Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funziona Amazon EMR Studio
Amazon EMR Studio è una risorsa Amazon EMR creata per un team di utenti. Ogni Studio è un ambiente di sviluppo integrato autonomo basato sul Web per notebook Jupyter che vengono eseguiti su cluster Amazon EMR. Gli utenti registrano ad Studio utilizzando le proprie credenziali aziendali.
Ogni EMR Studio creato utilizza le seguenti risorse AWS:
-
Amazon Virtual Private Cloud (VPC) con sottoreti: gli utenti eseguono kernel e applicazioni Studio su Amazon EMR e Amazon EMR su cluster EKS nel VPC specificato. EMR Studio può connettersi a qualsiasi cluster nelle sottoreti specificate al momento della creazione dello Studio.
-
Ruoli IAM e policy di autorizzazione: per gestire le autorizzazioni utente, è possibile creare policy di autorizzazione IAM collegate all'identità IAM di un utente o a un ruolo utente. EMR Studio utilizza anche un ruolo di servizio IAM e gruppi di sicurezza per interagire con altri servizi AWS. Per ulteriori informazioni, consulta Controllo accessi e Definizione di gruppi di sicurezza per controllare il traffico di rete EMR Studio.
-
Gruppi di sicurezza: EMR Studio utilizza gruppi di sicurezza per stabilire un canale di rete sicuro tra Studio e un cluster EMR.
-
Una posizione di backup di Amazon S3: EMR Studio salva il lavoro del notebook in una posizione Amazon S3.
Nelle fasi seguenti viene descritto come creare e amministrare un EMR Studio:
-
Crea uno Studio nel tuo Account AWS con l'autenticazione IAM o IAM Identity Center. Per istruzioni, consultare Configurazione di un Amazon EMR Studio.
-
Assegnazione di utenti e gruppi a Studio Utilizza le policy di autorizzazione per impostare autorizzazioni granulari per ogni utente. Per ulteriori informazioni, consulta l'argomento Assegnazione e gestione degli utenti di EMR Studio.
-
Inizia a monitorare le azioni di EMR Studio con eventi AWS CloudTrail. Per ulteriori informazioni, consulta Monitoraggio delle operazioni di Amazon EMR Studio.
-
Fornisci più opzioni di cluster agli utenti di Studio con modelli cluster e Amazon EMR su endpoint gestiti EKS.
Autenticazione e accesso utente
Amazon EMR Studio supporta due modalità di autenticazione: la modalità di autenticazione IAM e la modalità di autenticazione IAM Identity Center. La modalità IAM utilizza AWS Identity and Access Management (IAM), mentre la modalità IAM Identity Center utilizza AWS IAM Identity Center. Quando crei un EMR Studio, scegli la modalità di autenticazione per tutti gli utenti di tale Studio.
Modalità di autenticazione IAM
Con la modalità di autenticazione IAM, è possibile utilizzare l'autenticazione IAM o la federazione IAM.
L'autenticazione IAM consente di gestire le identità IAM come utenti, gruppi e ruoli in IAM. Concedi agli utenti l'accesso a uno Studio con policy di autorizzazione IAM e controllo dell'accesso basato su attributi (ABAC).
La federazione IAM consente di stabilire la fiducia tra un gestore dell'identità digitale (IdP) di terze parti eAWS in modo da poter gestire le identità utente tramite il tuo IdP.
Modalità di autenticazione IAM Identity Center
La modalità di autenticazione IAM Identity Center consente agli utenti federati di accedere a un EMR Studio. È possibile utilizzare IAM Identity Center per l'autenticazione di utenti e gruppi della directory IAM Identity Center, della directory aziendale esistente o di un gestore dell'identità digitale (IdP) esterno come Azure Active Directory (AD). Quindi gestisci gli utenti con il provider di identità (IdP).
EMR Studio supporta l'uso dei seguenti gestori dell'identità digitale per IAM Identity Center:
-
Active Directory AWS Managed Microsoft AD e autogestita: per ulteriori informazioni, consulta Connessione alla directory Microsoft AD.
-
Provider basati su SAML: per un elenco completo, consulta Provider di identità supportati.
-
La directory di IAM Identity Center: per ulteriori informazioni, consulta la sezione Manage identities in IAM Identity Center e Trusted identity propagation across applications nella Guida per l'utente di AWS IAM Identity Center.
In che modo l'autenticazione influisce sull'accesso e sull'assegnazione dell'utente
La modalità di autenticazione scelta per Amazon EMR Studio influisce sul modo in cui gli utenti accedono a uno Studio, sul modo in cui assegni un utente a uno Studio e sul modo in cui l'utente autorizza gli utenti (concede loro autorizzazioni) per eseguire operazioni come la creazione di nuovi cluster Amazon EMR.
Nella tabella seguente vengono riepilogati i metodi di accesso per EMR Studio in base alla modalità di autenticazione.
Opzioni di accesso a EMR Studio secondo la modalità di autenticazione | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Modalità di autenticazione | Metodo di accesso | Description | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
URL di EMR Studio |
Gli utenti accedono a uno Studio utilizzando l'URL di accesso allo Studio. Ad esempio, Gli utenti immettono le credenziali IAM quando si utilizza l'autenticazione IAM. Quando utilizzi la federazione IAM o IAM Identity Center, EMR Studio reindirizza gli utenti all'URL di accesso del gestore dell'identità digitale per inserire le credenziali. Nel contesto della federazione delle identità, questa opzione di accesso è chiamata l'accesso avviato dal Service Provider (SP). |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Portale del provider di identità (IdP) |
Gli utenti accedono al portale del provider di identità, ad esempio il portale di Azure e avviano la console Amazon EMR. Dopo aver avviato la console Amazon EMR, gli utenti selezionano e aprono uno Studio dal Elenco degli Studio. È inoltre possibile configurare EMR Studio come applicazione SAML in modo che gli utenti possano accedere a uno Studio specifico dal portale del provider di identità. Per istruzioni, consulta Per configurare un EMR Studio come applicazione SAML nel portale IdP. Nel contesto della federazione delle identità, questa opzione di accesso è chiamata accesso avviato dal provider di identità (IdP). |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
AWS Management Console | Gli utenti accedono alla AWS Management Console utilizzando le credenziali IAM e apri uno Studio dal Elenco degli Studio nella console Amazon EMR. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
La tabella seguente illustra l'assegnazione e l'autorizzazione dell'utente per EMR Studio in base alla modalità di autenticazione.
Assegnazione e autorizzazione utente di EMR Studio secondo la modalità di autenticazione | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Modalità di autenticazione | Assegnazione dell'utente | Autorizzazione dell'utente | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
IAM (autenticazione e federazione) |
Consenti l'operazione Per gli utenti federati, consenti l'operazione Utilizzare il controllo di accesso basato su attributi (ABAC) per specificare lo Studio o gli studi a cui l'utente può accedere. Per istruzioni, consultare Assegnare un utente o un gruppo a un EMR Studio. |
Definire le policy di autorizzazione IAM che consentono determinate azioni di EMR Studio. Per gli utenti nativi, collega la policy di autorizzazione IAM a un'identità IAM (utente, gruppo o ruolo). Per gli utenti federati, consenti le operazioni di Studio nel policy di autorizzazione configurata per il ruolo IAM utilizzato per la federazione. Per ulteriori informazioni, consulta Configurazione delle autorizzazioni utente di EMR Studio per Amazon EC2 o Amazon EKS. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM Identity Center |
Per gli Studio creati con Per gli Studio creati con |
Facoltativo: definire le policy di sessione IAM che consentono alcune operazioni di EMR Studio. Mappare una policy di sessione a un utente quando si assegna l'utente a un Studio. Per ulteriori informazioni, consulta Autorizzazioni utente per la modalità di autenticazione IAM Identity Center. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Controllo accessi
In Amazon EMR Studio, configuri l'autorizzazione utente (autorizzazioni) con policy basate su identitàAWS Identity and Access Management (IAM). In queste policy basate su identità, specificare quali operazioni e risorse sono consentite, nonché le condizioni in base alle quali le operazioni sono consentite.
Autorizzazioni utente per la modalità di autenticazione IAM
Per impostare le autorizzazioni utente quando si utilizza l'autenticazione IAM per EMR Studio, è possibile consentire operazioni come elasticmapreduce:RunJobFlow in una policy di autorizzazione IAM. Puoi creare una o più policy di autorizzazione da utilizzare. Ad esempio, è possibile creare una policy di base che non consente a un utente di creare nuovi cluster Amazon EMR e un'altra policy che consente la creazione di cluster. Per un elenco di tutte le operazioni di Studio, consulta Autorizzazioni AWS Identity and Access Management per gli utenti di EMR Studio.
Autorizzazioni utente per la modalità di autenticazione IAM Identity Center
Quando utilizzi l'autenticazione IAM Identity Center, crei un singolo ruolo utente di EMR Studio. Il ruolo utente è un ruolo IAM dedicato che uno Studio assume quando un utente accede.
Aallegare le policy di sessione IAM al ruolo utente di EMR Studio. Un policy di sessione è un tipo speciale di policy di autorizzazione IAM che limita ciò che un utente federato può fare durante una sessione di accesso a Studio. Le policy di sessione consentono di impostare autorizzazioni specifiche per un utente o un gruppo senza la necessità di creare più ruoli utente per EMR Studio.
Durante l'assegnazione di utenti e gruppi allo Studio, potrai mappare una policy di sessione a tale utente o gruppo per applicare le autorizzazione granulari. Potrai inoltre aggiornare la policy di sessione utente o un gruppo in qualsiasi momento. Amazon EMR archivia ogni mappatura delle policy di sessione che hai creato.
Per ulteriori informazioni sulle policy di sessione, consulta Policy e autorizzazioni nella Guida per l'utente di AWS Identity and Access Management.
WorkSpace
I WorkSpace sono gli elementi costitutivi principali di Amazon EMR Studio. Per organizzare i notebook, gli utenti creano uno o più istanze WorkSpace in uno Studio. Per ulteriori informazioni, consulta Informazioni sulle nozioni di base di WorkSpace.
Simile alle istanze WorkSpace in JupyterLab
L'elenco seguente include le caratteristiche principali di EMR Studio WorkSpaces:
-
La visibilità del WorkSpace è basata sullo Studio. Le istanze WorkSpace creati in uno Studio non sono visibili in altri Studio.
-
Per impostazione predefinita, un WorkSpace è condiviso e può essere visualizzato da tutti gli utenti di Studio. Tuttavia, solo un utente alla volta può aprire e lavorare in un WorkSpace. Lavorare contemporaneamente con altri utenti è possibile con Configurazione della collaborazione di WorkSpace
-
È possibile collaborare contemporaneamente con altri utenti in un WorkSpace quando si abilita la collaborazione di WorkSpace. Per ulteriori informazioni, consulta Configurazione della collaborazione di WorkSpace.
-
I notebook in un WorkSpace condividono lo stesso cluster EMR per eseguire i comandi. Puoi collegare un'istanza WorkSpace a un cluster Amazon EMR in esecuzione su Amazon EC2 o a un cluster virtuale Amazon EMR su EKS e endpoint gestito.
-
I WorkSpace possono passare a un'altra zona di disponibilità associata alle sottoreti di uno Studio. È possibile arrestare e riavviare un WorkSpace per richiedere il processo di failover. Quando si riavvia un WorkSpace, EMR Studio avvia il WorkSpace in una zona di disponibilità diversa nel VPC di Studio quando Studio è configurato con l'accesso a più zone di disponibilità. Se Studio dispone di una sola zona di disponibilità, EMR Studio tenta di avviare il workspace in una sottorete diversa. Per ulteriori informazioni, consulta Risolvi i problemi di connettività di WorkSpace.
-
Un workspace può connettersi a cluster in una qualsiasi delle sottoreti associate a uno Studio.
Per ulteriori informazioni sulla creazione e configurazione di WorkSpace EMR Studio, consulta Informazioni sulle nozioni di base di WorkSpace.
Archiviazione di notebook in Amazon EMR Studio
Quando utilizzi un'istanza WorkSpace, EMR Studio salva automaticamente le celle nei file notebook ad una cadenza regolare al posizione Amazon S3 associato al tuo Studio. Questo processo di backup mantiene il lavoro tra le sessioni in modo da poter tornare in un secondo momento senza commettere modifiche a un repository Git. Per ulteriori informazioni, consulta Salvataggio del contenuto del WorkSpace.
Quando elimini un file notebook da un WorkSpace, EMR Studio elimina automaticamente la versione di backup da Amazon S3. Tuttavia, se elimini un'istanza WorkSpace senza prima eliminare i file notebook, i file notebook rimangono in Amazon S3 e continuano ad addebitare costi di archiviazione. Per ulteriori informazioni, consulta Eliminazione dei file di un'istanza WorkSpace e di un notebook.
