本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon EMR Studio 选择身份验证模式
<a name="emr-studio-authentication"></a>

EMR Studio 支持两种身份验证模式：IAM 身份验证模式和 IAM Identity Center 身份验证模式。IAM 模式使用 Amazon Identity and Access Management (IAM)，而 IAM 身份中心模式使用 Amazon IAM Identity Center。创建 EMR Studio 时，您可以为 EMR Studio 的所有用户选择身份验证模式。有关不同身份验证模式的更多信息，请参阅 [身份验证和用户登录](how-emr-studio-works.md#emr-studio-login)。

使用下表为 EMR Studio 选择身份验证模式。


****  

| 如果您是… | 我们建议… | 
| --- | --- | 
| 已经熟悉或之前已经设置过 IAM 身份验证或联合 |  [IAM 身份验证模式](#emr-studio-iam-authentication)，具备下列优点： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 
| Amazon EM Amazon R 的新手 |  [IAM Identity Center 身份验证模式](#emr-studio-enable-sso)，提供以下功能： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 

## 为 Amazon EMR Studio 设置 IAM 身份验证模式
<a name="emr-studio-iam-authentication"></a>

通过 IAM 身份验证模式，您可以使用 IAM 身份验证或 IAM 联合身份验证。IAM *身份验证* 允许您在 IAM 中管理其用户、组和角色等身份。您凭借 IAM 权限策略以及[基于属性的访问权限控制（ABAC）](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)，授予用户访问 Studio 的权限。IAM *联合*允许您在第三方身份提供商 (IdP) 之间建立信任， Amazon 以便您可以通过 IdP 管理用户身份。

**注意**  
如果您已经使用 IAM 来控制对 Amazon 资源的访问，或者您已经为 IAM 配置了身份提供商 (IdP)，则在使用 EMR Studio 的 IAM 身份验证模式时，请参阅[IAM 身份验证模式的用户权限](how-emr-studio-works.md#emr-studio-iam-authorization)设置用户权限。

### 使用 Amazon EMR Studio 的 IAM 联合身份验证
<a name="emr-studio-iam-federation"></a>

要使用适用于 EMR Studio 的 IAM 联合，您需要在您 Amazon Web Services 账户 和您的身份提供商 (IdP) 之间创建信任关系，并允许联合用户访问。 Amazon Web Services 管理控制台创建此信任关系所采取的步骤取决于您身份提供商 (IdP) 的联合身份验证标准。

通常，您可以完成以下任务以使用外部身份供应商 (IdP) 配置联合身份验证。有关完整说明，请参阅《Amazon Identity and Access Management 用户指南》**中的[使 SAML 2.0 联合身份用户能够访问 Amazon Web Services 管理控制台](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)和[使自定义身份代理能够访问 Amazon Web Services 管理控制台](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html)。

1. 通过您的身份提供商 (IdP) 收集信息。通常，这表示生成元数据文档以验证来自 IdP 的 SAML 身份验证请求。

1. 创建身份提供商 IAM 实体以存储有关 IdP 的信息。有关说明，请参阅[创建 IAM 身份提供商](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create.html)。

1. 为您的 IdP 创建一个或多个 IAM 角色。在用户登录时，EMR Studio 将为联合身份用户分配角色。该角色允许您的 IdP 请求临时安全凭证以便访问 Amazon。有关说明，请参阅[针对第三方身份提供商（联合）创建角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-idp.html)。您分配给该角色的权限策略决定了联合用户在 EMR Studio 中 Amazon 以及在 EMR Studio 中可以执行的操作。有关更多信息，请参阅 [IAM 身份验证模式的用户权限](how-emr-studio-works.md#emr-studio-iam-authorization)。

1. （适用于 SAML 提供商）通过为你的 IdP 配置你的 IdP Amazon 以及你希望联合用户担任的角色来完成 SAML 信任。此配置过程在您的 IdP 和之间创建*依赖方信任*。 Amazon有关详细信息，请参阅[《用户指南》中的使用信赖方信任配置您的 SAML 2.0 IdP](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html) 并添加声明。

**在身份提供商 (IdP) 门户中将 EMR Studio 配置为 SAML 应用程序**

您可以使用 EMR Studio 的深层链接将特定 EMR Studio 配置为 SAML 应用程序。这样，用户可以登录 IdP 门户并启动特定的 Studio，而不是通过 Amazon EMR 控制台进行导航。
+ 使用以下格式将指向 EMR Studio 的深层链接配置为 SAML 断言验证后的着陆 URL。

  ```
  https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
  ```

## 为 Amazon EMR Studio 设置 IAM Identity Center 身份验证模式
<a name="emr-studio-enable-sso"></a>

要 Amazon IAM Identity Center 为 EMR Studio 做好准备，您必须配置身份源并配置用户和群组。预调配是使用户和组信息可供 IAM Identity Center 和使用 IAM Identity Center 的应用程序使用的过程。有关更多信息，请参阅[用户和组预置](https://docs.amazonaws.cn/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision)。

EMR Studio 支持使用 IAM Identity Center 的以下身份提供商：
+ **Amazon Managed Microsoft AD 和自我管理的 Active Directory** — 有关更多信息，请参阅 [Connect 连接到你的 Microsoft AD 目录](https://docs.amazonaws.cn/singlesignon/latest/userguide/manage-your-identity-source-ad.html)。
+ **基于 SAML 提供商**：有关完整列表，请参阅[支持的身份提供商](https://docs.amazonaws.cn/singlesignon/latest/userguide/supported-idps.html)。
+ **IAM Identity Center 目录**：有关更多信息，请参阅[管理 IAM Identity Center 中的身份](https://docs.amazonaws.cn/singlesignon/latest/userguide/manage-your-identity-source-sso.html)。

**为 EMR Studio 设置 IAM Identity Center**

1. 要为 EMR Studio 设置 IAM Identity Center，您需要具备以下各项：
   + 如果您在 Amazon 组织中使用多个帐户，则为组织中的管理帐户。
**注意**  
您只能使用管理账户启用 IAM Identity Center 并*预调配*用户和组。在设置 IAM Identity Center 之后，您可以使用成员账户创建 EMR Studio 并*分配*用户和组。要了解有关 Amazon 术语的更多信息，请参阅[Amazon Organizations 术语和概念](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_getting-started_concepts.html)。
   + 如果您在 2019 年 11 月 25 日之前启用了 IAM Identity Center，则可能需要为 Amazon 组织中的账户启用使用 IAM 身份中心的应用程序。有关更多信息，请参阅在账户中[启用与 IAM 身份中心集成的应用程序。 Amazon](https://docs.amazonaws.cn/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement)
   + 确保您拥有 [IAM Identity Center 先决条件](https://docs.amazonaws.cn/singlesignon/latest/userguide/prereqs.html)页面上列出的先决条件。

1. 按照[启用 IAM 身份中心](https://docs.amazonaws.cn/singlesignon/latest/userguide/step1.html)中的说明在要创建 EMR Studi Amazon Web Services 区域 o 的位置启用 IAM 身份中心。

1. 将 IAM Identity Center 连接到您的身份提供商并预调配您要分配给 Studio 的用户和组。  
****    
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-studio-authentication.html)

您现在可以将 Identity Store 中的用户和组分配到 EMR Studio。有关说明，请参阅[将用户或组分配到 EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups)。