기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EMR Studio 사용자 할당 및 관리
EMR Studio를 생성한 후 사용자와 그룹을 할당할 수 있습니다. 사용자를 할당, 업데이트 및 제거하는 데 사용하는 방법은 Studio 인증 모드에 따라 다릅니다.
-
IAM 인증 모드를 사용하는 경우 및 자격 증명 공급자와 함께 IAM 또는 에서 EMR Studio 사용자 할당 IAM 및 권한을 구성합니다.
-
IAM Identity Center 인증 모드에서는 Amazon EMR 관리 콘솔 또는 를 사용하여 사용자를 AWS CLI 관리합니다.
Amazon EMR Studio 인증에 대한 자세한 내용은 섹션을 참조하세요Amazon EMR Studio의 인증 모드 선택.
EMR Studio에 사용자 또는 그룹 할당
- IAM
-
를 사용하는 경우 사용자의 IAM 권한 정책에서
CreateStudioPresignedUrl작업을 허용하고 사용자를 특정 Studio로 제한해야 Amazon EMR Studio에 대한 IAM 인증 모드 설정합니다. IAM 인증 모드의 사용자 권한에서CreateStudioPresignedUrl을 포함하거나 별도의 정책을 사용할 수 있습니다.사용자를 Studio(또는 스튜디오 세트)로 제한하려면 속성 기반 액세스 제어(ABAC)를 사용하거나 권한 정책의
Resource요소에 Studio의 Amazon 리소스 이름(ARN)을 지정할 수 있습니다.예 Studio를 사용하여 Studio에 사용자 할당 ARN
다음 예제 정책은
CreateStudioPresignedUrl작업을 허용하고Resource요소에 EMR Studio의 Amazon 리소스 이름(ARN)을 지정하여 사용자에게 특정 Studio에 대한 액세스 권한을 부여합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>" } ] }예 IAM 인증을 위해 를 사용하여 StudioABAC에 사용자 할당
Studio에 대한 속성 기반 액세스 제어(ABAC)를 구성하는 방법은 여러 가지가 있습니다. 예를 들어 EMR Studio에 하나 이상의 태그를 연결한 다음 해당 태그를 사용하여
CreateStudioPresignedUrl작업을 특정 Studio 또는 스튜디오 세트로 제한하는 IAM 정책을 생성할 수 있습니다.Studio 생성 중 또는 이후에 태그를 추가할 수 있습니다. 기존 Studio에 태그를 추가하려면 AWS CLI
emr add-tags명령을 사용합니다. 다음 예제에서는 키-값 페어가 있는 태그를 EMR Studio Team = Data Analytics에 추가합니다.aws emr add-tags --resource-id<example-studio-id>--tags Team="Data Analytics"다음 예제 권한 정책은 태그 키-값 페어 를 사용하여 EMR 스튜디오에 대한
CreateStudioPresignedUrl작업을 허용합니다Team = DataAnalytics. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 사용자 및 역할에 대한 액세스 제어 및 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "elasticmapreduce:ResourceTag/Team": "Data Analytics" } } } ] }예 aws:SourceIdentity global 조건 키를 사용하여 Studio에 사용자 할당
IAM 페더레이션을 사용하는 경우 권한 정책의 전역 조건 키를 사용하여 사용자에게 페더레이션
aws:SourceIdentity을 위한 IAM 역할을 수임할 때 Studio 액세스 권한을 부여할 수 있습니다.사용자가 페더레이션을 위해 IAM 역할을 인증하고 수임할 때 이메일 주소 또는 사용자 이름과 같은 식별 문자열을 반환하도록 자격 증명 공급자(IdP )를 먼저 구성해야 합니다. IAM 는 전역 조건 키를 IdP 에서 반환한 식별 문자열
aws:SourceIdentity로 설정합니다.자세한 내용은 Security Blog의 회사 자격 증명 블로그 게시물과 IAM 역할 활동을 연결하는 방법
및 글로벌 조건 키 참조의 aws:SourceIdentity 항목을 참조하세요. AWS 다음 예제 정책은
CreateStudioPresignedUrl작업을 허용하고 사용자에게aws:SourceIdentity<example-source-identity>에서 지정한 EMR Studio에 대한 액세스<example-studio-arn>.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "elasticmapreduce:CreateStudioPresignedUrl", "Resource": "<example-studio-arn>", "Condition": { "StringLike": { "aws:SourceIdentity": "<example-source-identity>" } } } ] } - IAM Identity Center
-
EMR Studio에 사용자 또는 그룹을 할당할 때 해당 사용자 또는 그룹에 대해 새 EMR 클러스터를 생성하는 기능과 같이 세분화된 권한을 정의하는 세션 정책을 지정합니다. Amazon은 이러한 세션 정책 매핑을 EMR 저장합니다. 할당 후 사용자 또는 그룹의 세션 정책을 업데이트할 수 있습니다.
참고
사용자 또는 그룹에 대한 최종 권한은 EMR Studio 사용자 역할에 정의된 권한과 해당 사용자 또는 그룹에 대한 세션 정책에 정의된 권한의 교차점입니다. 사용자가 Studio에 할당된 둘 이상의 그룹에 속하는 경우 EMR Studio는 해당 사용자에 대한 권한 조합을 사용합니다.
Amazon EMR 콘솔을 사용하여 EMR Studio에 사용자 또는 그룹을 할당하려면
새 Amazon EMR 콘솔로 이동하여 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색에서 EMR Studio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
사용자 추가를 선택하여 사용자 및 그룹 검색 테이블을 확인합니다.
-
사용자 탭 또는 그룹 탭을 선택하고 검색 표시줄에 검색어를 입력하여 사용자 또는 그룹을 찾습니다.
-
검색 결과 목록에서 사용자 또는 그룹을 하나 이상 선택합니다. 사용자 탭과 그룹 탭 사이를 전환할 수 있습니다.
-
Studio에 추가할 사용자 및 그룹을 선택한 후 추가를 선택합니다. Studio 사용자 목록에 사용자와 그룹이 표시됩니다. 목록을 새로 고치는 데 몇 초가 걸릴 수 있습니다.
-
Studio에 할당된 사용자 또는 그룹의 권한 업데이트의 지침에 따라 사용자 또는 그룹의 Studio 권한을 세분화합니다.
를 사용하여 EMR Studio에 사용자 또는 그룹을 할당하려면 AWS CLI
다음
create-studio-session-mapping인수에 고유한 값을 입력합니다.create-studio-session-mapping명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.-
--studio-id- 사용자 또는 그룹을 할당하려는 Studio의 ID. Studio ID를 검색하는 방법에 관한 지침은 Studio 세부 정보 보기 섹션을 참조하세요. -
--identity-name- 자격 증명 저장소의 사용자 또는 그룹 이름. 자세한 내용은 Identity Store API 참조 의 UserName 사용자 DisplayName 및 그룹 섹션을 참조하세요. -
--identity-type-USER또는GROUP중 하나를 사용하여 자격 증명 유형을 지정합니다. -
--session-policy-arn- 사용자 또는 그룹과 연결하려는 세션 정책의 Amazon 리소스 이름(ARN)입니다. 예:arn:aws:iam::. 자세한 내용은 EMR Studio 사용자를 위한 권한 정책 생성 단원을 참조하십시오.<aws-account-id>:policy/EMRStudio_Advanced_User_Policy
aws emr create-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-name<example-identity-name>\ --identity-type<USER-or-GROUP>\ --session-policy-arn<example-session-policy-arn>참고
가독성을 위해 Linux 줄 연속 문자(\)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.
get-studio-session-mapping명령을 사용하여 새 할당을 확인합니다. Replace<example-identity-name>업데이트한 사용자 또는 그룹의 IAM Identity Center 이름을 사용합니다.aws emr get-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<user-or-group-name>\
Studio에 할당된 사용자 또는 그룹의 권한 업데이트
- IAM
-
IAM 인증 모드를 사용할 때 사용자 또는 그룹 권한을 업데이트하려면 IAM IAM를 사용하여 자격 증명(사용자, 그룹 또는 역할)에 연결된 IAM 권한 정책을 변경합니다.
자세한 내용은 IAM 인증 모드의 사용자 권한 단원을 참조하십시오.
- IAM Identity Center
-
콘솔을 사용하여 사용자 또는 그룹에 대한 EMR Studio 권한을 업데이트하려면
새 Amazon EMR 콘솔로 이동하여 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색에서 EMR Studio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, 업데이트할 사용자 또는 그룹을 검색합니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
업데이트할 사용자 또는 그룹을 선택하고 정책 할당을 선택하여 세션 정책 대화 상자를 엽니다.
-
5단계에서 선택한 사용자 또는 그룹에 적용할 정책을 선택하고 정책 적용을 선택합니다. Studio 사용자 목록에는 업데이트한 사용자 또는 그룹의 세션 정책 열에 있는 정책 이름이 표시됩니다.
를 사용하여 사용자 또는 그룹에 대한 EMR Studio 권한을 업데이트하려면 AWS CLI
다음
update-studio-session-mappings인수에 고유한 값을 입력합니다.update-studio-session-mappings명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr update-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-name<name-of-user-or-group-to-update>\ --session-policy-arn<new-session-policy-arn-to-apply>\ --identity-type<USER-or-GROUP>\get-studio-session-mapping명령을 사용하여 새 세션 정책 할당을 확인합니다. Replace<example-identity-name>업데이트한 사용자 또는 그룹의 IAM Identity Center 이름을 사용합니다.aws emr get-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<user-or-group-name>\
Studio에서 사용자 또는 그룹 제거
- IAM
-
IAM 인증 모드를 사용할 때 EMR Studio에서 사용자 또는 그룹을 제거하려면 사용자의 IAM 권한 정책을 재구성하여 Studio에 대한 사용자의 액세스를 취소해야 합니다.
다음 예제 정책에서 태그 키-값 페어가 있는 EMR Studio가 있다고 가정합니다
Team = Quality Assurance. 정책에 따라 사용자는 값이Data Analytics또는Quality Assurance와 같은Team키로 태그가 지정된 Studios에 액세스할 수 있습니다.Team = Quality Assurance태그가 지정된 Studio에서 사용자를 제거하려면 태그 값 목록에서Quality Assurance를 제거합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateStudioPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:CreateStudioPresignedUrl" ], "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*", "Condition": { "StringEquals": { "emr:ResourceTag/Team": [ "Data Analytics", "Quality Assurance" ] } } } ] } - IAM Identity Center
-
콘솔을 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면
새 Amazon EMR 콘솔로 이동하여 측면 탐색에서 이전 콘솔로 전환을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 이전 콘솔 사용을 참조하세요.
-
왼쪽 탐색에서 EMR Studio를 선택합니다.
-
Studio 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 세부 정보 보기를 선택하여 Studio 세부 정보 페이지를 엽니다.
-
Studio 세부 정보 페이지의 Studio 사용자 목록에서, Studio에서 제거할 사용자 또는 그룹을 찾습니다. 이름 또는 ID 유형으로 검색할 수 있습니다.
-
삭제할 사용자 또는 그룹을 선택하고 삭제를 선택한 후 삭제를 확인합니다. 삭제한 사용자 또는 그룹은 Studio 사용자 목록에서 사라집니다.
를 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하려면 AWS CLI
다음
delete-studio-session-mapping인수에 고유한 값을 입력합니다.delete-studio-session-mapping명령에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하세요.aws emr delete-studio-session-mapping \ --studio-id<example-studio-id>\ --identity-type<USER-or-GROUP>\ --identity-name<name-of-user-or-group-to-delete>\
