Assegnazione e gestione degli utenti di EMR Studio - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegnazione e gestione degli utenti di EMR Studio

Dopo aver creato un EMR Studio, è possibile assegnare utenti e gruppi ad esso. Il metodo utilizzato per assegnare, aggiornare e rimuovere utenti dipende dalla modalità di autenticazione di Studio.

  • Quando utilizzi la modalità di autenticazione IAM, devi configurare l'assegnazione utente di EMR Studio e le autorizzazioni in IAM o con IAM e il provider di identità.

  • Con la modalità di autenticazione IAM Identity Center, utilizzi la console di gestione Amazon EMR o la AWS CLI per gestire gli utenti.

Per ulteriori informazioni sull'autenticazione per Amazon EMR Studio, consulta Scelta di una modalità di autenticazione per Amazon EMR Studio.

Assegnare un utente o un gruppo a un EMR Studio

IAM

Quando si utilizza Configurare una modalità di autenticazione IAM per Amazon EMR Studio è necessario consentire l'operazione CreateStudioPresignedUrl nella policy di autorizzazione IAM di un utente e limitare l'utente a un particolare Studio. È possibile includere CreateStudioPresignedUrl nell'Autorizzazioni utente per la modalità di autenticazione IAM o usare una policy separata.

Per limitare un utente a uno Studio (o a un set di Studio), è possibile utilizzare il controllo di accesso basato sugli attributi (ABAC) o specificare un nome della risorsa Amazon (ARN) di uno Studio nell'elemento Resource della policy di autorizzazione dell'utente.

Esempio Assegnazione di un utente a uno Studio con un ARN di Studio

La seguente policy di esempio fornisce a un utente l'accesso a un particolare EMR Studio consentendo l'operazione CreateStudioPresignedUrl e specificando il nome della risorsa Amazon (ARN) di Studio nel elemento Resource.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>" } ] }
Esempio Assegnazione di un utente a uno Studio con ABAC per l'autenticazione IAM

Esistono diversi modi per configurare il controllo di accesso basato sugli attributi (ABAC) per uno Studio. Ad esempio, è possibile allegare uno o più tag a un EMR Studio e quindi creare una policy IAM che limita l'operazione CreateStudioPresignedUrl per uno Studio particolare o un insieme di Studio con tali tag.

Puoi aggiungere tag durante o dopo la creazione di Studio. Per aggiungere tag a uno Studio esistente, puoi utilizzare il comando AWS CLIemr add-tags. L'esempio seguente aggiunge un tag con la coppia chiave-valore Team = Data Analytics a un EMR Studio.

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

La seguente policy di autorizzazione di esempio consente l'operazione CreateStudioPresignedUrl per EMR Studio con la coppia chiave-valore di tag Team = DataAnalytics. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag o Controllo dell'accesso alle risorse AWS mediante i tag.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }
Esempio Assegna un utente a uno Studio utilizzando la chiave aws: SourceIdentity global condition

Quando usi la federazione IAM, puoi utilizzare la chiave di condizione globale aws:SourceIdentity in una policy di autorizzazione per consentire agli utenti di accedere a Studio quando assumono il ruolo IAM per la federazione.

È necessario innanzitutto configurare il proprio provider di identità (IdP) per restituire una stringa di identificazione, ad esempio un indirizzo e-mail o un nome utente, quando un utente autentica e assume il ruolo IAM per la federazione. IAM imposta la chiave di condizione globale aws:SourceIdentity alla stringa di identificazione restituita dal tuo IdP.

Per ulteriori informazioni, consulta il post sul blog Come correlare l'attività del ruolo IAM all'identità aziendale nel AWS Security Blog e la voce aws: SourceIdentity entry in the global condition keys reference.

Il seguente criterio di esempio consente l'CreateStudioPresignedUrlazione e offre agli utenti un accesso aws:SourceIdentity che corrisponde all'accesso < example-source-identity > a EMR Studio specificato da < example-studio-arn >.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "<example-studio-arn>", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>" } } } ] }
IAM Identity Center

Quando si assegna un utente o un gruppo a un EMR Studio, specificare una policy di sessione che definisca autorizzazioni granulari, ad esempio la possibilità di creare un nuovo cluster EMR, per tale utente o gruppo. Amazon EMR archivia le mappature delle policy di sessione. È possibile aggiornare le policy di sessione a un utente o a un gruppo dopo l'assegnazione.

Nota

Le autorizzazioni finali per un utente o un gruppo sono un'intersezione tra le autorizzazioni definite nel ruolo utente di EMR Studio e le autorizzazioni definite nella policy di sessione per tale utente o gruppo. Se un utente appartiene a più gruppi assegnati allo Studio, EMR Studio utilizza un'unione di autorizzazioni per quel determinato utente.

Assegnazione di utenti o gruppi a un EMR Studio con la console Amazon EMR
  1. Passa alla nuova console Amazon EMR e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMR Studio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Seleziona Add Users (Aggiungi utenti) per visualizzare la tabella di ricerca Users (Utenti) e Groups (Gruppi).

  5. Seleziona la scheda Users (Utenti) oppure la scheda Groups (Gruppi) e inserisci un termine di ricerca nella barra di ricerca per trovare un utente o un gruppo.

  6. Seleziona uno o più utenti o gruppi dall'elenco dei risultati di ricerca. Puoi passare dalla scheda Utenti alla scheda Gruppi e viceversa.

  7. Dopo aver selezionato gli utenti e i gruppi da aggiungere allo Studio, scegli Add (Aggiungi). Dovresti visualizzare gli utenti e i gruppi nell'elenco Utenti dello Studio. Potrebbero essere necessari alcuni secondi prima che l'elenco venga aggiornato.

  8. Segui le istruzioni in Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio per perfezionare le autorizzazioni Studio per un utente o un gruppo.

Assegnazione di un utente o un gruppo a EMR Studio tramite la AWS CLI

Inserisci valori personalizzati per i seguenti argomenti create-studio-session-mapping. Per ulteriori informazioni sul comando create-studio-session-mapping, consulta la Guida di riferimento ai comandi della AWS CLI.

  • --studio-id: l'ID dello Studio a cui si desidera assegnare l'utente o il gruppo. Per ricevere istruzioni su come recuperare l'ID dello Studio, consulta Visualizzazione dei dettagli dello Studio.

  • --identity-name: il nome dell'utente o del gruppo dall'archivio identità. Per ulteriori informazioni, consulta UserNamela sezione dedicata agli utenti e DisplayNameai gruppi nell'Identity Store API Reference.

  • --identity-type: utilizza USER o GROUP per specificare il tipo di identità.

  • --session-policy-arn: il nome della risorsa Amazon (ARN) per la policy di sessione che desideri associare all'utente o al gruppo. Ad esempio, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Per ulteriori informazioni, consulta Creazione di policy di autorizzazione per gli utenti di EMR Studio.

aws emr create-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <example-identity-name> \ --identity-type <USER-or-GROUP> \ --session-policy-arn <example-session-policy-arn>
Nota

I caratteri di continuazione della riga Linux (\) sono inclusi per la leggibilità. Possono essere rimossi o utilizzati nei comandi Linux. Per Windows, rimuoverli o sostituirli con un accento circonflesso (^).

Utilizza il comando get-studio-session-mapping per verificare la nuova assegnazione. Sostituisci < example-identity-name > con il nome IAM Identity Center dell'utente o del gruppo che hai aggiornato.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio

IAM

Per aggiornare le autorizzazioni utente o di gruppo quando si utilizza la modalità di autenticazione IAM, utilizzare IAM per modificare le policy di autorizzazione IAM collegate alle identità IAM (utenti, gruppi o ruoli).

Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM.

IAM Identity Center
Aggiornamento delle autorizzazioni di EMR Studio per un utente o un gruppo mediante la console
  1. Passa alla nuova console Amazon EMR e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMR Studio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Nell'elenco Studio users (Utenti dello Studio) nella pagina dei dettagli dello Studio, cerca l'utente o il gruppo che desideri aggiornare. Puoi eseguire la ricerca per nome o tipo di identità.

  5. Seleziona l'utente o il gruppo che desideri aggiornare e scegli Assign policy (Assegna policy) per aprire la finestra di dialogo Session policy (Policy di sessione).

  6. Seleziona una policy da applicare all'utente o al gruppo scelto nella fase 5 e scegli Apply policy (Applica policy). L'elenco Utenti dello Studio dovrebbe mostrare il nome della policy nella colonna Policy di sessione per l'utente o il gruppo aggiornato.

Aggiornamento delle autorizzazioni di EMR Studio per un utente o un gruppo utilizzando AWS CLI

Inserisci valori personalizzati per i seguenti argomenti update-studio-session-mappings. Per ulteriori informazioni sul comando update-studio-session-mappings, consulta la Guida di riferimento ai comandi della AWS CLI.

aws emr update-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-name <name-of-user-or-group-to-update> \ --session-policy-arn <new-session-policy-arn-to-apply> \ --identity-type <USER-or-GROUP> \

Utilizza il comando get-studio-session-mapping per verificare la nuova assegnazione della policy di sessione. Sostituisci < example-identity-name > con il nome dell'IAM Identity Center dell'utente o del gruppo che hai aggiornato.

aws emr get-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <user-or-group-name> \

Rimozione di un utente o un gruppo da uno Studio

IAM

Per rimuovere un utente o un gruppo da EMR Studio quando si utilizza la modalità di autenticazione IAM, è necessario revocare l'accesso dell'utente a Studio riconfigurando la policy di autorizzazione IAM dell'utente.

Nella seguente policy di esempio, supponiamo che tu disponga di un EMR Studio con la coppia chiave-valore di tag Team = Quality Assurance. Secondo la policy, l'utente può accedere a Studio taggati con la chiave Team il cui valore è uguale a Data Analytics o Quality Assurance. Per rimuovere l'utente dallo Studio taggato con Team = Quality Assurance, rimuovi Quality Assurance dall'elenco dei valori dei tag.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] }
IAM Identity Center
Rimozione di un utente o un gruppo da un EMR Studio mediante la console
  1. Passa alla nuova console Amazon EMR e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli EMR Studio dalla barra di navigazione a sinistra.

  3. Scegli il nome del tuo Studio dal menu Studios (Studio) oppure seleziona lo Studio e scegli View details (Visualizza dettagli) per aprire la pagina dei dettagli dello Studio.

  4. Nell'elenco Studio users (Utenti dello Studio) nella pagina dei dettagli dello Studio, individua l'utente o il gruppo che desideri rimuovere dallo Studio. Puoi eseguire la ricerca per nome o tipo di identità.

  5. Seleziona l'utente o il gruppo che desideri eliminare, quindi scegli Delete (Elimina) e conferma. L'utente o il gruppo eliminato scompare dall'elenco Utenti dello Studio.

Rimozione di un utente o di un gruppo da un EMR Studio utilizzando AWS CLI

Inserisci valori personalizzati per i seguenti argomenti delete-studio-session-mapping. Per ulteriori informazioni sul comando delete-studio-session-mapping, consulta la Guida di riferimento ai comandi della AWS CLI.

aws emr delete-studio-session-mapping \ --studio-id <example-studio-id> \ --identity-type <USER-or-GROUP> \ --identity-name <name-of-user-or-group-to-delete> \