为 Amazon EMR Studio 选择身份验证模式
EMR Studio 支持两种身份验证模式:IAM 身份验证模式和 IAM Identity Center 身份验证模式。IAM 模式使用 Amazon Identity and Access Management(IAM),而 IAM Identity Center 模式使用 Amazon IAM Identity Center。创建 EMR Studio 时,您可以为 EMR Studio 的所有用户选择身份验证模式。有关不同身份验证模式的更多信息,请参阅 身份验证和用户登录。
使用下表为 EMR Studio 选择身份验证模式。
| 如果您是… | 我们建议… |
|---|---|
| 已经熟悉或之前已经设置过 IAM 身份验证或联合 |
IAM 身份验证模式,具备下列优点:
|
| 对 Amazon 或 Amazon EMR 不熟悉 |
IAM Identity Center 身份验证模式,提供以下功能:
|
为 Amazon EMR Studio 设置 IAM 身份验证模式
通过 IAM 身份验证模式,您可以使用 IAM 身份验证或 IAM 联合身份验证。IAM 身份验证 允许您在 IAM 中管理其用户、组和角色等身份。您凭借 IAM 权限策略以及基于属性的访问控制 (ABAC),授予用户访问 Studio 的权限。IAM 联合身份验证 允许您在第三方身份提供商 (IdP) 和 Amazon 之间建立信任,以便您可以通过自己的 IdP 管理用户身份。
注意
如果您已使用 IAM 来控制访问 Amazon 资源的权限,或者您已经为 IAM 配置了身份提供商 (IdP),请参阅 IAM 身份验证模式的用户权限 以便您在使用 EMR Studio 的 IAM 身份验证模式时设置用户权限。
使用 Amazon EMR Studio 的 IAM 联合身份验证
要使用 EMR Studio 的 IAM 联合身份验证,您可以在您的 Amazon Web Services 账户 和身份提供者(IdP)之间创建信任关系,并允许联合身份用户访问 Amazon Web Services Management Console。创建此信任关系所采取的步骤取决于您身份提供商 (IdP) 的联合身份验证标准。
通常,您可以完成以下任务以使用外部身份供应商 (IdP) 配置联合身份验证。有关完整说明,请参阅《Amazon Identity and Access Management 用户指南》中的使 SAML 2.0 联合身份用户能够访问Amazon Web Services Management Console和使自定义身份代理能够访问Amazon Web Services Management Console。
-
通过您的身份提供商 (IdP) 收集信息。通常,这表示生成元数据文档以验证来自 IdP 的 SAML 身份验证请求。
-
创建身份提供商 IAM 实体以存储有关 IdP 的信息。有关说明,请参阅创建 IAM 身份提供商。
-
为您的 IdP 创建一个或多个 IAM 角色。在用户登录时,EMR Studio 将为联合身份用户分配角色。该角色允许您的 IdP 请求临时安全凭证以便访问 Amazon。有关说明,请参阅针对第三方身份提供商(联合)创建角色。您分配角色的权限策略决定了哪类联合身份用户可以在 Amazon 和 EMR Studio 操作。有关更多信息,请参阅 IAM 身份验证模式的用户权限。
-
(针对 SAML 提供商)借助与 Amazon 相关的信息以及您希望联合身份用户担任的角色,以完成 SAML IdP 信任配置。在配置过程中,在您的 IdP 和 Amazon 之间创建了信赖方信任。有关详细信息,请参阅《用户指南》中的使用信赖方信任配置您的 SAML 2.0 IdP 并添加声明。
在身份提供商 (IdP) 门户中将 EMR Studio 配置为 SAML 应用程序
您可以使用 EMR Studio 的深层链接将特定 EMR Studio 配置为 SAML 应用程序。这样,用户可以登录 IdP 门户并启动特定的 Studio,而不是通过 Amazon EMR 控制台进行导航。
-
使用以下格式将指向 EMR Studio 的深层链接配置为 SAML 断言验证后的着陆 URL。
https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
为 Amazon EMR Studio 设置 IAM Identity Center 身份验证模式
要准备 EMR Studio 的 Amazon IAM Identity Center,您必须配置身份源并预调配用户和组。预调配是使用户和组信息可供 IAM Identity Center 和使用 IAM Identity Center 的应用程序使用的过程。有关更多信息,请参阅用户和组预置。
EMR Studio 支持使用 IAM Identity Center 的以下身份提供商:
-
Amazon Managed Microsoft AD 和自行管理的 Active Directory – 有关更多信息,请参阅连接到 Microsoft AD 目录。
-
基于 SAML 提供商 – 有关完整列表,请参阅支持的身份提供商。
-
IAM Identity Center 目录 – 有关更多信息,请参阅管理 IAM Identity Center 中的身份。
为 EMR Studio 设置 IAM Identity Center
-
要为 EMR Studio 设置 IAM Identity Center,您需要具备以下各项:
-
您 Amazon 组织中的管理账户(如果您在组织中使用多个账户)。
注意
您只能使用管理账户启用 IAM Identity Center 并预调配用户和组。在设置 IAM Identity Center 之后,您可以使用成员账户创建 EMR Studio 并分配用户和组。要了解有关Amazon术语的更多信息,请参阅 Amazon Organizations 术语和概念。
-
如果您在 2019 年 11 月 25 日之前启用了 IAM Identity Center,则可能得为您 Amazon 企业中的账户启用使用 IAM Identity Center 的应用程序。有关更多信息,请参阅在 Amazon 账户中启用 IAM Identity Center 集成应用程序。
-
确保您拥有 IAM Identity Center 先决条件页面上列出的先决条件。
-
-
按照启用 IAM Identity Center 中的说明在要创建 EMR Studio 的 Amazon Web Services 区域 中启用 IAM Identity Center。
-
将 IAM Identity Center 连接到您的身份提供商并预调配您要分配给 Studio 的用户和组。
如果您使用... 请执行此操作... Microsoft AD 目录 -
按照连接到您的 Microsoft AD 目录中的说明使用 Amazon Directory Service 连接您自行管理的 Active Directory 或 Amazon Managed Microsoft AD 目录。
-
要为 IAM Identity Center 预置用户和组,您可以将身份数据从源 AD 同步到 IAM Identity Center。您可以通过多种方式同步源 AD 中的身份。一种方法是将 AD 用户或组分配给企业中的 Amazon 账户。有关说明,请参阅单点登录。
同步最多可能需要两个小时。完成此步骤后,同步的用户和组都显示在您的 Identity Store 中。
注意
在您同步用户和组信息或使用即时(JIT)用户预调配之前,用户和组不会出现在您的 Identity Store 中。有关更多信息,请参阅当用户来自 Active Directory 时进行预置。
-
(可选)同步 AD 用户和组后,您可以删除他们对您在上一步中配置的 Amazon 账户的访问权限。有关说明,请参阅删除用户访问权限。
外部身份提供商 按照连接到您的外部身份提供商中的说明进行操作。 IAM Identity Center 目录 当您在 IAM Identity Center 中创建用户和组时,则会进行自动预调配。有关更多信息,请参阅管理 IAM Identity Center 中的身份。 -
您现在可以将 Identity Store 中的用户和组分配到 EMR Studio。有关说明,请参阅 将用户或组分配到 EMR Studio。