Erste Schritte mit der AWS IAM Identity Center Integration für Amazon EMR - Amazon EMR
Eine Identity-Center-Instance erstellenErstellen einer IAM-RolleFügen Sie Berechtigungen für Dienste hinzu, die nicht in IAM Identity Center integriert sindEine Sicherheitskonfiguration erstellenStarten Sie einen Cluster.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit der AWS IAM Identity Center Integration für Amazon EMR

Dieser Abschnitt hilft Ihnen bei der Konfiguration von Amazon EMR für die Integration mit AWS IAM Identity Center.

Themen
Anmerkung

Um die Identity Center-Integration mit EMR, Lake Formation oder S3 nutzen zu können, müssen Access Grants aktiviert sein. Sie können auch beide verwenden. Wenn keines der beiden aktiviert ist, wird die Identity Center-Integration nicht unterstützt.

Eine Identity-Center-Instance erstellen

Wenn Sie noch keine haben, erstellen Sie eine Identity-Center-Instance in der AWS-Region , in der Sie Ihren EMR-Cluster starten möchten. Eine Identity-Center-Instance kann nur in einer einzigen Region für ein AWS-Konto existieren.

Verwenden Sie den folgenden AWS CLI Befehl, um eine neue Instanz mit dem Namen zu erstellenMyInstance:

aws sso-admin create-instance --name MyInstance

Eine IAM-Rolle für Identity Center erstellen

Um Amazon EMR zu integrieren AWS IAM Identity Center, erstellen Sie eine IAM-Rolle, die sich über den EMR-Cluster bei Identity Center authentifiziert. Amazon EMR verwendet im Hintergrund SigV4-Anmeldeinformationen, um die Identity-Center-Identität an nachgelagerte Services weiterzuleiten, wie z. B. AWS Lake Formation. Ihre Rolle sollte auch über die entsprechenden Berechtigungen zum Aufrufen der nachgelagerten Services verfügen.

Verwenden Sie die folgende Berechtigungsrichtlinie zum Erstellen der Rolle:

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

Die Vertrauensrichtlinie für diese Rolle ermöglicht es der InstanceProfile-Rolle, sie die Rolle übernehmen zu lassen.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Wenn die Rolle keine vertrauenswürdigen Anmeldeinformationen hat und auf eine durch Lake Formation geschützte Tabelle zugreift, setzt Amazon EMR den Wert principalId der angenommenen Rolle automatisch auf. userID-untrusted Im Folgenden finden Sie einen Auszug aus einem Ereignis, das den anzeigt. CloudTrail principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Fügen Sie Berechtigungen für Dienste hinzu, die nicht in IAM Identity Center integriert sind

AWS Anmeldeinformationen, die Trusted Identity Propagation die in der IAM-Rolle definierten IAM-Richtlinien für alle Aufrufe von Diensten verwenden, die nicht in IAM Identity Center integriert sind. Dazu gehören beispielsweise die. AWS Key Management Service Ihre Rolle sollte auch alle IAM-Berechtigungen für solche Dienste definieren, auf die Sie zugreifen möchten. Zu den derzeit unterstützten integrierten Diensten von IAM Identity Center gehören AWS Lake Formation Amazon S3 Access Grants.

Weitere Informationen zu Trusted Identity Propagation finden Sie unter Trusted Identity Propagation zwischen Anwendungen.

Eine Identity-Center-fähige Sicherheitskonfiguration erstellen

Um einen EMR-Cluster mit IAM-Identity-Center-Integration zu starten, verwenden Sie den folgenden Beispielbefehl, um eine Amazon-EMR-Sicherheitskonfiguration zu erstellen, für die Identity Center aktiviert ist. Jede Konfiguration wird im Folgenden erklärt.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
    "AuthenticationConfiguration":{
        "IdentityCenterConfiguration":{
            "EnableIdentityCenter":true,
            "IdentityCenterApplicationAssigmentRequired":false,
            "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789"
        }
    },
    "AuthorizationConfiguration": {
        "LakeFormationConfiguration": {
            "AuthorizedSessionTagValue": "Amazon EMR"
        },
        "IAMConfiguration": {
          "EnableApplicationScopedIAMRole": true,
          "ApplicationScopedIAMRoleConfiguration": {
            "PropagateSourceIdentity": true
          }
        }
    },
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "PEM",
                "S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
            }
        }
    }
}'

  • EnableIdentityCenter – (erforderlich) Aktiviert die Identity-Center-Integration.

  • IdentityCenterInstanceARN— (optional) Der ARN der Identity Center-Instanz. Wenn dies nicht enthalten ist, wird der bestehende ARN der IAM Identity Center-Instanz als Teil des Konfigurationsschritts gesucht.

  • IAMRoleForEMRIdentityCenterApplicationARN – (erforderlich) Die IAM-Rolle, die Identity-Center-Token aus dem Cluster bezieht.

  • IdentityCenterApplicationAssignmentRequired – (boolean) Legt fest, ob für die Nutzung der Identity-Center-Anwendung eine Zuweisung erforderlich ist. Dies ist ein optionales Feld. Wenn kein Wert angegeben wird, ist false der Standardwert.

  • AuthorizationConfiguration/LakeFormationConfiguration— Konfigurieren Sie optional die Autorisierung:

    • IAMConfiguration— Ermöglicht die Verwendung der Funktion EMR Runtimes Roles zusätzlich zu Ihrer TIP-Identität. Wenn Sie diese Konfiguration aktivieren, müssen Sie (oder der AWS Anrufer-Service) bei jedem Aufruf der EMR Steps oder EMR eine IAM-Laufzeitrolle angeben. GetClusterSessionCredentials APIs Wenn der EMR-Cluster mit SageMaker Unified Studio verwendet wird, ist diese Option erforderlich, wenn Trusted Identity Propagation ebenfalls aktiviert ist.

    • EnableLakeFormation – Aktivieren Sie die Lake-Formation-Autorisierung auf dem Cluster.

Um die Identity-Center-Integration mit Amazon EMR zu aktivieren, müssen Sie EncryptionConfiguration und IntransitEncryptionConfiguration angeben.

Einen Identity-Center-fähigen Cluster erstellen und starten

Nachdem Sie nun die IAM-Rolle eingerichtet haben, die sich bei Identity Center authentifiziert, und eine Amazon-EMR-Sicherheitskonfiguration erstellt haben, für die Identity Center aktiviert ist, können Sie Ihren identitätsbewussten Cluster erstellen und starten. Schritte zum Starten Ihres Clusters mit der erforderlichen Sicherheitskonfiguration finden Sie unter Geben Sie eine Sicherheitskonfiguration für einen Amazon EMR-Cluster an.

In den folgenden Abschnitten wird beschrieben, wie Sie Ihren Identity Center-fähigen Cluster mit Sicherheitsoptionen konfigurieren, die Amazon EMR unterstützt: