EMR Studio ユーザーの割り当てと管理

EMR Studio を作成したら、その Studio にユーザーとグループを割り当てることができます。ユーザーの割り当て、更新、削除に使用する方法は、Studio 認証モードによって異なります。

• IAM 認証モードを使用する場合、IAM または IAM と ID プロバイダーで EMR Studio ユーザーの割り当てとアクセス許可を設定します。

• IAM Identity Center 認証モードでは、Amazon EMR マネジメントコンソールまたは AWS CLI を使用してユーザーを管理します。

Amazon EMR Studio の認証の詳細については、「Amazon EMR Studio の認証モードの選択」を参照してください。

EMR Studio にユーザーまたはグループを割り当てる

IAM

「Amazon EMR Studio の IAM 認証モードの設定」を行う際に、ユーザーの IAM アクセス許可ポリシーで CreateStudioPresignedUrl アクションを許可し、ユーザーを特定の Studio に制限する必要があります。IAM 認証モードのユーザーアクセス許可 に CreateStudioPresignedUrl を含めるか、別のポリシーを使用できます。

ユーザーを特定の Studio (または Studio のセット) に制限するには、属性ベースのアクセスコントロール (ABAC) を使用するか、Studio の Amazon リソースネーム (ARN) をアクセス許可ポリシーの Resource 要素で指定できます。

例 Studio ARN を使用してユーザーを Studio に割り当てる

次のポリシー例では、CreateStudioPresignedUrl アクションを許可し、Resource 要素に Studio の Amazon リソースネーム (ARN) を指定することで、ユーザーに特定の EMR Studio へのアクセス権を付与しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}

例 IAM 認証用に ABAC を使用して Studio にユーザーを割り当てる

Studio の属性ベースアクセスコントロール (ABAC) を設定する方法は複数あります。例えば、EMR Studio に 1 つ以上のタグをアタッチし、CreateStudioPresignedUrl アクションを、それらのタグを持つ特定の Studio または Studio のセットに制限する IAM ポリシーを作成できます。

Studio の作成中または作成後にタグを追加できます。タグを既存の Studio に追加するには、AWS CLIemr add-tags コマンドを使用します。次の例では、キーと値のペア Team = Data Analytics を持つタグを EMR Studio に追加します。

aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

次のアクセス許可ポリシー例では、タグのキーと値のペア Team = DataAnalytics を持つ EMR Studio に対して CreateStudioPresignedUrl アクションを許可しています。タグを使用したアクセス制御の詳細については、「タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」または「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}

例 aws:SourceIdentity グローバル条件キーを使用してユーザーを Studio に割り当てる

IAM フェデレーションを使用する場合、アクセス許可ポリシーでグローバル条件キー aws:SourceIdentity を使用して、フェデレーションの IAM ロールを引き受けるときに Studio へのアクセス権をユーザーに付与できます。

まず、ユーザーが認証してフェデレーションの IAM ロールを引き受けるときに、E メールアドレスやユーザー名などの識別文字列を返すように ID プロバイダー (IdP) を設定する必要があります。IAM は、グローバル条件キー aws:SourceIdentity を IdP から返された識別文字列に設定します

詳細については、 AWS Security Blog のブログ投稿「How to relate IAM role activity to corporate identity」およびグローバル条件キーのリファレンスの Aaws:SourceIdentity エントリを参照してください。

次のポリシーの例では、CreateStudioPresignedUrl アクションを許可し、<example-source-identity> と一致する aws:SourceIdentity を持つユーザーに <example-studio-arn> で指定された EMR Studio へのアクセス権を付与しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}

IAM Identity Center

ユーザーまたはグループを EMR Studio に割り当てるときは、そのユーザーまたはグループに対して、新しい EMR クラスターを作成する機能など、きめ細かいアクセス許可を定義するセッションポリシーを指定します。Amazon EMR では、これらのセッションポリシーマッピングが保存されます。ユーザーまたはグループのセッションポリシーは、割り当て後に更新できます。

注記

ユーザーまたはグループの最終的なアクセス許可は、EMR Studio ユーザーロールで定義されたアクセス許可と、そのユーザーまたはグループのセッションポリシーで定義されているアクセス許可の共通部分です。ユーザーが Studio に割り当てられた複数のグループに属している場合、EMR Studio はそのユーザーに対してアクセス許可の和集合を使用します。

Amazon EMR コンソールを使用して EMR Studio にユーザーまたはグループを割り当てるには

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから [古いコンソールに切り替え] を選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

2. 左のナビゲーションから [EMR Studio] を選択します。

3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

4. [Add Users] (ユーザーの追加) を選択して、[Users] (ユーザー) および [Groups] (グループ) 検索テーブルを表示します。

5. [Users] (ユーザー) タブまたは [Groups] (グループ) タブを選択し、検索バーに検索語を入力して、ユーザーまたはグループを検索します。

6. 検索結果リストから 1 つ以上のユーザーまたはグループを選択します。[Users] (ユーザー) タブと [Groups] (グループ) タブを切り替えることができます。

7. Studio に追加するユーザーおよびグループを選択したら、[Add] (追加) を選択します。ユーザーとグループが [Studio users] (Studio ユーザー) リストに表示されます。リストが更新されるまでに数秒かかることがあります。

8. 「Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する」の指示に従って、ユーザーまたはグループの Studio アクセス許可を絞り込みます。

AWS CLIを使用して EMR Studio にユーザーまたはグループを割り当てるには

次の create-studio-session-mapping 引数に独自の値を挿入します。create-studio-session-mapping コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

• --studio-id - ユーザーまたはグループを割り当てる Studio の ID。Studio ID を取得する方法の手順については、「Studio の詳細の表示」を参照してください。

• --identity-name - ID ストアからのユーザーまたはグループの名前。詳細については、「 ID ストア API リファレンス」のユーザーの「UserName」およびグループの「DisplayName」を参照してください。

• --identity-type - USER または GROUP のいずれかを使用して、ID タイプを指定します。

• --session-policy-arn - ユーザーまたはグループに関連付けるセッションポリシーの Amazon リソースネーム (ARN)。例えば、arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy と指定します。詳細については、「EMR Studio ユーザーのアクセス許可ポリシーの作成」を参照してください。

aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>

注記

読みやすくするために、Linux 行連続文字 (\) が含まれています。Linux コマンドでは、これらは削除することも、使用することもできます。Windows の場合、削除するか、キャレット (^) に置き換えてください。

get-studio-session-mapping コマンドを使用して、新しい割り当てを確認します。<example-identity-name> は、更新したユーザーまたはグループの IAM Identity Center 名に置き換えてください。

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する

IAM

IAM 認証モードを使用するときにユーザーまたはグループのアクセス許可を更新するには、IAM を使用して IAM ID (ユーザー、グループ、またはロール) にアタッチされた IAM アクセス許可ポリシーを変更します。

詳細については、「IAM 認証モードのユーザーアクセス許可」を参照してください。

IAM Identity Center

コンソールを使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから [古いコンソールに切り替え] を選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

2. 左のナビゲーションから [EMR Studio] を選択します。

3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

4. Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、更新するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

5. 更新対象のユーザーまたはグループを選択し、[Assign policy] (ポリシーの割り当て) を選択して [Session policy] (セッションポリシー) ダイアログボックスを開きます。

6. 手順 5 で選択したユーザーまたはグループに適用するポリシーを選択し、[Apply policy] (ポリシーを適用) を選択します。[Studio users] (Studio ユーザー) リストでは、更新したユーザーまたはグループの [Session policy] (セッションポリシー) 列にポリシー名が表示されます。

を使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには AWS CLI

次の update-studio-session-mappings 引数に独自の値を挿入します。update-studio-session-mappings コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

get-studio-session-mapping コマンドを使用して、新しいセッションポリシーの割り当てを確認します。<example-identity-name> は、更新したユーザーまたはグループの IAM Identity Center 名に置き換えてください。

aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Studio からユーザーまたはグループを削除する

IAM

IAM 認証モードを使用するときに EMR Studio からユーザーまたはグループを削除するには、ユーザーの IAM アクセス許可ポリシーを再構成して、Studio へのユーザーのアクセスを取り消す必要があります。

次のポリシーの例では、タグのキーと値のペア Team = Quality Assurance を持つ EMR Studio があると仮定します。ポリシーに従って、ユーザーは、値が Data Analytics または Quality Assurance のいずれかに等しい Team キーでタグ付けされた Studio にアクセスできます。Team = Quality Assurance でタグ付けされた Studio からユーザーを削除するには、タグ値のリストから Quality Assurance を削除します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}

IAM Identity Center

コンソールを使用して EMR Studio からユーザーまたはグループを削除するには

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから [古いコンソールに切り替え] を選択します。古いコンソールに切り替えたときの動作の詳細については、「Using the old console」を参照してください。

2. 左のナビゲーションから [EMR Studio] を選択します。

3. Studio 名を [Studios] (Studio) リストから選択するか、Studio を選択して[View details] (詳細を表示) を選択して、Studio の詳細ページを開きます。

4. Studio の詳細ページの [Studio users] (Studio ユーザー) リストで、Studio から削除するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

5. 削除するユーザーまたはグループを選択し、[Delete] (削除) を選択して確認します。削除したユーザーまたはグループが、[Studio users] (Studio ユーザー) リストに表示されなくなります。

AWS CLIを使用して EMR Studio からユーザーまたはグループを削除するには

次の delete-studio-session-mapping 引数に独自の値を挿入します。delete-studio-session-mapping コマンドの詳細については、「AWS CLI Command Reference」を参照してください。

aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \