Atribuição de usuários Atualização de permissões de usuários Remoção de usuários

Atribuir e gerenciar usuários do EMR Studio

Depois de criar um EMR Studio, você pode atribuir usuários e grupos a ele. O método usado para atribuir, atualizar e remover usuários depende do modo de autenticação do Studio.

Ao usar o modo de IAM autenticação, você configura a atribuição e as permissões do usuário do EMR Studio em IAM ou com IAM seu provedor de identidade.
Com o modo de autenticação do IAM Identity Center, você usa o console EMR de gerenciamento da Amazon ou o AWS CLI para gerenciar usuários.

Para saber mais sobre a autenticação para o Amazon EMR Studio, consulteEscolha um modo de autenticação para o Amazon EMR Studio.

Atribuir um usuário ou grupo a um EMR estúdio

IAM

Ao usarConfigurar o modo de IAM autenticação para o Amazon EMR Studio, você deve permitir a CreateStudioPresignedUrl ação na política de IAM permissões de um usuário e restringir o usuário a um estúdio específico. Você pode incluir CreateStudioPresignedUrl em suas Permissões de usuários para o modo de autenticação do IAM ou usar uma política separada.

Para restringir um usuário a um Studio (ou conjunto de estúdios), você pode usar o controle de acesso baseado em atributos (ABAC) ou especificar o Amazon Resource Name (ARN) de um estúdio no Resource elemento da política de permissões.

exemplo Atribuir um usuário a um estúdio usando um estúdio ARN

O exemplo de política a seguir dá ao usuário acesso a um EMR estúdio específico, permitindo a CreateStudioPresignedUrl ação e especificando o Amazon Resource Name (ARN) do estúdio no Resource elemento.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/<studio-id>"
        }
    ]
}

exemplo Atribuir um usuário a um Studio com ABAC para IAM autenticação

Há várias maneiras de configurar o controle de acesso baseado em atributos (ABAC) para um Studio. Por exemplo, você pode anexar uma ou mais tags a um EMR estúdio e, em seguida, criar uma IAM política que restrinja a CreateStudioPresignedUrl ação a um determinado estúdio ou conjunto de estúdios com essas tags.

Você pode adicionar etiquetas durante ou após a criação do Studio. Para adicionar etiquetas a um Studio existente, você pode usar o comando AWS CLIemr add-tags. O exemplo a seguir adiciona uma tag com o par de valores-chave Team = Data Analytics a um EMR Studio.


aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"

O exemplo de política de permissões a seguir permite a CreateStudioPresignedUrl ação do EMR Studios com o par chave-valor da tag. Team = DataAnalytics Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas ou Controlar o acesso a recursos da AWS usando etiquetas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/Team": "Data Analytics"
                }
            }
        }
    ]
}

exemplo Atribua um usuário a um Studio usando a chave de condição SourceIdentity global aws:

Ao usar a IAM federação, você pode usar a chave de condição global aws:SourceIdentity em uma política de permissões para dar aos usuários acesso ao Studio quando eles assumirem sua IAM função na federação.

Primeiro, você deve configurar seu provedor de identidade (IdP) para retornar uma sequência de caracteres de identificação, como um endereço de e-mail ou nome de usuário, quando um usuário se autentica e assume sua IAM função na federação. IAMdefine a chave de condição global aws:SourceIdentity para a string de identificação retornada pelo seu IdP.

Para obter mais informações, consulte a postagem do blog Como relacionar a atividade da IAM função à identidade corporativa no Blog de AWS Segurança e a SourceIdentity entrada aws: na referência global de chaves de condição.

O exemplo de política a seguir permite a CreateStudioPresignedUrl ação e fornece aos usuários um aws:SourceIdentity que corresponda ao <example-source-identity> acesso ao EMR estúdio especificado por <example-studio-arn>.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "elasticmapreduce:CreateStudioPresignedUrl",
      "Resource": "<example-studio-arn>",
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "<example-source-identity>"
        }
      }
    }
  ]
}

IAM Identity Center

Ao atribuir um usuário ou grupo a um EMR Studio, você especifica uma política de sessão que define permissões refinadas, como a capacidade de criar um novo EMR cluster para esse usuário ou grupo. A Amazon EMR armazena esses mapeamentos de políticas de sessão. É possível atualizar a política de sessão de um usuário ou de um grupo após a atribuição.

nota

As permissões finais para um usuário ou grupo são uma interseção entre as permissões definidas na sua função de usuário do EMR Studio e as permissões definidas na política de sessão desse usuário ou grupo. Se um usuário pertencer a mais de um grupo atribuído ao Studio, o EMR Studio usa uma união de permissões para esse usuário.

Para atribuir usuários ou grupos a um EMR estúdio usando o EMR console da Amazon

Navegue até o novo EMR console da Amazon e selecione Alternar para o console antigo na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte Usar o console antigo.
Escolha EMRStudio na navegação à esquerda.
Escolha o nome do seu Studio na lista Studios ou selecione o Studio e escolha Visualizar detalhes para abrir a página de detalhes do Studio.
Escolha Adicionar usuários para visualizar a tabela de pesquisa para Usuários e Grupos.
Selecione a guia Usuários ou a guia Grupos e insira um termo de pesquisa na barra de pesquisa para localizar um usuário ou um grupo.
Selecione um ou mais usuários ou grupos na lista de resultados da pesquisa. É possível alternar entre as guias Usuários e Grupos.
Após selecionar os usuários e os grupos a serem adicionados ao Studio, escolha Adicionar. Você deve visualizar os usuários e os grupos na lista Usuários do Studio. Pode demorar alguns segundos para que a lista seja atualizada.
Siga as instruções em Atualizar permissões para um usuário ou um grupo atribuído a um Studio para aprimorar as permissões do Studio para um usuário ou um grupo.

Para atribuir um usuário ou grupo a um EMR estúdio usando o AWS CLI

Insira seus próprios valores para os argumentos create-studio-session-mapping a seguir. Para obter mais informações sobre o comando create-studio-session-mapping, consulte AWS CLI Command Reference.

--studio-id: o ID do Studio ao qual você deseja atribuir o usuário ou o grupo. Para obter instruções sobre como recuperar um ID do Studio, consulte Visualização de detalhes do Studio.
--identity-name: o nome do usuário ou do grupo no repositório de identidades. Para obter mais informações, consulte UserNamepara usuários e DisplayNamegrupos na APIReferência do Identity Store.
--identity-type: use USER ou GROUP para especificar o tipo de identidade.
--session-policy-arn— O Amazon Resource Name (ARN) para a política de sessão que você deseja associar ao usuário ou grupo. Por exemplo, arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy. Para obter mais informações, consulte Crie políticas de permissões para usuários do EMR Studio.


aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>

nota

Os caracteres de continuação de linha do Linux (\) são incluídos para facilitar a leitura. Eles podem ser removidos ou usados em comandos do Linux. No Windows, remova-os ou substitua-os por um sinal de interpolação (^).

Use o comando get-studio-session-mapping para verificar a nova atribuição. Substituir <example-identity-name> com o nome do IAM Identity Center do usuário ou grupo que você atualizou.


aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Atualizar permissões para um usuário ou um grupo atribuído a um Studio

IAM

Para atualizar as permissões de usuário ou grupo ao usar o modo de IAM autenticação, use IAM para alterar as políticas de IAM permissões anexadas às suas IAM identidades (usuários, grupos ou funções).

Para obter mais informações, consulte Permissões de usuários para o modo de autenticação do IAM.

IAM Identity Center

Para atualizar as permissões do EMR Studio para um usuário ou grupo usando o console

Navegue até o novo EMR console da Amazon e selecione Alternar para o console antigo na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte Usar o console antigo.
Escolha EMRStudio na navegação à esquerda.
Escolha o nome do seu Studio na lista Studios ou selecione o Studio e escolha Visualizar detalhes para abrir a página de detalhes do Studio.
Na lista de Usuários do Studio na página de detalhes do Studio, pesquise o usuário ou o grupo que você deseja atualizar. É possível pesquisar por nome ou por tipo de identidade.
Selecione o usuário ou o grupo que deseja atualizar e escolha Atribuir política para abrir a caixa de diálogo Política de sessão.
Selecione uma política para aplicar ao usuário ou ao grupo escolhido na etapa 5 e escolha Aplicar política. A lista Usuários do Studio deve exibir o nome da política na coluna Política de sessão para o usuário ou para o grupo que você atualizou.

Para atualizar as permissões do EMR Studio para um usuário ou grupo usando o AWS CLI

Insira seus próprios valores para os argumentos update-studio-session-mappings a seguir. Para obter mais informações sobre o comando update-studio-session-mappings, consulte AWS CLI Command Reference.


aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \

Use o comando get-studio-session-mapping para verificar a nova atribuição de política de sessão. Substituir <example-identity-name> com o nome do IAM Identity Center do usuário ou grupo que você atualizou.


aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \

Remover um usuário ou um grupo de um Studio

IAM

Para remover um usuário ou grupo de um EMR Studio ao usar o modo de IAM autenticação, você deve revogar o acesso do usuário ao Studio reconfigurando a política de permissões do IAM usuário.

No exemplo de política a seguir, suponha que você tenha um EMR Studio com o par chave-valor da tag. Team = Quality Assurance De acordo com a política, o usuário pode acessar os Studios etiquetados com a chave Team cujo valor é igual a Data Analytics ou Quality Assurance. Para remover o usuário do Studio etiquetado com Team = Quality Assurance, remova Quality Assurance da lista de valores de etiqueta.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateStudioPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl"
            ],
            "Resource": "arn:aws:elasticmapreduce:<region>:<account-id>:studio/*",
            "Condition": {
                "StringEquals": {
                    "emr:ResourceTag/Team": [
                        "Data Analytics",
                        "Quality Assurance"
                  ]
                }
            }
        }
    ]
}

IAM Identity Center

Para remover um usuário ou grupo de um EMR Studio usando o console

Navegue até o novo EMR console da Amazon e selecione Alternar para o console antigo na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte Usar o console antigo.
Escolha EMRStudio na navegação à esquerda.
Escolha o nome do seu Studio na lista Studios ou selecione o Studio e escolha Visualizar detalhes para abrir a página de detalhes do Studio.
Na lista de Usuários do Studio na página de detalhes do Studio, localize o usuário ou o grupo que você deseja remover do Studio. É possível pesquisar por nome ou por tipo de identidade.
Selecione o usuário ou o grupo que deseja excluir, escolha Excluir e confirme. O usuário ou o grupo excluído desaparecerá da lista Usuários do Studio.

Para remover um usuário ou grupo de um EMR estúdio usando o AWS CLI

Insira seus próprios valores para os argumentos delete-studio-session-mapping a seguir. Para obter mais informações sobre o comando delete-studio-session-mapping, consulte AWS CLI Command Reference.


aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Crie um EMR estúdio

Monitore, atualize e exclua recursos do Amazon EMR Studio