Amazon EMR 与 Identity Center 集成的注意事项和限制
将 IAM Identity Center 与 Amazon EMR 结合使用时,请考虑以下几点:
-
Amazon EMR 6.15.0 及更高版本支持通过 Identity Center 进行可信身份传播,而且仅支持 Apache Spark。此外,Amazon EMR 7.8.0 及更高版本支持使用 EMR 运行时角色功能通过 Identity Center 进行可信身份传播,而且仅支持 Apache Spark。
-
要启用 EMR 集群的可信身份传播,必须使用 Amazon CLI 创建启用了可信身份传播的安全配置,并在启动集群时使用该安全配置。有关更多信息,请参阅 创建启用 Identity Center 的安全配置。
-
对于 EMR 7.2.0 及更高版本上的 Amazon EMR 集群,可使用可信身份传播通过 Amazon Lake Formation 实现精细访问控制。在 EMR 版本 6.15.0 和 7.1.0 之间,只有基于 Amazon Lake Formation 的表级访问控制可用。
-
对于使用可信身份传播的 Amazon EMR 集群,支持基于 Lake Formation 和 Apache Spark 的访问控制的操作包括 SELECT、ALTER TABLE、INSERT INTO 和 DROP TABLE。
-
要使用可信身份传播通过 Amazon Lake Formation 实现精细访问控制,需要通过将 EMR 托管的 IAM 身份应用程序 arn 添加为授权目标来更新 Lake Formation Identity Center 配置。您可以通过调用 EMR
describe-security-configureAPI 并查找字段IdCApplicationARN -
要使用可信身份传播通过 Amazon Lake Formation 实现精细访问控制,应向 IAM 身份用户授予对默认数据库的 Lake Formation 权限。更新详细信息:为启用了 IAM Identity Center 的 EMR 集群配置 Lake Formation。
-
以下 Amazon Web Services 区域 支持使用 Amazon EMR 进行可信身份传播:
-
af-south-1– 非洲(开普敦) -
ap-east-1– 亚太地区(香港) -
ap-northeast-1– 亚太地区(东京) -
ap-northeast-2– 亚太地区(首尔) -
ap-northeast-3– 亚太地区(大阪) -
ap-south-1– 亚太地区(孟买) -
ap-south-2:亚太地区(海得拉巴) -
ap-southeast-1– 亚太地区(新加坡) -
ap-southeast-2– 亚太地区(悉尼) -
ap-southeast-3– 亚太地区(雅加达) -
ap-southeast-4:亚太地区(墨尔本) -
ca-central-1– 加拿大(中部) -
eu-central-1– 欧洲地区(法兰克福) -
eu-central-2:欧洲(苏黎世) -
eu-north-1– 欧洲地区(斯德哥尔摩) -
eu-south-1– 欧洲地区(米兰) -
eu-south-2:欧洲(西班牙) -
eu-west-1– 欧洲地区(爱尔兰) -
eu-west-2– 欧洲地区(伦敦) -
eu-west-3– 欧洲地区(巴黎) -
il-central-1:以色列(特拉维夫) -
me-central-1:中东(阿联酋) -
me-south-1– 中东(巴林) -
sa-east-1– 南美洲(圣保罗) -
us-east-1– 美国东部(弗吉尼亚州北部) -
us-east-2– 美国东部(俄亥俄州) -
us-west-1– 美国西部(北加利福尼亚) -
us-west-2– 美国西部(俄勒冈州)
-