Scelta di una modalità di autenticazione per Amazon EMR Studio - Amazon EMR
Modalità di autenticazione IAMModalità di autenticazione IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scelta di una modalità di autenticazione per Amazon EMR Studio

EMR Studio supporta due modalità di autenticazione: la modalità di autenticazione IAM e la modalità di autenticazione IAM Identity Center. La modalità IAM utilizza AWS Identity and Access Management (IAM), mentre la modalità IAM Identity Center utilizza. AWS IAM Identity Center Quando crei un EMR Studio, scegli la modalità di autenticazione per tutti gli utenti di tale Studio. Per ulteriori informazioni sulle differenti modalità di autenticazione, consulta Autenticazione e accesso utente.

Utilizzare la tabella seguente per scegliere una modalità di autenticazione per EMR Studio.

Se hai... Consigliamo…
Già familiarità con o hai precedentemente configurato l'autenticazione o la federazione IAM

Modalità di autenticazione IAM, che offre i vantaggi seguenti:

  • Fornisce una configurazione rapida per EMR Studio se si già gestiscono identità come utenti e gruppi in IAM.

  • Funziona con i provider di identità compatibili con with OpenID Connect (OIDC) o Security Assertion Markup Language 2.0 (SAML 2.0).

  • Supporta l'utilizzo di più provider di identità con lo stesso Account AWS.

  • Disponibile in un'ampia gamma di Regioni AWS.

  • Conforme a SOC 2.
Nuovo utente del AWS nostro Amazon EMR

Modalità di autenticazione IAM Identity Center, che offre le seguenti caratteristiche:

  • Supporta una facile assegnazione di utenti e gruppi alle AWS risorse.

  • Funziona con Microsoft Active Directory e provider di identità SAML 2.0.

  • Facilita la configurazione della federazione di più account in modo da non dover configurare separatamente la federazione per ciascun Account AWS membro dell'organizzazione.

Configurare una modalità di autenticazione IAM per Amazon EMR Studio

Con la modalità di autenticazione IAM, è possibile utilizzare l'autenticazione IAM o la federazione IAM. L'autenticazione IAM consente di gestire le identità IAM come utenti, gruppi e ruoli in IAM. Concedi agli utenti l'accesso a uno Studio con policy di autorizzazione IAM e controllo dell'accesso basato su attributi (ABAC). La federazione IAM ti consente di stabilire un rapporto di fiducia tra un provider di identità (IdP) di terze parti e AWS di gestire le identità degli utenti tramite il tuo IdP.

Nota

Se utilizzi già IAM per controllare l'accesso alle AWS risorse o se hai già configurato il tuo provider di identità (IdP) per IAM, consulta Autorizzazioni utente per la modalità di autenticazione IAM per impostare le autorizzazioni utente quando utilizzi la modalità di autenticazione IAM per EMR Studio.

Uso della federazione IAM per Amazon EMR Studio

Per utilizzare la federazione IAM per EMR Studio, crei una relazione di fiducia tra il tuo Account AWS e il tuo provider di identità (IdP) e consenti agli utenti federati di accedere a. AWS Management Console Le fasi che intraprendi per creare questa relazione di fiducia differiscono a seconda dello standard federativo del tuo IdP.

In generale, si completano le seguenti attività per configurare la federazione con un IdP esterno. Per istruzioni complete, consulta Abilitare gli utenti federati SAML 2.0 per accedere alla AWS Management Console e Abilitare il gestore identità personalizzato per accedere alla AWS Management Console nella Guida per l'utente di AWS Identity and Access Management .

  1. Raccogli informazioni dal tuo gestore dell'identità digitale. Questo di solito significa generare un documento di metadati per convalidare le richieste di autenticazione SAML dal tuo gestore dell'identità digitale.

  2. Crea un'entità IAM del provider di identità per archiviare informazioni sul tuo gestore dell'identità digitale. Per ricevere istruzioni, consulta Creazione di provider di identità IAM.

  3. Creare uno o più ruoli IAM per il gestore dell'identità digitale. EMR Studio assegna un ruolo a un utente federato quando l'utente effettua l'accesso. Il ruolo consente all'IdP di richiedere credenziali di sicurezza provvisorie per l'accesso a AWS. Per ricevere istruzioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione). Le politiche di autorizzazione assegnate al ruolo determinano cosa possono fare gli utenti federati in AWS e in EMR Studio. Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.

  4. (Per i provider SAML) Completa il trust SAML configurando il tuo IdP con le informazioni AWS e i ruoli che desideri vengano assunti dagli utenti federati. Questo processo di configurazione crea fiducia tra il tuo AWS IdP e. Per ulteriori informazioni, consulta Configurazione del provider di identità SAML 2.0 con una relazione di attendibilità e aggiungendo attestazioni.

Per configurare un EMR Studio come applicazione SAML nel portale del provider di identità

È possibile configurare un particolare EMR Studio come applicazione SAML utilizzando un deep link allo Studio. In questo modo, gli utenti accedono al tuo portale del provider di identità e lanciano uno Studio specifico invece di navigare attraverso la console Amazon EMR.

  • Utilizza il seguente formato per configurare un deep link a EMR Studio come URL di destinazione dopo la verifica dell'asserzione SAML. 

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Configurazione della modalità di autenticazione IAM Identity Center per Amazon EMR Studio

AWS IAM Identity Center Per prepararsi a EMR Studio, è necessario configurare l'origine dell'identità ed effettuare il provisioning di utenti e gruppi. L'allocazione è il processo che rende disponibili le informazioni su utenti e gruppi per l'utilizzo da parte di IAM Identity Center e delle applicazioni che utilizzano IAM Identity Center. Per ulteriori informazioni, consulta Provisioning di utenti e gruppi.

EMR Studio supporta l'uso dei seguenti gestori dell'identità digitale per IAM Identity Center:

Configurazione di IAM Identity Center per EMR Studio

  1. Per configurare IAM Identity Center per EMR Studio, sono necessari i seguenti elementi:

    • Un account di gestione nell' AWS organizzazione se si utilizzano più account nell'organizzazione.

      Nota

      Per abilitare IAM Identity Center e allocare utenti e gruppi, dovresti utilizzare esclusivamente l'account di gestione. Dopo aver configurato IAM Identity Center, puoi utilizzare un account membro per creare un EMR Studio e assegnare utenti e gruppi. Per ulteriori informazioni sulla AWS terminologia, vedere AWS Organizations Terminologia e concetti.

    • Se hai abilitato IAM Identity Center prima del 25 novembre 2019, potresti dover abilitare le applicazioni che utilizzano IAM Identity Center per gli account della tua AWS organizzazione. Per ulteriori informazioni, consulta Abilitare le applicazioni integrate con IAM Identity Center negli AWS account.

    • Accertati di soddisfare i prerequisiti elencati nella pagina Prerequisiti di IAM Identity Center.

  2. Segui le istruzioni in Abilita IAM Identity Center per abilitare IAM Identity Center nel Regione AWS luogo in cui desideri creare EMR Studio.

  3. Collega IAM Identity Center al tuo gestore dell'identità digitale (IdP) e alloca gli utenti e i gruppi che desideri assegnare allo Studio.

    Se utilizzi... Esegui questa operazione…
    Una directory Microsoft AD

    1. Segui le istruzioni in Connect to your Microsoft AD directory per connettere la tua AWS Managed Microsoft AD directory o Active Directory autogestita utilizzando AWS Directory Service.

    2. Per allocare utenti e gruppi per IAM Identity Center, puoi sincronizzare i dati di identità dall'AD di origine a IAM Identity Center. Puoi sincronizzare le identità della tua AD di origine in molti modi. Un possibile modo è quello di assegnare utenti o gruppi AD a un account AWS nell'organizzazione. Per ricevere istruzioni, consulta Accesso single sign-on.

      La sincronizzazione può richiedere fino a due ore. Dopo avere completato questa fase, verranno visualizzati gli utenti e i gruppi sincronizzati nell'archivio identità.

      Nota

      Gli utenti e i gruppi non vengono visualizzati nel tuo Identity Store finché non sincronizzi le informazioni su utenti e gruppi o utilizzi just-in-time (JIT) il provisioning degli utenti. Per ulteriori informazioni, consulta Provisioning quando gli utenti provengono da Active Directory.

    3. (Facoltativo) Dopo aver sincronizzato gli utenti e i gruppi AD, puoi rimuovere il loro accesso al tuo AWS account configurato nel passaggio precedente. Per ricevere istruzioni, consulta Rimozione dell'accesso degli utenti.

    Un provider di identità esterno Segui le istruzioni in Connessione al provider di identità esterno.
    La directory di IAM Identity Center Quando crei utenti e gruppi in IAM Identity Center, l'allocazione è automatica. Per ulteriori informazioni, consulta la sezione Gestione delle identità in IAM Identity Center.

Ora puoi assegnare utenti e gruppi dall'archivio identità a un EMR Studio. Per istruzioni, consulta Assegnare un utente o un gruppo a un EMR Studio.