di IAM autenticazione, puoi utilizzare l'IAMautenticazione o la IAM federazione. IAMl'autenticazione consente di gestire IAM identità come utenti, gruppi e ruoli inIAM. Concedi agli utenti l'accesso a uno Studio con politiche di IAM autorizzazione e controllo degli accessi basato sugli attributi (). ABAC IAMla federazione consente di stabilire un rapporto di fiducia tra un provider di identità (IdP) di terze parti e AWS in modo da poter gestire le identità degli utenti tramite il tuo IdP.
Nota
Se lo utilizzi già IAM per controllare l'accesso a AWS risorse o, se hai già configurato il tuo provider di identità (IdP) perIAM, vedi Autorizzazioni utente per la modalità di autenticazione IAM per impostare le autorizzazioni utente quando utilizzi la modalità di IAM autenticazione per Studio. EMR
Usa la IAM federazione per Amazon EMR Studio
Per utilizzare la IAM federazione per EMR Studio, crei una relazione di fiducia tra i Account AWS e il tuo provider di identità (IdP) e consenti agli utenti federati di accedere a AWS Management Console. I passaggi da seguire per creare questa relazione di fiducia variano a seconda dello standard di federazione del tuo IdP.
In generale, si completano le seguenti attività per configurare la federazione con un IdP esterno. Per istruzioni complete, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Consolee Abilitazione dell'accesso personalizzato da parte di un broker di identità a AWS Management Console nella AWS Identity and Access Management Guida per l'utente.
-
Raccogli informazioni dal tuo gestore dell'identità digitale. Questo di solito significa generare un documento di metadati per convalidare le richieste di SAML autenticazione del tuo IdP.
-
Crea un'IAMentità provider di identità per archiviare le informazioni sul tuo IdP. Per istruzioni, consulta Creazione di provider di IAM identità.
-
Crea uno o più IAM ruoli per il tuo IdP. EMRStudio assegna un ruolo a un utente federato quando l'utente effettua l'accesso. Il ruolo consente al tuo IdP di richiedere credenziali di sicurezza temporanee per l'accesso a AWS. Per istruzioni, vedi Creazione di un ruolo per un provider di identità di terze parti (federazione). Le politiche di autorizzazione assegnate al ruolo determinano cosa possono fare gli utenti federati in AWS e in uno studio. EMR Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.
-
(Per i SAML provider) Completa il SAML trust configurando il tuo IdP con informazioni su AWS e i ruoli che vuoi che gli utenti federati assumano. Questo processo di configurazione crea fiducia tra il tuo IdP e AWS. Per ulteriori informazioni, consulta Configurazione del tuo IdP SAML 2.0 con relying party trust e aggiunta di claim.
Per configurare uno EMR Studio come SAML applicazione nel tuo portale IdP
Puoi configurare un determinato EMR Studio come SAML applicazione utilizzando un collegamento diretto allo Studio. In questo modo gli utenti possono accedere al tuo portale IdP e avviare uno Studio specifico invece di navigare attraverso la console Amazon. EMR
-
Utilizza il seguente formato per configurare un collegamento diretto al tuo EMR Studio come destinazione URL dopo la verifica delle SAML asserzioni.
https://console.aws.amazon.com/emr/home?region=
<aws-region>
#studio/<your-studio-id>
/start
Configura IAM la modalità di autenticazione Identity Center per Amazon EMR Studio
Per prepararsi AWS IAM Identity Center per EMR Studio, è necessario configurare l'origine dell'identità ed effettuare il provisioning di utenti e gruppi. Il provisioning è il processo che rende disponibili le informazioni su utenti e gruppi per l'uso da parte di IAM Identity Center e delle applicazioni che utilizzano IAM Identity Center. Per ulteriori informazioni, consulta Provisioning di utenti e gruppi.
EMRStudio supporta l'utilizzo dei seguenti provider di IAM identità per Identity Center:
-
AWS Managed Microsoft AD e Active Directory autogestita: per ulteriori informazioni, vedi Connect to your Microsoft AD directory.
-
SAMLprovider basati: per un elenco completo, vedi Provider di identità supportati.
-
La directory IAM Identity Center: per ulteriori informazioni, consulta Gestire le IAM identità in Identity Center.
Per configurare IAM Identity Center for Studio EMR
-
Per configurare IAM Identity Center for EMR Studio, è necessario quanto segue:
-
Un account di gestione nel tuo AWS organizzazione se utilizzi più account nella tua organizzazione.
Nota
È necessario utilizzare l'account di gestione solo per abilitare IAM Identity Center ed effettuare il provisioning di utenti e gruppi. Dopo aver configurato IAM Identity Center, utilizza un account membro per creare uno EMR Studio e assegnare utenti e gruppi. Per ulteriori informazioni su AWS terminologia, vedi AWS Organizations terminologia e concetti.
-
Se hai abilitato IAM Identity Center prima del 25 novembre 2019, potresti dover abilitare le applicazioni che utilizzano IAM Identity Center per gli account del tuo AWS organizzazione. Per ulteriori informazioni, consulta Abilitare le applicazioni integrate con IAM Identity Center in AWS account.
-
Assicurati di disporre dei prerequisiti elencati nella pagina dei prerequisiti di IAM Identity Center.
-
-
Segui le istruzioni riportate in Abilita IAM Identity Center per abilitare IAM Identity Center in Regione AWS dove vuoi creare lo EMR Studio.
-
Connect IAM Identity Center al tuo provider di identità e fornisci gli utenti e i gruppi che desideri assegnare allo Studio.
Se utilizzi... Esegui questa operazione… Una directory Microsoft AD -
Segui le istruzioni in Connect to your Microsoft AD directory per connettere la tua Active Directory autogestita oppure AWS Managed Microsoft AD directory utilizzando AWS Directory Service.
-
Per fornire utenti e gruppi a IAM Identity Center, puoi sincronizzare i dati di identità dal tuo AD di origine a IAM Identity Center. Puoi sincronizzare le identità della tua AD di origine in molti modi. Un modo consiste nell'assegnare utenti o gruppi AD a un AWS account della tua organizzazione. Per ricevere istruzioni, consulta Accesso single sign-on.
La sincronizzazione può richiedere fino a due ore. Dopo avere completato questa fase, verranno visualizzati gli utenti e i gruppi sincronizzati nell'archivio identità.
Nota
Gli utenti e i gruppi non vengono visualizzati nel tuo Identity Store finché non sincronizzi le informazioni su utenti e gruppi o utilizzi just-in-time (JIT) il provisioning degli utenti. Per ulteriori informazioni, consulta Provisioning quando gli utenti provengono da Active Directory.
-
(Facoltativo) Dopo aver sincronizzato gli utenti e i gruppi AD, puoi rimuovere il loro accesso al AWS account configurato nel passaggio precedente. Per ricevere istruzioni, consulta Rimozione dell'accesso degli utenti.
Un provider di identità esterno Segui le istruzioni in Connessione al provider di identità esterno. La directory di IAM Identity Center Quando si creano utenti e gruppi in IAM Identity Center, il provisioning è automatico. Per ulteriori informazioni, consulta Gestire le IAM identità in Identity Center. -
Ora puoi assegnare utenti e gruppi dal tuo Identity Store a uno EMR Studio. Per istruzioni, consulta Assegna un utente o un gruppo a uno Studio EMR.