先决条件步骤 1：为 EMR Studio 创建所需的 IAM 角色步骤 2：创建并配置 EMR Studio

设置 Amazon EMR Studio 的可信身份传播

以下过程将引导您设置 Amazon EMR Studio，以实现对 Amazon Athena 工作组或运行 Apache Spark 的 Amazon EMR 集群执行查询时的可信身份传播。

先决条件

在开始本教程之前，您需要设置以下方面：

启用 IAM 身份中心。建议使用组织实例。有关更多信息，请参阅先决条件和注意事项。
将身份源中的用户和组配置到 IAM Identity Center。

要完成 Amazon EMR Studio 的可信身份传播配置，EMR Studio 管理员必须执行以下步骤。

步骤 1：为 EMR Studio 创建所需的 IAM 角色

本步骤中，Amazon EMR Studio 管理员需为 EMR Studio 创建 IAM 服务角色和 IAM 用户角色。

创建 EMR Studio 服务角色 - EMR Studio 将通过该 IAM 角色安全管理工作区和笔记本、连接集群并处理数据交互。

导航到 IAM 控制台 (https://console.aws.amazon.com/iam/) 并创建 IAM 角色。

选择 Amazon Web Services 服务 作为可信实体，然后选择 Amazon EMR。附加以下策略以定义该角色的权限和信任关系。

要使用这些政策，请将示例策略italicized placeholder text中的替换为您自己的信息。有关详细操作指引，请参阅创建策略或编辑策略。

有关服务角色的所有权限参考，请参阅 EMR Studio 服务角色权限。

显示更多

显示更少

创建用于 IAM Identity Center 身份验证的 EMR Studio 用户角色 - 当用户通过 IAM Identity Center 登录以管理工作区、EMR 集群、作业和 Git 代码库时，EMR Studio 将使用该角色。该角色用于启动可信身份传播工作流。

注意

EMR Studio 用户角色不需要包含访问目录中 Amazon Glue 表的 Amazon S3 位置的权限。 Amazon Lake Formation 权限和注册的湖泊位置将用于获得临时权限。

以下示例策略可用于允许 EMR Studio 用户通过 Athena 工作组运行查询的角色。

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
                }
            }
        },
        {
            "Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
                    "ec2:CreateAction": "CreateSecurityGroup"
                }
            }
        },
        {
            "Sid": "AllowSecretManagerListSecrets",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
            "Effect": "Allow",
            "Action": "secretsmanager:CreateSecret",
            "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
                }
            }
        },
        {
            "Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
            "Effect": "Allow",
            "Action": "secretsmanager:TagResource",
            "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
        },
        {
            "Sid": "AllowPassingServiceRoleForWorkspaceCreation",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
            ],
            "Effect": "Allow"
        },
        {
            "Sid": "AllowS3ListAndLocationPermissions",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowS3ReadOnlyAccessToLogs",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
            ],
            "Effect": "Allow"
        },
        {
            "Sid": "AllowAthenaQueryExecutions",
            "Effect": "Allow",
            "Action": [
                "athena:StartQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StopQueryExecution",
                "athena:ListQueryExecutions",
                "athena:GetQueryResultsStream",
                "athena:ListWorkGroups",
                "athena:GetWorkGroup",
                "athena:CreatePreparedStatement",
                "athena:GetPreparedStatement",
                "athena:DeletePreparedStatement"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGlueSchemaManipulations",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowQueryEditorToAccessWorkGroup",
            "Effect": "Allow",
            "Action": "athena:GetWorkGroup",
            "Resource": "arn:aws:athena:*:111122223333:workgroup*"
        },
        {
            "Sid": "AllowConfigurationForWorkspaceCollaboration",
            "Action": [
                "elasticmapreduce:UpdateEditor",
                "elasticmapreduce:PutWorkspaceAccess",
                "elasticmapreduce:DeleteWorkspaceAccess",
                "elasticmapreduce:ListWorkspaceAccessIdentities"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
                }
            }
        },
        {
            "Sid": "DescribeNetwork",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIAMRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "*"
        }
    ]
}

显示更多

显示更少

以下信任策略允许 EMR Studio 扮演该角色：

注意

使用 EMR Studio 工作区和 EMR 笔记本需额外配置权限。有关更多信息，请参阅为 EMR Studio 用户创建权限策略。

您可通过以下链接获取更多信息：

显示更多

显示更少

步骤 2：创建并配置 EMR Studio

本步骤中，您将在 EMR Studio 控制台创建 Amazon EMR Studio，并使用在步骤 1：为 EMR Studio 创建所需的 IAM 角色中创建的 IAM 角色。

访问 EMR Studio 控制台，选择创建 Studio 并选择自定义设置选项。您可以创建新的 S3 存储桶或使用现有存储桶。您可勾选使用自己的 KMS 密钥加密工作区文件选项。有关更多信息，请参阅 Amazon Key Management Service。
在允许 Studio 访问您资源的服务角色下，从下拉菜单中选择在步骤 1：为 EMR Studio 创建所需的 IAM 角色中创建的服务角色。
在身份验证下选择 IAM Identity Center。选择在步骤 1：为 EMR Studio 创建所需的 IAM 角色中创建的用户角色。
勾选可信身份传播选项框。在应用程序访问部分选择仅已分配的用户和组，这样仅授权的用户和组可访问该 Studio。
（可选）– 如果您将该 Studio 与 EMR 集群配合使用，可配置 VPC 和子网。
审核所有详细信息并选择创建 Studio。
配置 Athen WorkGroup a 或 EMR 集群后，请登录 Studio 的 URL，以：
1. 通过查询编辑器运行 Athena 查询。
2. 在工作区中通过 Jupyter Notebook 运行 Spark 作业。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用 Amazon EMR 的可信身份传播

使用 Amazon Athena 的可信身份传播