本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Amazon EMR 与 AWS IAM Identity Center
在 Amazon EMR 6.15.0 及更高版本中,您可以使用中的身份对亚马逊 EMR AWS IAM Identity Center 集群进行身份验证。以下部分提供了概念性概述、先决条件以及启动 EMR 集成与 Identity Center 的集成所需的步骤。
概述
通过 IAM Identity Center 传播可信身份可以帮助您安全地创建或连接员工身份,并集中管理他们跨 AWS 账户和应用程序的访问权限。借助此功能,用户可以登录使用可信身份传播的应用程序,并且该应用程序可以在请求中传递用户的身份,以访问也使用可信身份传播的 AWS 服务中的数据。由于访问权限根据用户身份进行管理,因此用户无需使用数据库本地用户证书或担任 IAM 角色即可访问数据。
对于任何规模和类型的组织,推荐使用 Identity Center AWS 进行员工身份验证和授权。借助 Identity Center,你可以创建和管理用户身份 AWS,也可以连接现有身份源,包括微软 Active Directory、Okta、Ping Identity JumpCloud、Google Workspace 和微软 Entra ID(前身为 Azure AD)。
有关更多信息,请参阅什么是 AWS IAM Identity Center? 以及《AWS IAM Identity Center 用户指南》中的跨应用程序的可信身份传播。
功能和优势
Amazon EMR 与 IAM Identity Center 的集成提供下列优势:
-
Amazon EMR 提供凭证,用于将您的 Identity Center 身份中继到 EMR 集群。
-
Amazon EMR 将所有支持的应用程序配置为使用集群凭证进行身份验证。
-
Amazon EMR 使用 Kerberos 协议配置和维护受支持的应用程序安全,您不需要任何命令或脚本。
-
能够在 S3 Access Grants 托管的 S3 前缀上使用 Identity Center 身份强制执行 Amazon S3 前缀级别的授权。
-
能够在托管 AWS Lake Formation Glue 表上使用身份中心身份强制执行表级授权 AWS 。
