Amazon EMR Studio の認証モードを選択する

EMR Studio は、認証モードと IAM Identity Center IAM認証モードの 2 つの認証モードをサポートしています。IAM モードはを使用します AWS Identity and Access Management （IAM）、IAMIdentity Center モードはを使用します AWS IAM Identity Center。 EMR Studio を作成するときは、その Studio のすべてのユーザーの認証モードを選択します。各種認証モードの詳細については、「認証とユーザーログイン」を参照してください。

Studio の認証モードを選択するには、次の表を使用しますEMR。

状況	推奨設定
IAM 認証またはフェデレーションを既に理解しているか、以前にセットアップしたことがある	IAM 認証モード。以下のような利点があります。でユーザーやグループなどの ID を既に管理している場合に EMR Studio のクイックセットアップを提供しますIAM。 OpenID Connect (OIDC) または Security Assertion Markup Language 2.0 (SAML 2.0) と互換性のある ID プロバイダーで動作します。同じで複数の ID プロバイダーの使用をサポート AWS アカウント. 多数ので利用可能 AWS リージョン. 2 SOC に準拠しています。
への新規 AWS または Amazon EMR	IAM Identity Center 認証モード。次の特長があります。へのユーザーとグループの簡単な割り当てをサポート AWS リソースの使用料金を見積もることができます。 Microsoft Active Directory および 2.0 ID SAML プロバイダーと連携します。マルチアカウントフェデレーションの設定を容易にするため、フェデレーションをごとに個別に設定する必要はありません。 AWS アカウント組織内の。

状況

推奨設定

IAM 認証またはフェデレーションを既に理解しているか、以前にセットアップしたことがある

IAM 認証モード。以下のような利点があります。

でユーザーやグループなどの ID を既に管理している場合に EMR Studio のクイックセットアップを提供しますIAM。
OpenID Connect (OIDC) または Security Assertion Markup Language 2.0 (SAML 2.0) と互換性のある ID プロバイダーで動作します。
同じで複数の ID プロバイダーの使用をサポート AWS アカウント.
多数ので利用可能 AWS リージョン.
2 SOC に準拠しています。

への新規 AWS または Amazon EMR

IAM Identity Center 認証モード。次の特長があります。

へのユーザーとグループの簡単な割り当てをサポート AWS リソースの使用料金を見積もることができます。
Microsoft Active Directory および 2.0 ID SAML プロバイダーと連携します。
マルチアカウントフェデレーションの設定を容易にするため、フェデレーションをごとに個別に設定する必要はありません。 AWS アカウント組織内の。

Amazon EMR Studio のIAM認証モードを設定する

IAM 認証モードでは、IAM認証またはIAMフェデレーションを使用できます。IAM 認証では、 IAM のユーザー、グループ、ロールなどの ID を管理できますIAM。アクセスIAM許可ポリシーと属性ベースのアクセスコントロール (ABAC) を使用して Studio へのアクセスをユーザーに付与します。IAM フェデレーションを使用すると、サードパーティー ID プロバイダー (IdP) との間の信頼を確立できます。 AWS IdP を介してユーザー ID を管理できるようにします。

注記

を既に使用IAMしてへのアクセスをコントロールしている場合 AWS リソース、またはの ID プロバイダー (IdP) を既に設定している場合はIAM、EMR「」を参照して Studio のIAM認証モードを使用するときにユーザーアクセス許可IAM 認証モードのユーザーアクセス許可を設定します。

Amazon EMR Studio のIAMフェデレーションを使用する

EMR Studio のIAMフェデレーションを使用するには、の間に信頼関係を作成します。 AWS アカウントと ID プロバイダー (IdP) を使用し、フェデレーティッドユーザーがにアクセスできるようにします。 AWS Management Console。この信頼関係を作成する手順は、IdP のフェデレーション標準によって異なります。

一般に、外部 IdP とのフェデレーションを設定するには、次のタスクを実行します。詳細な手順については、「2.0 SAML フェデレーティッドユーザーのへのアクセスの有効化」を参照してください。 AWS Management Console およびへのカスタム ID ブローカーアクセスの有効化 AWS Management Console ()AWS Identity and Access Management ユーザーガイド。

IdP から情報を収集します。これは通常、IdP からのSAML認証リクエストを検証するためのメタデータドキュメントを生成することを意味します。
ID プロバイダーIAMエンティティを作成して、IdP に関する情報を保存します。手順については、IAM「ID プロバイダーの作成」を参照してください。
IdP の 1 つ以上のIAMロールを作成します。EMR Studio は、ユーザーがログインしたときにフェデレーティッドユーザーにロールを割り当てます。このロールは、IdP がにアクセスするための一時的なセキュリティ認証情報をリクエストすることを許可します。 AWS。手順については、「サードパーティー ID プロバイダーのロールの作成 (フェデレーション）」を参照してください。ロールに割り当てるアクセス許可ポリシーによって、フェデレーティッドユーザーがで実行できる操作が決まります。 AWS EMR Studio のおよび。詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。
（SAMLプロバイダーの場合) IdP にに関する情報を設定してSAML信頼を完了します。 AWS およびフェデレーティッドユーザーが引き受けるロール。この設定プロセスにより、IdP との間に証明書利用者の信頼が作成されます。 AWS。詳細については、「証明書利用者の信頼を使用した SAML 2.0 IdP の設定」および「クレームの追加」を参照してください。

IdP ポータルで EMR Studio をSAMLアプリケーションとして設定するには

EMR Studio へのディープリンクを使用して、特定の Studio をSAMLアプリケーションとして設定できます。これにより、ユーザーは Amazon EMRコンソールをナビゲートするのではなく、IdP ポータルにログインして特定の Studio を起動できます。

アSAMLサーション検証URL後のランディングとして EMR Studio へのディープリンクを設定するには、次の形式を使用します。
```
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
```

Amazon EMR Studio の IAM Identity Center 認証モードを設定する

準備するには AWS IAM Identity Center EMR Studio の場合は、ID ソースを設定し、ユーザーとグループをプロビジョニングする必要があります。プロビジョニングとは、Identity Center および IAM Identity IAM Center を使用するアプリケーションがユーザーおよびグループの情報を使用できるようにするプロセスです。詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

EMR Studio では、Identity Center に次の IAM ID プロバイダーの使用がサポートされています。

AWS Managed Microsoft AD およびセルフマネージド Active Directory – 詳細については、「Microsoft AD ディレクトリに接続する」を参照してください。
SAMLベースのプロバイダー – 詳細なリストについては、「サポートされている ID プロバイダー」を参照してください。
Identity Center ディレクトリ – 詳細については、IAM「Identity Center での ID の管理IAM」を参照してください。

IAM Identity Center for EMR Studio をセットアップするには

IAM Identity Center for EMR Studio を設定するには、以下が必要です。
- の管理アカウント AWS 組織内で複数のアカウントを使用している場合は、組織。
  
  注記
  管理アカウントは、IAMIdentity Center を有効にし、ユーザーとグループをプロビジョニングする場合にのみ使用してください。IAM Identity Center を設定したら、メンバーアカウントを使用して EMR Studio を作成し、ユーザーとグループを割り当てます。詳細を確認するトピック AWS の用語については、「」を参照してください。 AWS Organizations の用語と概念。
- 2019 年 11 月 25 日より前に IAM Identity Center を有効にした場合は、のアカウントで IAM Identity Center を使用するアプリケーションを有効にする必要がある場合があります。 AWS 組織。詳細については、「で IAM Identity Center 統合アプリケーションを有効にする」を参照してください。 AWS アカウント。
- IAM Identity Center の前提条件ページに記載されている前提条件があることを確認してください。
のIAM「アイデンティティセンターを有効にする」の手順に従ってIAM、アイデンティティセンターを有効にします。 AWS リージョン EMR Studio を作成する場所。

IAM Identity Center を ID プロバイダーに接続し、Studio に割り当てるユーザーとグループをプロビジョニングします。

使用するもの	手順
Microsoft AD ディレクトリ	「Microsoft AD ディレクトリに接続する」の手順に従って、セルフマネージド Active Directory または AWS Managed Microsoft AD を使用したディレクトリ AWS Directory Service. IAM Identity Center のユーザーとグループをプロビジョニングするには、ソース AD から Identity Center に IAM ID データを同期できます。ソース AD の ID をさまざまな方法で同期できます。1 つの方法は、AD ユーザーまたはグループをに割り当てることです。 AWS 組織内のアカウント。手順については、「Single sign-on」を参照してください。同期には最大 2 時間かかることがあります。このステップを完了すると、同期されたユーザーとグループが ID ストアに表示されます。注記ユーザーとグループは、ユーザーとグループの情報を同期するか just-in-time 、 (JIT) ユーザープロビジョニングを使用するまで、Identity Store に表示されません。詳細については、「Provisioning when users come from Active Directory」を参照してください。（オプション) AD ユーザーとグループを同期したら、へのアクセスを削除できます。 AWS 前のステップで設定したアカウント。手順については、「ユーザーアクセスを削除する」を参照してください。
外部 ID プロバイダー	「Connect to your external identity provider」の指示に従います。
IAM Identity Center ディレクトリ	IAM Identity Center でユーザーとグループを作成すると、プロビジョニングは自動的に行われます。詳細については、「Identity Center での IAM ID の管理」を参照してください。

Identity Store から EMR Studio にユーザーとグループを割り当てることができるようになりました。手順については、ユーザーまたはグループを EMR Studio に割り当てるを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon EMR Studio のセットアップ

EMR Studio サービスロールを作成する