Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

术语和概念

此部分概述了在将 Amazon EMR 与 AWS Lake Formation 集成的上下文中使用的概念和术语。

身份验证

建立用户身份的过程。通过将 Amazon EMR 与 Lake Formation 集成,您的用户可以使用企业凭证登录 EMR 笔记本和 Apache Zeppelin。

授权

验证给定用户可以在特定资源上采取的操作的过程。将 Amazon EMR 集群与 Lake Formation 集成时,使用 Lake Formation 策略授权对数据库和表的访问。此过程可确保用户只能查询和分析已授权访问的表或列。

联合身份验证

创建外部身份提供程序与 AWS Identity and Access Management (IAM) 之间的信任关系。用户可登录与安全断言标记语言 (SAML) 2.0 兼容的企业身份系统,如 Microsoft Active Directory 联合身份验证服务。有关更多信息,请参阅 SAML 支持的第三方提供程序。当您使用 SAML 2.0 在这些外部身份提供程序与 IAM 之间配置信任关系时,会将用户分配到 IAM 角色。用户还会获得允许该用户访问您的 AWS Lake Formation 资源的临时凭证。

信任策略

一个 JSON 格式的文档,您可在其中定义可代入角色的人员。此可信实体在文档中作为委托人元素包含在策略中。该文档是根据 IAM 策略语言的规则编写的。

权限策略

一个 JSON 格式的权限文档,您可在其中定义角色可以访问的操作和资源。该文档是根据 IAM 策略语言的规则编写的。

委托人

可以访问受 Lake Formation 策略保护的资源以及在 Amazon EMR 中运行查询的实体。委托人可以是 AWS Identity and Access Management (IAM) 用户或角色,或者由其 SAML 身份提供程序 (IdP) 标识的联合身份用户。