为 Amazon EMR Studio 选择身份验证模式 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为 Amazon EMR Studio 选择身份验证模式

本节介绍了 Amazon EMR Studio 的身份验证(登录)选项,以帮助您选择和设置 Studio 身份验证。

Amazon EMR Studio 支持两种身份验证模式:IAM 身份验证模式和 SSO 身份验证模式。IAM 模式使用 Amazon Identity and Access Management (IAM),而 SSO 模式使用 Amazon Web Services Single Sign On (Amazon Web Services SSO)。创建 EMR Studio 时,您可以为 EMR Studio 的所有用户选择身份验证模式。

下表概述了选择 EMR Studio 身份验证模式的一些注意事项。

如果您是… 我们建议…
已经熟悉或之前已经设置过 IAM 身份验证或联合

IAM 身份验证模式,具备下列优点:

  • 如果您已经管理 IAM 中的用户和组等身份,则能够快速设置 EMR Studio。

  • 与 OpenID Connect (OIDC) 或安全断言标记语言 2.0 (SAML 2.0) 兼容的身份提供商一起工作。

  • 支持使用具有同一 Amazon Web Services 账户 的多重身份提供商。

  • 有大量可用 Amazon Web Services 区域 。

  • 符合 SOC 2。

对 Amazon 或 Amazon EMR 不熟悉

SSO 身份验证模式,提供以下功能:

  • 支持将简单的用户和组分配给 Amazon 资源。

  • 与 Microsoft Active Directory 和 SAML 2.0 身份提供商一起使用。

  • 简化多账户联合设置,以便您无需为企业的每个 Amazon Web Services 账户 单独配置联合身份。

Amazon EMR Studio 的 IAM 身份验证模式

通过 IAM 身份验证模式,您可以使用 IAM 身份验证或 IAM 联合身份验证。IAM 身份验证 允许您在 IAM 中管理其用户、组和角色等身份。您凭借 IAM 权限策略以及 基于属性的访问控制 (ABAC)),授予用户访问 Studio 的权限。IAM 联合身份验证 允许您在第三方身份提供商 (IdP) 和 Amazon 之间建立信任,以便您可以通过自己的 IdP 管理用户身份。

注意

如果您已使用 IAM 来控制访问 Amazon 资源的权限,或者您已经为 IAM 配置了身份提供商 (IdP),请参阅 IAM 身份验证模式的用户权限 以便您在使用 EMR Studio 的 IAM 身份验证模式时设置用户权限。

使用 Amazon EMR Studio 的 IAM 联合身份验证

要使用 Amazon EMR Studio 的 IAM 联合身份验证,您可以在您的 Amazon Web Services 账户 和身份提供商 (IdP) 之间创建信任关系,并允许联合身份用户访问 Amazon Web Services Management Console。创建此信任关系所采取的步骤取决于您身份提供商 (IdP) 的联合身份验证标准。

通常,您可以完成以下任务以使用外部身份供应商 (IdP) 配置联合身份验证。有关完整说明,请参阅《Amazon Identity and Access Management 用户指南》中的使 SAML 2.0 联合身份用户能够访问Amazon Web Services Management Console使自定义身份代理能够访问Amazon Web Services Management Console

  1. 通过您的身份提供商 (IdP) 收集信息。通常,这表示生成元数据文档以验证来自 IdP 的 SAML 身份验证请求。

  2. 创建身份提供商 IAM 实体以存储有关 IdP 的信息。有关说明,请参阅创建 IAM 身份提供商

  3. 为您的 IdP 创建一个或多个 IAM 角色。在用户登录时,EMR Studio 将为联合身份用户分配角色。该角色允许您的 IdP 请求临时安全凭证以便访问 Amazon。有关说明,请参阅针对第三方身份提供商(联合)创建角色。您分配角色的权限策略决定了哪类联合身份用户可以在 Amazon 和 EMR Studio 操作。有关更多信息,请参阅 IAM 身份验证模式的用户权限

  4. (针对 SAML 提供商)借助与 Amazon 相关的信息以及您希望联合身份用户担任的角色,以完成 SAML IdP 信任配置。在配置过程中,在您的 IdP 和 Amazon 之间创建了信赖方信任。有关详细信息,请参阅 用户指南中的使用信赖方信任配置您的 SAML 2.0 IdP 并添加声明。

在身份提供商 (IdP) 门户中将 EMR Studio 配置为 SAML 应用程序

您可以使用 EMR Studio 的深层链接将特定 EMR Studio 配置为 SAML 应用程序。这样,用户可以登录 IdP 门户并启动特定的 Studio,而不是通过 Amazon EMR 控制台进行导航。

  • 使用以下格式将指向 EMR Studio 的深层链接配置为 SAML 断言验证后的着陆 URL。

    https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start

Amazon EMR Studio 的 SSO 身份验证模式

SSO 身份验证模式允许您给予用户联合访问 EMR Studio 的权限。您可以使用 Amazon Web Services SSO 通过您的 Amazon Web Services SSO 目录、现有公司目录或诸如 Azure Active Directory (AD) 的外部 IdP 进行用户和组的身份验证。之后,您可以用身份提供商 (IdP) 管理用户。

EMR Studio 支持使用 Amazon Web Services SSO 的以下身份提供商:

要准备 EMR Studio 的 Amazon Web Services Single Sign On(Amazon Web Services SSO),您必须配置身份源并预置用户和组。预置是使用户和组信息可供 Amazon Web Services SSO 和使用 Amazon Web Services SSO 的应用程序使用的过程。有关更多信息,请参阅用户和组预置

创建 Studio 后,您可以使用 Amazon EMR 控制台或 Amazon CLI 向 Studio 分配用户和组。

注意

借助 SSO 身份验证模式,EMR Studio 使用 IAM 会话策略在用户和组级别管理 Studio 权限。当您将用户或组分配给 Studio 时,您会将会话策略映射到用户或组。有关更多信息,请参阅 Amazon Web Services SSO 身份验证模式的用户权限

为 EMR Studio 设置 Amazon Web Services SSO

  1. 要为 EMR Studio 设置 Amazon Web Services SSO,您需要具备以下各项:

    • 您 Amazon 组织中的管理账户(如果您在组织中使用多个账户)。

      注意

      您只能使用管理账户启用 Amazon Web Services SSO 并预置用户和组。在设置 Amazon Web Services SSO 之后,您可以使用成员账户创建 EMR Studio 并分配用户和组。要了解有关 Amazon 术语的更多信息,请参阅 Amazon Organizations 术语和概念

    • 如果您在 2019 年 11 月 25 日之前启用了 Amazon Web Services SSO,则可能得为您Amazon企业中的账户启用使用 Amazon Web Services SSO 的应用程序。有关更多信息,请参阅在 Amazon 账户中启用 Amazon SSO 集成应用程序

    • 确保您拥有 Amazon Web Services SSO 先决条件页面上列出的先决条件。

  2. 按照启用 Amazon Web Services SSO 中的说明在要创建 EMR Studio 的Amazon区域中启用 Amazon Web Services SSO。

  3. 将 Amazon Web Services SSO 连接到您的身份提供商并预置您要分配给 Studio 的用户和组。

    如果您使用... 请执行此操作...
    Microsoft AD 目录
    1. 按照连接到您的 Microsoft AD 目录中的说明使用 Amazon Directory Service 连接您自行管理的 Active Directory 或 Amazon Managed Microsoft AD 目录。

    2. 要为 Amazon Web Services SSO 预置用户和组,您可以将身份数据从源 AD 同步到 Amazon Web Services SSO。您可以通过多种方式同步源 AD 中的身份。一种方法是将 AD 用户或组分配给企业中的 Amazon 账户。有关说明,请参阅单点登录

      同步最多可能需要两个小时。完成此步骤后,所有同步的用户和组都显示在您的 Amazon 身份存储中。

      注意

      在您同步用户和组信息或使用即时 (JIT) 用户预置之前,用户和组不会出现在您的Amazon身份存储中。有关更多信息,请参阅当用户来自 Active Directory 时进行预置

    3. (可选)同步 AD 用户和组后,您可以删除他们对您在上一步中配置的 Amazon 账户的访问权限。有关说明,请参阅删除用户访问权限

    外部身份提供商 按照连接到您的外部身份提供商中的说明进行操作。
    Amazon Web Services Single Sign On 存储 当您在 Amazon Web Services SSO 中创建用户和组时,则会进行自动预置。有关更多信息,请参阅管理 Amazon Web Services SSO 中的身份

您现在可以将 Amazon 身份存储中的用户和组分配到 EMR Studio。有关说明,请参阅 将用户或组分配到 EMR Studio

登录、用户分配和用户权限

您为 Amazon EMR Studio 选择的身份验证模式会影响用户登录 Studio 的方式、将用户分配给 Studio 的方式以及您授权(授予权限)用户执行诸如创建新的 Amazon EMR 集群之类操作的方式。

下表根据身份验证模式概述了 EMR Studio 的登录方法。

身份验证模式提供的 Amazon EMR Studio 登录选项
身份验证模式 登录方法 描述
  • IAM(身份验证和联合身份验证)

  • SSO

EMR Studio URL

用户使用 Studio 访问 URL 登录 Studio。例如:https://xxxxxxxxxxxxxxxxxxxxxxx.emrstudio-prod.us-east-1.amazonaws.com

使用 IAM 身份验证时,用户输入 IAM 凭证。当你使用 IAM 联合身份验证时或 Amazon Web Services SSO 时,EMR Studio 将用户重定向到身份提供商的登录 URL 以输入凭证。

在联合身份验证的条件下,此登录选项称为服务提供商 (SP) 启动的登录。

  • IAM(联合身份验证)

  • SSO

Identity provider (IdP)(身份提供商 (IdP))门户

用户登录身份提供商的门户网站,例如 Azure 门户,然后启动 Amazon EMR 控制台。启动 Amazon EMR 控制台之后,用户根据 Studios 列表选择并打开 Studio。

您还可以将 EMR Studio 配置为 SAML 应用程序,以便用户可以从身份提供商的门户网站登录到指定的 Studio。有关说明,请参阅在身份提供商 (IdP) 门户网站将 EMR Studio 配置为 SAML 应用程序

在联合身份验证条件下,此登录选项称为身份提供商 (IdP) 启动的登录。

  • IAM (身份验证)

Amazon Web Services Management Console 用户使用 IAM 凭证登录 Amazon Web Services Management Console 并通过 Studios 列表 在 Amazon EMR 控制台打开 Studio。

下表概述了在身份验证模式下针对 Amazon EMR Studio 进行的用户分配和授权。

在身份验证模式下进行 Amazon EMR Studio 用户分配和授权
身份验证模式 用户分配 用户授权

IAM(身份验证和联合身份验证)

在附加到 IAM 身份(用户、组或角色)的 IAM 权限策略中,允许IAM 的 CreateStudioPresignedUrl 操作。

对于联合身份用户,在您为用于联合身份验证的 IAM 角色配置的权限策略中,允许 IAM 的 CreateStudioPresignedUrl 操作。

使用基于属性的访问控制 (ABAC) 来指定用户可以访问的 Studio 或 Studios。

有关说明,请参阅 将用户或组分配到 EMR Studio

定义允许某些 EMR Studio 操作的 IAM 权限策略。

对于本地 IAM 用户,请将 IAM 权限策略附加到 IAM 身份(用户、组或角色)。对于联合身份用户,在您为用于联合身份验证的 IAM 角色配置的权限策略中,允许执行 Studio 操作。

有关更多信息,请参阅 配置 EMR Studio 用户权限

Amazon Web Services SSO

通过将用户映射到具有指定会话策略的 Studio,将用户分配给 Studio。

有关说明,请参阅 将用户或组分配到 EMR Studio

定义允许某些 EMR Studio 操作的 IAM 会话策略。当您将用户分配给 Studio 时,请将会话策略映射到用户。

有关更多信息,请参阅 Amazon Web Services SSO 身份验证模式的用户权限