/start
```
## Richten Sie den IAM-Identity-Center-Authentifizierungsmodus für Amazon EMR Studio ein
Um sich auf EMR Studio AWS IAM Identity Center vorzubereiten, müssen Sie Ihre Identitätsquelle konfigurieren und Benutzer und Gruppen bereitstellen. Bei der Bereitstellung werden Benutzer- und Gruppeninformationen für die Verwendung durch IAM Identity Center und durch Anwendungen, die IAM Identity Center verwenden, zur Verfügung gestellt. Weitere Informationen finden Sie unter [Benutzer- und Gruppenbereitstellung](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision).
EMR Studio unterstützt die Verwendung der folgenden Identitätsanbieter für IAM Identity Center:
+ **AWS Managed Microsoft AD und selbstverwaltetes Active Directory** — Weitere Informationen finden Sie unter [Connect Ihrem Microsoft AD-Verzeichnis](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) herstellen.
+ **SAML-basierte Anbieter** – Eine vollständige Liste finden Sie unter [Unterstützte Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **Das IAM-Identity-Center-Verzeichnis** – Weitere Informationen finden Sie unter [Identitäten im IAM Identity Center verwalten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).
**So richten Sie IAM Identity Center für EMR Studio ein**
1. Um IAM Identity Center für EMR Studio einzurichten, benötigen Sie Folgendes:
+ Ein Verwaltungskonto in Ihrer AWS Organisation, wenn Sie mehrere Konten in Ihrer Organisation verwenden.
**Anmerkung**
Sie sollten Ihr Verwaltungskonto nur verwenden, um IAM Identity Center zu aktivieren und Benutzer und Gruppen *bereitzustellen*. Nachdem Sie IAM Identity Center eingerichtet haben, verwenden Sie ein Mitgliedskonto, um ein EMR Studio zu erstellen und Benutzer und *Gruppen zuzuweisen*. Weitere Informationen zur AWS Terminologie finden Sie unter [AWS Organizations Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Wenn Sie IAM Identity Center vor dem 25. November 2019 aktiviert haben, müssen Sie möglicherweise Anwendungen aktivieren, die IAM Identity Center für die Konten in Ihrer AWS Organisation verwenden. Weitere Informationen finden Sie unter [Aktivieren von IAM Identity Center-integrierten](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement) Anwendungen in Konten. AWS
+ Stellen Sie sicher, dass die Voraussetzungen auf der Seite der Voraussetzungen für [IAM Identity Center aufgeführt sind](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).
1. Folgen Sie den Anweisungen unter [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) aktivieren, um IAM Identity Center dort zu aktivieren, AWS-Region wo Sie das EMR Studio erstellen möchten.
1. Verbinden Sie IAM Identity Center mit Ihrem Identitätsanbieter und stellen Sie die Benutzer und Gruppen bereit, die Sie dem Studio zuweisen möchten.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-authentication.html)
Sie können jetzt Benutzer und Gruppen aus Ihrem Identity Store einem EMR Studio zuweisen. Detaillierte Anweisungen finden Sie unter [Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu](emr-studio-manage-users.md#emr-studio-assign-users-groups).
# Eine EMR-Studio-Servicerolle erstellen
## Über die EMR-Studio-Servicerolle
Jedes EMR Studio verwendet eine IAM-Rolle mit Berechtigungen, die es dem Studio ermöglichen, mit anderen AWS Diensten zu interagieren. Diese Servicerolle muss Berechtigungen beinhalten, die es EMR Studio ermöglichen, einen sicheren Netzwerkkanal zwischen Workspaces und Clustern einzurichten, Notebook-Dateien darin zu speichern und darauf zuzugreifen Amazon S3 Control, AWS Secrets Manager während ein Workspace mit einem Git-Repository verknüpft wird.
Verwenden Sie die Studio-Servicerolle (anstelle von Sitzungsrichtlinien), um alle Amazon-S3-Zugriffsberechtigungen für das Speichern von Notebookdateien und AWS Secrets Manager Zugriffsberechtigungen zu definieren.
## So erstellen Sie eine Servicerolle für EMR Studio auf Amazon EC2 oder Amazon EKS
1. Folgen Sie den Anweisungen unter [Eine Rolle erstellen, um Berechtigungen an einen Dienst zu delegieren, um die AWS Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) mit der folgenden Vertrauensrichtlinie zu erstellen.
**Wichtig**
Die folgende Vertrauensrichtlinie umfasst die Schlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) globalen Bedingungsschlüssel, um die Berechtigungen zu beschränken, die Sie EMR Studio auf bestimmte Ressourcen in Ihrem Konto gewähren. Auf diese Weise können Sie sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) schützen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Entfernen Sie die standardmäßigen Rollenberechtigungen. Fügen Sie dann die Berechtigungen aus der folgenden Beispiel-IAM-Berechtigungsrichtlinie hinzu. Alternativ können Sie eine benutzerdefinierte Richtlinie erstellen, die das [Berechtigungen für EMR-Studio-Servicerollen](#emr-studio-service-role-permissions-table) verwendet.
**Wichtig**
Damit die tagbasierte Amazon-EC2-Zugriffskontrolle mit EMR Studio funktioniert, müssen Sie den Zugriff für die `ModifyNetworkInterfaceAttribute` API wie in der folgenden Richtlinie dargestellt einrichten.
Damit EMR Studio mit der Servicerolle funktioniert, dürfen Sie die folgenden Anweisungen nicht ändern: `AllowAddingEMRTagsDuringDefaultSecurityGroupCreation` und `AllowAddingTagsDuringEC2ENICreation`.
Um die Beispielrichtlinie verwenden zu können, müssen Sie die folgenden Ressourcen mit dem Schlüssel `"for-use-with-amazon-emr-managed-policies"` und dem Wert `"true"` kennzeichnen.
Ihre Amazon Virtual Private Cloud (VPC) für EMR Studio.
Jedes Subnetz, das Sie mit dem Studio verwenden möchten.
Alle benutzerdefinierten EMR-Studio-Sicherheitsgruppen. Sie müssen alle Sicherheitsgruppen, die Sie während der Vorschauphase von EMR Studio erstellt haben, taggen, wenn Sie sie weiterhin verwenden möchten.
Geheimnisse AWS Secrets Manager , die in Studio-Benutzern verwaltet werden, um Git-Repositorys mit einem Workspace zu verknüpfen.
Sie können Tags auf Ressourcen anwenden, indem Sie die Registerkarte **Tags** auf dem entsprechenden Ressourcenbildschirm in verwenden. AWS-Managementkonsole
Falls zutreffend, ändern Sie `*` in der folgenden Richtlinie zu `"Resource":"*"`, um den Amazon-Ressourcennamen (ARN) der Ressource oder Ressourcen anzugeben, für die die Anweisung für Ihre Anwendungsfälle gilt bzw. gelten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRReadOnlyActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowEC2ENIActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENIAttributeAction",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2SecurityGroupActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsDuringEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Sid": "AllowEC2ReadOnlyActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowWorkspaceCollaboration",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Erteilen Sie Ihrer Servicerolle Lese- und Schreibzugriff auf Ihren Amazon-S3-Standort für EMR Studio. Verwenden Sie die folgenden Mindestberechtigungen. Für weitere Informationen finden Sie unter [ Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket-console.html).
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Wenn Sie Ihren Amazon-S3-Bucket verschlüsseln, fügen Sie die folgenden Berechtigungen für AWS Key Management Service hinzu.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
1. Wenn Sie den Zugriff auf Git-Secrets auf Benutzerebene kontrollieren möchten, fügen Sie tagbasierte Berechtigungen in der EMR-Studio-**Benutzerrollenrichtlinie** zu `secretsmanager:GetSecretValue` hinzu und entfernen Sie die Berechtigungen für die `secretsmanager:GetSecretValue`-Richtlinie aus der EMR-Studio-**Servicerollenrichtlinie**. Weitere Informationen zum Festlegen von differenzierten Benutzerberechtigungen finden Sie unter [Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen](emr-studio-user-permissions.md#emr-studio-permissions-policies).
## Minimale Servicerolle für EMR Serverless
Wenn Sie interaktive Workloads mit EMR Serverless über EMR-Studio-Notebooks ausführen möchten, verwenden Sie dieselbe Vertrauensrichtlinie, die Sie für die Einrichtung von EMR Studio im vorherigen Abschnitt [So erstellen Sie eine Servicerolle für EMR Studio auf Amazon EC2 oder Amazon EKS](#emr-studio-service-role-instructions) verwendet haben.
Für Ihre IAM-Richtlinie verfügt die Mindestrichtlinie über die folgenden Berechtigungen. Aktualisieren Sie `bucket-name` mit dem Namen des Buckets, den Sie bei der Konfiguration von EMR Studio und Workspace verwenden möchten. EMR Studio verwendet das Bucket-Backup der Workspaces und Notebookdateien in Ihrem Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
Wenn Sie beabsichtigen, einen verschlüsselten Amazon-S3-Bucket zu verwenden, fügen Sie Ihrer Richtlinie die folgenden Berechtigungen hinzu:
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
## Berechtigungen für EMR-Studio-Servicerollen
In der folgenden Tabelle sind die Operationen aufgeführt, die EMR Studio mithilfe der Servicerolle ausführt, zusammen mit den IAM-Aktionen, die für jeden Vorgang erforderlich sind.
| Operation | Aktionen |
| --- | --- |
| Richten Sie einen sicheren Netzwerkkanal zwischen einem Workspace und einem EMR-Cluster ein und führen Sie die erforderlichen Bereinigungsaktionen durch. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| Verwenden Sie die in gespeicherten Git-Anmeldeinformationen AWS Secrets Manager , um Git-Repositorys mit einem Workspace zu verknüpfen. | "secretsmanager:GetSecretValue"
|
| Wenden Sie AWS Tags auf die Netzwerkschnittstelle und die Standardsicherheitsgruppen an, die EMR Studio beim Einrichten des sicheren Netzwerkkanals erstellt. Weitere Informationen finden Sie unter [Markieren von AWS -Ressourcen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). | "ec2:CreateTags"
|
| Greifen Sie auf Notebook-Dateien und Metadaten zu oder laden Sie sie in Amazon S3 hoch. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
Wenn Sie einen verschlüsselten Amazon-S3-Bucket verwenden, schließen Sie die folgenden Berechtigungen ein. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
| Aktivieren und konfigurieren Sie die Workspace-Zusammenarbeit. | "iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers",
"sso:DescribeApplication",
"sso:DescribeInstance"
|
| [Verschlüsseln Sie EMR Studio Workspace-Notizbücher und -Dateien mithilfe von vom Kunden verwalteten Schlüsseln (CMK) mit AWS Key Management Service](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-workspace-storage-encryption) | "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
# EMR-Studio-Benutzerberechtigungen für Amazon EC2 oder Amazon EKS konfigurieren
Sie müssen Benutzerberechtigungsrichtlinien für Amazon EMR Studio konfigurieren, damit Sie detaillierte Benutzer- und Gruppenberechtigungen festlegen können. Informationen zur Funktionsweise von Benutzerberechtigungen in EMR Studio finden Sie unter [Zugriffskontrolle](how-emr-studio-works.md#emr-studio-access-control) unter [Wie Amazon EMR Studio funktioniert](how-emr-studio-works.md).
**Anmerkung**
Die in diesem Abschnitt behandelten Berechtigungen erzwingen keine Datenzugriffskontrolle. Um den Zugriff auf Eingabe-Datensätze zu verwalten, sollten Sie Berechtigungen für die Cluster konfigurieren, die Ihr Studio verwendet. Weitere Informationen finden Sie unter [Sicherheit in Amazon EMR](emr-security.md).
## Eine EMR-Studio-Benutzerrolle für den IAM-Identity-Center-Authentifizierungsmodus erstellen
Sie müssen eine EMR-Studio-Benutzerrolle erstellen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden.
**So erstellen Sie eine Benutzerrolle für EMR Studio**
1. Folgen Sie den Anweisungen unter [Eine Rolle erstellen, um Berechtigungen an einen AWS Dienst zu delegieren im Benutzerhandbuch, um eine AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) *Benutzerrolle* zu erstellen.
Verwenden Sie beim Erstellen der Rolle die folgende Vertrauensbeziehungsrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Entfernen Sie die standardmäßigen Rollenberechtigungen und -richtlinien.
1. Bevor Sie einem Studio Benutzer oder Gruppen zuweisen, hängen Sie Ihre EMR-Studio-Sitzungsrichtlinien an die Benutzerrolle an. Anweisungen zum Erstellen von Sitzungsrichtlinien finden Sie unter [Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen](#emr-studio-permissions-policies).
## Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen
In den folgenden Abschnitten finden Sie Informationen zum Erstellen von Berechtigungsrichtlinien für EMR Studio.
**Topics**
+ [Die Berechtigungsrichtlinien erstellen](#emr-studio-permissions-policies-create)
+ [Legen Sie die Eigentümerschaft für die Workspace-Zusammenarbeit fest](#emr-studio-workspace-collaboration-permissions)
+ [Git-Secrets-Richtlinie auf Benutzerebene erstellen](#emr-studio-permissions-policies-git)
+ [Die Berechtigungsrichtlinie an Ihre IAM-Identität anhängen](#emr-studio-permissions-policies-attach)
**Anmerkung**
Um Amazon-S3-Zugriffsberechtigungen für die Speicherung von Notebook-Dateien und AWS Secrets Manager -Zugriffsberechtigungen für das Lesen von Geheimnissen beim Verknüpfen von Workspaces mit Git-Repositories festzulegen, verwenden Sie die EMR-Studio-Servicerolle.
### Die Berechtigungsrichtlinien erstellen
Erstellen Sie eine oder mehrere IAM-Berechtigungsrichtlinien, die festlegen, welche Aktionen ein Benutzer in Ihrem Studio ausführen kann. Mit den Beispielrichtlinien auf dieser Seite können Sie beispielsweise drei separate Richtlinien für [einfache](), [fortgeschrittene]() und [erfahrene]() Studio-Benutzer erstellen.
Eine Aufschlüsselung aller Studio-Vorgänge, die ein Benutzer möglicherweise ausführen kann, und der IAM-Aktionen, die zur Ausführung dieses Vorgangs mindestens erforderlich sind, finden Sie unter [AWS Identity and Access Management Berechtigungen für EMR Studio-Benutzer](#emr-studio-iam-permissions-table). Schritte zum Erstellen von Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Ihre Berechtigungsrichtlinie muss die folgenden Aussagen enthalten.
```
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
}
```
### Legen Sie die Eigentümerschaft für die Workspace-Zusammenarbeit fest
Mithilfe von Workspace Collaboration können mehrere Benutzer gleichzeitig im selben Workspace arbeiten. Sie kann über das **Collaboration-Bedienfeld** in der Workspace-Benutzeroberfläche konfiguriert werden. Um das **Collaboration** Panel sehen und verwenden zu können, muss ein Benutzer über die folgenden Berechtigungen verfügen. Jeder Benutzer mit diesen Berechtigungen kann das Panel **Zusammenarbeit** sehen und verwenden.
```
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
```
Um den Zugriff auf das Panel **Zusammenarbeit** einzuschränken, können Sie die tagbasierte Zugriffskontrolle verwenden. Wenn ein Benutzer einen Workspace erstellt, wendet EMR Studio ein Standard-Tag mit einem Schlüssel von `creatorUserId`, dessen Wert die ID des Benutzers ist, der den Workspace erstellt.
**Anmerkung**
EMR Studio fügt das `creatorUserId`-Tag zu Workspaces hinzu, die nach dem dem 16. November 2021 erstellt wurden. Um einzuschränken, wer die Zusammenarbeit für vor dem Datum erstellte Workspaces konfigurieren kann, empfehlen wir, das `creatorUserId`-Tag manuell zu Ihrem Workspace hinzuzufügen und dann die tagbasierte Zugriffskontrolle in Ihren Benutzerberechtigungsrichtlinien zu verwenden.
Die folgende Beispielanweisung ermöglicht es einem Benutzer, die Zusammenarbeit für jeden Workspace mit dem Tag-Schlüssel `creatorUserId` zu konfigurieren, dessen Wert der Benutzer-ID entspricht (angegeben durch die Richtlinienvariable `aws:userId`). Mit anderen Worten, die Anweisung ermöglicht es einem Benutzer, die Zusammenarbeit für die von ihm erstellten Workspaces zu konfigurieren. Weitere Informationen zu Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*.
```
{
"Sid": "UserRolePermissionsForCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userid}"
}
}
}
```
### Git-Secrets-Richtlinie auf Benutzerebene erstellen
**Topics**
+ [So verwenden Sie Berechtigungen auf Benutzerebene](#emr-studio-permissions-policies-user)
+ [So gehen Sie von Berechtigungen auf Serviceebene zu Berechtigungen auf Benutzerebene über](#emr-studio-permissions-policies-transition)
+ [Berechtigungen auf Serviceebene](#emr-studio-permissions-policies-service)
#### So verwenden Sie Berechtigungen auf Benutzerebene
EMR Studio fügt das `for-use-with-amazon-emr-managed-user-policies`-Tag automatisch hinzu, wenn es Git-Secrets erstellt. Wenn Sie den Zugriff auf Git-Secrets auf Benutzerebene kontrollieren möchten, fügen Sie der EMR-Studio-**Benutzerrollenrichtlinie** tagbasierte Berechtigungen mit `secretsmanager:GetSecretValue` hinzu, wie im folgenden [So gehen Sie von Berechtigungen auf Serviceebene zu Berechtigungen auf Benutzerebene über](#emr-studio-permissions-policies-transition)-Abschnitt beschrieben.
Wenn Sie für `secretsmanager:GetSecretValue` in der EMR-Studio-**Servicerollenrichtlinie** bereits über Berechtigungen verfügen, sollten Sie diese Berechtigungen entfernen.
#### So gehen Sie von Berechtigungen auf Serviceebene zu Berechtigungen auf Benutzerebene über
**Anmerkung**
Das `for-use-with-amazon-emr-managed-user-policies`-Tag stellt sicher, dass die Berechtigungen aus **Schritt 1** unten dem Ersteller des Workspace Zugriff auf das Git-Secret gewähren. Wenn Sie Git-Repositorys jedoch vor dem 1. September 2023 verlinkt haben, wird den entsprechenden Git-Secrets der Zugriff verweigert, da das `for-use-with-amazon-emr-managed-user-policies`-Tag nicht auf sie angewendet wurde. Um Berechtigungen auf Benutzerebene anzuwenden, müssen Sie die alten Geheimnisse aus den entsprechenden Git-Repositorys neu erstellen JupyterLab und die entsprechenden Git-Repositorys erneut verknüpfen.
Weitere Informationen zu Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*.
1. Fügen Sie der [EMR-Studio-**Benutzerrollenrichtlinie**](emr-studio-service-role.md) die folgenden Berechtigungen hinzu. Sie verwendet den `for-use-with-amazon-emr-managed-user-policies`-Schlüssel mit dem Wert `"${aws:userid}"`.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/for-use-with-amazon-emr-managed-user-policies": "${aws:userid}"
}
}
}
```
1. Falls vorhanden, entfernen Sie die folgende Berechtigung aus der [EMR-Studio-**Servicerollenrichtlinie**](emr-studio-service-role.md). Da die Servicerollenrichtlinie für alle von jedem Benutzer definierten Secrets gilt, müssen Sie dies nur einmal tun.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
}
```
#### Berechtigungen auf Serviceebene
Ab dem 1. September 2023 fügt EMR Studio das `for-use-with-amazon-emr-managed-user-policies`-Tag für die Zugriffskontrolle auf Benutzerebene automatisch hinzu. Da es sich um eine zusätzliche Funktion handelt, können Sie weiterhin den Zugriff auf Serviceebene verwenden, der über die `GetSecretValue`-Berechtigung in der [EMR-Studio-Servicerolle](emr-studio-service-role.md) verfügbar ist.
Für Secrets, die vor dem 1. September 2023 erstellt wurden, hat EMR Studio das `for-use-with-amazon-emr-managed-user-policies`-Tag nicht hinzugefügt. Um weiterhin Berechtigungen auf Serviceebene zu verwenden, behalten Sie einfach Ihre bestehenden [EMR-Studio-Servicerollen](emr-studio-service-role.md) und Benutzerrollenberechtigungen bei. Um jedoch einzuschränken, wer auf ein einzelnes Secret zugreifen kann, empfehlen wir, dass Sie die Schritte unter [So verwenden Sie Berechtigungen auf Benutzerebene](#emr-studio-permissions-policies-user) zum Hinzufügen des `for-use-with-amazon-emr-managed-user-policies`-Tags zu Ihren Secrets befolgen und dann die tagbasierte Zugriffskontrolle in Ihren Benutzerberechtigungsrichtlinien verwenden.
Weitere Informationen zu Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*.
### Die Berechtigungsrichtlinie an Ihre IAM-Identität anhängen
In der folgenden Tabelle wird zusammengefasst, an welche IAM-Identität Sie je nach Ihrem EMR-Studio-Authentifizierungsmodus eine Berechtigungsrichtlinie anhängen. Anweisungen zum Anfügen einer Richtlinie finden Sie unter.[Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
****
| Wenn Sie … | Fügen Sie die Richtlinie an … |
| --- | --- |
| IAM-Authentifizierung | Ihre IAM-Identitäten (Benutzer, Benutzergruppen oder Rollen). Sie können einem Benutzer in Ihrem AWS-Konto eine Berechtigungsrichtlinie zuweisen. |
| IAM-Verbund mit einem externen Identitätsanbieter (IdP) | Die IAM-Rolle oder Rollen, die Sie für Ihren externen IdP erstellen. Zum Beispiel ein IAM für den SAML-2.0-Verbund. EMR Studio verwendet die Berechtigungen, die Sie Ihren IAM-Rollen zuordnen, für Benutzer mit Verbundzugriff auf ein Studio. |
| IAM Identity Center | Ihre Amazon-EMR-Studio-Benutzerrolle. |
## Beispielbenutzerrichtlinien
Die folgende grundlegende Benutzerrichtlinie erlaubt die meisten EMR-Studio-Aktionen, erlaubt es einem Benutzer jedoch nicht, neue Amazon-EMR-Cluster zu erstellen.
### Grundlegende Richtlinien
**Wichtig**
Die Beispielrichtlinie beinhaltet nicht die `CreateStudioPresignedUrl`-Berechtigung, die Sie einem Benutzer gewähren müssen, wenn Sie den IAM-Authentifizierungsmodus verwenden. Weitere Informationen finden Sie unter [Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu](emr-studio-manage-users.md#emr-studio-assign-users-groups).
Die Beispielrichtlinie enthält `Condition`-Elemente zur Durchsetzung der tagbasierten Zugriffskontrolle (TBAC), sodass Sie die Richtlinie mit der Beispielservicerolle für EMR Studio verwenden können. Weitere Informationen finden Sie unter [Eine EMR-Studio-Servicerolle erstellen](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role>"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-aws-111122223333>-region>/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
Die folgende Richtlinie für Zwischenbenutzer ermöglicht die meisten EMR-Studio-Aktionen und ermöglicht es einem Benutzer, mithilfe einer Clustervorlage neue Amazon-EMR-Cluster zu erstellen.
### Zwischenrichtlinie
**Wichtig**
Die Beispielrichtlinie beinhaltet nicht die `CreateStudioPresignedUrl`-Berechtigung, die Sie einem Benutzer gewähren müssen, wenn Sie den IAM-Authentifizierungsmodus verwenden. Weitere Informationen finden Sie unter [Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu](emr-studio-manage-users.md#emr-studio-assign-users-groups).
Die Beispielrichtlinie enthält `Condition`-Elemente zur Durchsetzung der tagbasierten Zugriffskontrolle (TBAC), sodass Sie die Richtlinie mit der Beispielservicerolle für EMR Studio verwenden können. Weitere Informationen finden Sie unter [Eine EMR-Studio-Servicerolle erstellen](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:us-west-1:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
}
]
}
```
------
Die folgende erweiterte Benutzerrichtlinie erlaubt alle EMR-Studio-Aktionen und ermöglicht es einem Benutzer, mithilfe einer Cluster-Vorlage oder durch Bereitstellung einer Cluster-Konfiguration neue Amazon-EMR-Cluster zu erstellen.
### Erweiterte Richtlinien
**Wichtig**
Die Beispielrichtlinie beinhaltet nicht die `CreateStudioPresignedUrl`-Berechtigung, die Sie einem Benutzer gewähren müssen, wenn Sie den IAM-Authentifizierungsmodus verwenden. Weitere Informationen finden Sie unter [Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu](emr-studio-manage-users.md#emr-studio-assign-users-groups).
Die Beispielrichtlinie enthält `Condition`-Elemente zur Durchsetzung der tagbasierten Zugriffskontrolle (TBAC), sodass Sie die Richtlinie mit der Beispielservicerolle für EMR Studio verwenden können. Weitere Informationen finden Sie unter [Eine EMR-Studio-Servicerolle erstellen](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:*:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRCreateClusterAdvancedActions",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role",
"arn:aws:iam::*:role/EMR_DefaultRole_V2",
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "SageMakerDataWranglerForEMRStudio",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowCodeWhisperer",
"Effect": "Allow",
"Action": [
"codewhisperer:GenerateRecommendations"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowAthenaSQL",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Die folgende Benutzerrichtlinie enthält die Mindestbenutzerberechtigungen, die für die Verwendung einer interaktiven EMR-Serverless-Anwendung mit EMR Studio Workspaces erforderlich sind.
### Interaktive EMR-Serverless-Richtlinie
[Ersetzen Sie in dieser Beispielrichtlinie, die Benutzerberechtigungen für interaktive EMR Serverless-Anwendungen mit EMR Studio enthält, die Platzhalter für *serverless-runtime-role* und durch Ihre richtige [EMR Studio-Dienstrolle und *emr-studio-service-role* EMR Serverless-Laufzeitrolle](emr-studio-service-role.md).](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:UpdateStudio",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio",
"elasticmapreduce:ListStudios",
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningEMRServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndGetPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS Identity and Access Management Berechtigungen für EMR Studio-Benutzer
Die folgende Tabelle enthält jeden Amazon-EMR-Studio-Vorgang, den ein Benutzer ausführen könnte, und listet die mindestens erforderlichen IAM-Aktionen auf, um diesen Vorgang auszuführen. Sie erlauben diese Aktionen in Ihren IAM-Berechtigungsrichtlinien (wenn Sie die IAM-Authentifizierung verwenden) oder in Ihren Benutzerrollen-Sitzungsrichtlinien (wenn Sie die IAM-Identity-Center-Authentifizierung verwenden) für EMR Studio.
In der Tabelle werden auch die Operationen angezeigt, die in den einzelnen Beispielberechtigungsrichtlinien für EMR Studio zulässig sind. Weitere Informationen zu Beispiel-Berechtigungsrichtlinien finden Sie unter [Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen](#emr-studio-permissions-policies).
| Action | Basic | Intermediär | Advanced | Zugeordnete Aktionen |
| --- | --- | --- | --- | --- |
| Arbeitsbereiche erstellen und löschen | Ja | Ja | Ja | "elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:DeleteEditor"
|
| Rufen Sie das Panel Zusammenarbeit auf, aktivieren Sie die Workspace-Zusammenarbeit und fügen Sie Mitarbeiter hinzu. Weitere Informationen finden Sie unter [Legen Sie die Eigentümerschaft für die Workspace-Zusammenarbeit](#emr-studio-workspace-collaboration-permissions) fest. | Ja | Ja | Ja | "elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
|
| Sehen Sie sich beim Erstellen eines neuen EMR-Clusters eine Liste der Amazon S3 Control Speicher-Buckets in demselben Konto wie Studio an und greifen Sie auf Container-Logs zu, wenn Sie eine Weboberfläche zum Debuggen von Anwendungen verwenden | Ja | Ja | Ja | "s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
|
| Auf Workspaces zugreifen | Ja | Ja | Ja | "elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:OpenEditorInConsole"
|
| Vorhandene Amazon-EMR-Cluster, die mit dem Workspace verknüpft sind, anhängen oder trennen | Ja | Ja | Ja | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions"
|
| Amazon EMR in EKS-Clustern anfügen oder trennen | Ja | Ja | Ja | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:GetManagedEndpointSessionCredentials"
|
| Serverless-EMR-Anwendungen, die dem Workspace zugeordnet sind, anhängen oder trennen | Nein | Ja | Ja | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints",
"iam:PassRole"
Die `PassRole`-Berechtigung ist erforderlich, um die EMR-Serverless-Auftragsausführungs-Rolle zu übergeben. Weitere Informationen finden Sie unter [Auftragslaufzeitrollen](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) im *Benutzerhandbuch für Amazon EMR Serverless*. |
| Amazon EMR in EC2-Aufträgen mit persistenten Anwendungsbenutzeroberflächen debuggen | Ja | Ja | Ja | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:DescribeCluster",
"s3:ListBucket",
"s3:GetObject"
|
| Amazon EMR in EC2-Aufträgen mit Benutzeroberflächen für Cluster-Anwendungen deuggen | Ja | Ja | Ja | "elasticmapreduce:GetOnClusterAppUIPresignedURL"
|
| Amazon EMR in EKS-Auftragsausführungen mit dem Spark History Server debuggen | Ja | Ja | Ja | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListJobRuns",
"emr-containers:DescribeJobRun",
"s3:ListBucket",
"s3:GetObject"
|
| Git-Repositorys erstellen und löschen | Ja | Ja | Ja | "elasticmapreduce:CreateRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository",
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets",
"secretsmanager:TagResource"
|
| Git-Repositorys verknüpfen und trennen | Ja | Ja | Ja | "elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository"
|
| Neue Cluster aus vordefinierten Cluster-Vorlagen erstellen | Nein | Ja | Ja | "servicecatalog:SearchProducts",
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"cloudformation:DescribeStackResources",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| Stellen Sie eine Clusterkonfiguration bereit, um neue Cluster zu erstellen. | Nein | Nein | Ja | "elasticmapreduce:RunJobFlow",
"iam:PassRole",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| [Weisen Sie einem Studio einen Benutzer zu, wenn Sie den IAM-Authentifizierungsmodus verwenden.](emr-studio-manage-users.md#emr-studio-assign-users-groups) | Nein | Nein | Nein | "elasticmapreduce:CreateStudioPresignedUrl"
|
| Beschreiben Sie Netzwerkobjekte. | Ja | Ja | Ja | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
}
]
}
``` |
| Listen Sie die IAM-Rollen auf. | Ja | Ja | Ja | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
``` |
| [Stellen Sie von Amazon SageMaker AI Studio aus eine Connect zu EMR Studio her und verwenden Sie die visuelle Oberfläche von Data Wrangler.](https://aws.amazon.com/blogs/machine-learning/prepare-data-from-amazon-emr-for-machine-learning-using-amazon-sagemaker-data-wrangler/) | Nein | Nein | Ja | "sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
|
| [Verwenden Sie Amazon CodeWhisperer in Ihrem EMR Studio.](emr-studio-codewhisperer.md) | Nein | Nein | Ja | "codewhisperer:GenerateRecommendations"
|
| [Greifen Sie von Ihrem EMR Studio aus auf den Amazon-Athena-SQL-Editor zu.](emr-studio-athena.md) Diese Liste enthält möglicherweise nicht alle Berechtigungen, die Sie für die Nutzung aller Athena-Features benötigen. Die up-to-date Liste der meisten finden Sie in der [Athena-Vollzugriffsrichtlinie](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy). | Nein | Nein | Ja | "athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetBucketLocation",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
|
# Ein EMR Studio erstellen
Sie können ein EMR Studio für Ihr Team mithilfe der Amazon-EMR-Konsole oder der AWS CLI erstellen. Das Erstellen einer Studio-Instance ist Teil der Einrichtung von Amazon EMR Studio.
**Voraussetzungen**
Bevor Sie ein Studio erstellen, stellen Sie sicher, dass Sie die vorherigen Aufgaben in [Richten Sie ein EMR Studio ein](emr-studio-set-up.md) abgeschlossen haben.
Um ein Studio mit dem zu erstellen AWS CLI, sollten Sie die neueste Version installiert haben. Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Wichtig**
Deaktivieren Sie Proxy-Management-Tools wie FoxyProxy oder SwitchyOmega im Browser, bevor Sie ein Studio erstellen. **Aktive Proxys können zu einer **Netzwerkfehler-Fehlermeldung** führen, wenn Sie Studio erstellen wählen.**
Amazon EMR bietet Ihnen eine einfache Konsolenoberfläche zum Erstellen eines Studios, sodass Sie schnell mit den Standardeinstellungen beginnen können, um interaktive Workloads oder Batch-Jobs mit den Standardeinstellungen auszuführen. Wenn Sie ein EMR Studio erstellen, wird auch eine serverlose EMR-Anwendung erstellt, die für Ihre interaktiven Jobs bereit ist.
Wenn Sie die volle Kontrolle über die Einstellungen Ihres Studios haben möchten, können Sie **Benutzerdefiniert** wählen, wodurch Sie alle zusätzlichen Einstellungen konfigurieren können.
------
#### [ Interactive workloads ]
**So erstellen Sie ein EMR Studio für interaktive Workloads**
1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie im linken Navigationsbereich unter **EMR Studio** die Option **Erste Schritte** aus. **Sie können auf der Studio-Seite auch ein neues Studio erstellen.**
1. Amazon EMR bietet Standardeinstellungen für Sie, wenn Sie ein EMR Studio für interaktive Workloads erstellen, aber Sie können diese Einstellungen bearbeiten. Zu den konfigurierbaren Einstellungen gehören der Name des EMR Studios, der S3-Speicherort für Ihren Workspace, die zu verwendende Servicerolle, die Workspace (s), die Sie verwenden möchten, der Name der EMR Serverless-Anwendung und die zugehörige Runtime-Rolle.
1. **Wählen Sie **Create Studio und starten Sie Workspace**, um den Vorgang abzuschließen und zur Studios-Seite zu navigieren.** Ihr neues Studio wird in der Liste mit Details wie dem **Studio-Namen**, **dem Erstellungsdatum** und der **Studio-Zugriffs-URL** angezeigt. Ihr Workspace wird in einem neuen Tab in Ihrem Browser geöffnet.
------
#### [ Batch jobs ]
**So erstellen Sie ein EMR Studio für interaktive Workloads**
1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie im linken Navigationsbereich unter **EMR Studio** die Option **Erste Schritte** aus. **Sie können auf der Studio-Seite auch ein neues Studio erstellen.**
1. Amazon EMR bietet Standardeinstellungen für Sie, wenn Sie ein EMR Studio für Batch-Jobs erstellen, aber Sie können diese Einstellungen bearbeiten. Zu den konfigurierbaren Einstellungen gehören der Name von EMR Studio, der Name der EMR Serverless-Anwendung und die zugehörige Runtime-Rolle.
1. **Wählen Sie **Create Studio und starten Sie Workspace**, um den Vorgang abzuschließen und zur Studios-Seite zu navigieren.** Ihr neues Studio wird in der Liste mit Details wie dem **Studio-Namen**, **dem Erstellungsdatum** und der **Studio-Zugriffs-URL** angezeigt. Ihr EMR Studio wird in einem neuen Tab in Ihrem Browser geöffnet.
------
#### [ Custom settings ]
**Um ein EMR Studio mit benutzerdefinierten Einstellungen zu erstellen**
1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie im linken Navigationsbereich unter **EMR Studio** die Option **Erste Schritte** aus. **Sie können auf der Studio-Seite auch ein neues Studio erstellen.**
1. Wählen Sie **Studio erstellen**, um die Seite **Studio erstellen** zu öffnen.
1. **Geben Sie einen Studio-Namen ein.**
1. Wählen Sie, ob Sie einen neuen S3-Bucket erstellen oder einen vorhandenen Speicherort verwenden möchten.
1. Wählen Sie den Workspace aus, der dem Studio hinzugefügt werden soll. Sie können bis zu 3 Arbeitsbereiche hinzufügen.
1. Wählen Sie unter **Authentifizierung** einen Authentifizierungsmodus für das Studio und geben Sie die Informationen gemäß der folgenden Tabelle ein. Weitere Informationen zur Authentifizierung für EMR Studio finden Sie unter [Einen Authentifizierungsmodus für Amazon EMR Studio auswählen](emr-studio-authentication.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Wählen Sie für VPC eine Amazon Virtual Private Cloud (**VPC**) für das Studio aus der Drop-down-Liste aus.
1. Wählen Sie unter **Subnetze** maximal fünf Subnetze in Ihrer VPC aus, die Sie dem Studio zuordnen möchten. Sie haben die Möglichkeit, weitere Subnetze hinzuzufügen, nachdem Sie das Studio erstellt haben.
1. Wählen Sie für **Sicherheitsgruppen** entweder die Standardsicherheitsgruppen oder benutzerdefinierte Sicherheitsgruppen aus. Weitere Informationen finden Sie unter [Definieren Sie Sicherheitsgruppen zur Steuerung des Netzwerkverkehrs in EMR Studio](emr-studio-security-groups.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Fügen Sie Ihrem Studio und anderen Ressourcen Tags hinzu. Weitere Informationen zu Tags finden Sie unter [Tag-Cluster](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags.html).
1. Wählen Sie **Create Studio und starten Sie Workspace**, um den Vorgang abzuschließen und zur **Studios-Seite** zu navigieren. Ihr neues Studio wird in der Liste mit Details wie dem **Studio-Namen**, **dem Erstellungsdatum** und der **Studio-Zugriffs-URL** angezeigt.
Nachdem Sie ein Studio erstellt haben, folgen Sie den Anweisungen unter [Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu](emr-studio-manage-users.md#emr-studio-assign-users-groups).
------
#### [ CLI ]
**Anmerkung**
Linux-Zeilenfortsetzungszeichen (\$1) sind aus Gründen der Lesbarkeit enthalten. Sie können entfernt oder in Linux-Befehlen verwendet werden. Entfernen Sie sie unter Windows oder ersetzen Sie sie durch ein Caret-Zeichen (^).
**Example – Erstellen Sie ein EMR Studio, das IAM für die Authentifizierung verwendet**
Der folgende AWS CLI Beispielbefehl erstellt ein EMR Studio mit IAM-Authentifizierungsmodus. Wenn Sie die IAM-Authentifizierung oder den Verbund für das Studio verwenden, geben Sie kein `--user-role` an.
Damit sich Verbundbenutzer mit der Studio-URL und den Anmeldeinformationen für Ihren Identitätsanbieter (IdP) anmelden können, geben Sie Ihr `--idp-auth-url` und `--idp-relay-state-parameter-name` an. Eine Liste der IdP-Authentifizierung URLs und der RelayState Namen finden Sie unter[RelayState Parameter und Authentifizierung des Identitätsanbieters URLs](#emr-studio-idp-reference-table).
```
aws emr create-studio \
--name \
--auth-mode IAM \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role studio-user-role-name \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location \
--idp-auth-url \
--idp-relay-state-parameter-name
```
**Example – Erstellen Sie ein EMR Studio, das Identity Center für die Authentifizierung verwendet**
Mit dem folgenden AWS CLI Beispielbefehl wird ein EMR Studio erstellt, das den IAM Identity Center-Authentifizierungsmodus verwendet. Wenn Sie die IAM-Identity-Center-Authentifizierung verwenden, müssen Sie eine `--user-role` angeben.
Weitere Informationen zum Authentifizierungsmodus von IAM Identy Center finden Sie unter [Richten Sie den IAM-Identity-Center-Authentifizierungsmodus für Amazon EMR Studio ein](emr-studio-authentication.md#emr-studio-enable-sso).
```
aws emr create-studio \
--name \
--auth-mode SSO \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn
```
**Example – CLI-Ausgabe für `aws emr create-studio`**
Es folgt ein Beispiel für die Ausgabe, die nach dem Erstellen eines Studios erscheint.
```
{
StudioId: "es-123XXXXXXXXX",
Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}
```
Weitere Informationen über den Befehl `create-studio` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html).
------
## RelayState Parameter und Authentifizierung des Identitätsanbieters URLs
Wenn Sie den IAM-Verbund verwenden und möchten, dass sich Benutzer mit Ihrer Studio-URL und den Anmeldeinformationen für Ihren Identity Provider (IdP) anmelden, können Sie bei der **Anmeldung Ihren Identity Provider (IdP)** und den **RelayState**Parameternamen angeben. [Ein EMR Studio erstellen](#emr-studio-create-studio)
Die folgende Tabelle zeigt die Standard-Authentifizierungs-URL und den RelayState Parameternamen für einige beliebte Identitätsanbieter.
| Identitätsanbieter | Parameter | Authentifizierungs-URL |
| --- | --- | --- |
| Auth0 | RelayState | https://.auth0.com/samlp/ |
| Google-Konten | RelayState | https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false |
| Microsoft Azure | RelayState | https://myapps.microsoft.com/signin//?tenantId= |
| Okta | RelayState | https://.okta.com/app///sso/saml |
| PingFederate | TargetResource | https:///idp//startSSO.ping?PartnerSpId= |
| PingOne | TargetResource | https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid= |
# EMR-Studio-Benutzer zuweisen und verwalten
Nachdem Sie ein EMR Studio erstellt haben, können Sie ihm Benutzer und Gruppen zuweisen. Die Methode, mit der Sie Benutzer zuweisen, aktualisieren und entfernen, hängt vom Studio-Authentifizierungsmodus ab.
+ Wenn Sie den IAM-Authentifizierungsmodus verwenden, konfigurieren Sie die Benutzerzuweisung und die Berechtigungen von EMR Studio in IAM oder mit IAM und Ihrem Identitätsanbieter.
+ Im IAM Identity Center-Authentifizierungsmodus verwenden Sie die Amazon EMR-Verwaltungskonsole oder die, AWS CLI um Benutzer zu verwalten.
Weitere Informationen zur Authentifizierung für Amazon EMR Studio finden Sie unter [Einen Authentifizierungsmodus für Amazon EMR Studio auswählen](emr-studio-authentication.md).
## Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu
------
#### [ IAM ]
Wenn Sie[IAM-Authentifizierungsmodus für Amazon EMR Studio einrichten](emr-studio-authentication.md#emr-studio-iam-authentication) verwenden, müssen Sie die `CreateStudioPresignedUrl`-Aktion in der IAM-Berechtigungsrichtlinie eines Benutzers zulassen und den Benutzer auf ein bestimmtes Studio beschränken. Sie können `CreateStudioPresignedUrl` in Ihre eigene [Benutzerberechtigungen für den IAM-Authentifizierungsmodus](how-emr-studio-works.md#emr-studio-iam-authorization) aufnehmen oder eine separate Richtlinie verwenden.
Um einen Benutzer auf ein Studio (oder eine Gruppe von Studios) zu beschränken, können Sie die attributbasierte Zugriffskontrolle (ABAC) verwenden oder den Amazon-Ressourcennamen (ARN) eines Studios im `Resource` Element der Berechtigungsrichtlinie angeben.
**Example Weisen Sie einem Studio mithilfe eines Studio-ARN einen Benutzer zu**
Die folgende Beispielrichtlinie gewährt einem Benutzer Zugriff auf ein bestimmtes EMR Studio, indem die `CreateStudioPresignedUrl`-Aktion zugelassen und der Amazon-Ressourcenname (ARN) des Studios im `Resource`-Element angegeben wird.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
]
}
]
}
```
**Example Einem Studio mit ABAC einen Benutzer für die IAM-Authentifizierung zuweisen**
Es gibt mehrere Möglichkeiten, attributbasierte Zugriffskontrolle (ABAC) für ein Studio zu konfigurieren. Sie können beispielsweise ein oder mehrere Tags an ein EMR Studio anhängen und dann eine IAM-Richtlinie erstellen, die die `CreateStudioPresignedUrl`-Aktion auf ein bestimmtes Studio oder eine Gruppe von Studios mit diesen Tags beschränkt.
Sie können Tags während oder nach der Erstellung von Studio hinzufügen. Verwenden Sie den Befehl [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html), um Tags zu einem bestehenden Studio hinzuzufügen. Das folgende Beispiel fügt einem EMR Studio ein Tag mit dem Schlüssel-Wert-Paar `Team = Data Analytics` hinzu.
```
aws emr add-tags --resource-id --tags Team="Data Analytics"
```
Die folgende Beispiel-Berechtigungsrichtlinie ermöglicht die `CreateStudioPresignedUrl`-Aktion für EMR Studios mit dem Tag key-value pair `Team = DataAnalytics`. Weitere Informationen zur Verwendung von Tags zur Zugriffssteuerung finden Sie unter [Zugriffskontrolle für Benutzer und Rollen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) oder [Zugriffskontrolle auf AWS -Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": "Data Analytics"
}
}
}
]
}
```
**Example Weisen Sie einem Studio mithilfe des SourceIdentity globalen Bedingungsschlüssels aws: einen Benutzer zu**
Wenn Sie den IAM-Verbund verwenden, können Sie den globalen Bedingungsschlüssel `aws:SourceIdentity` in einer Berechtigungsrichtlinie verwenden, um Benutzern Studio-Zugriff zu gewähren, wenn sie Ihre IAM-Rolle für den Verbund übernehmen.
Sie müssen zunächst Ihren Identitätsanbieter (IdP) so konfigurieren, dass er eine identifizierende Zeichenfolge zurückgibt, z. B. eine E-Mail-Adresse oder einen Benutzernamen, wenn sich ein Benutzer authentifiziert und Ihre IAM-Rolle für den Verbund übernimmt. IAM setzt den globalen Bedingungsschlüssel `aws:SourceIdentity` auf die identifizierende Zeichenfolge, die von Ihrem IdP zurückgegeben wurde.
Weitere Informationen finden Sie im Blogbeitrag [Wie man die IAM-Rollenaktivität mit der Unternehmensidentität in Beziehung](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) setzt im AWS Sicherheits-Blog und in der Referenz [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) in SourceIdentity der Referenz zu den globalen Bedingungsschlüsseln.
Die folgende Beispielrichtlinie ermöglicht die `CreateStudioPresignedUrl` Aktion und gewährt Benutzern mit einer`aws:SourceIdentity`, die dem von ** angegebenen ** Zugriff auf das EMR Studio entspricht.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
],
"Condition": {
"StringLike": {
"aws:SourceIdentity": "example-source-identity"
}
},
"Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
}
]
}
```
------
#### [ IAM Identity Center ]
Wenn Sie einem EMR Studio einen Benutzer oder eine Gruppe zuweisen, geben Sie eine Sitzungsrichtlinie an, die detaillierte Berechtigungen für diesen Benutzer oder diese Gruppe definiert, z. B. die Möglichkeit, einen neuen EMR-Cluster zu erstellen. Amazon EMR speichert diese Zuordnungen von Sitzungsrichtlinien. Sie können die Sitzungsrichtlinie eines Benutzers oder einer Gruppe nach der Zuweisung aktualisieren.
**Anmerkung**
Die endgültigen Berechtigungen für einen Benutzer oder eine Gruppe sind eine Schnittmenge der in Ihrer EMR-Studio-Benutzerrolle definierten Berechtigungen und den in der Sitzungsrichtlinie für diesen Benutzer oder diese Gruppe definierten Berechtigungen. Wenn ein Benutzer zu mehr als einer Gruppe gehört, die dem Studio zugewiesen ist, verwendet EMR Studio eine Kombination von Berechtigungen für diesen Benutzer.
**So weisen Sie einem EMR Studio mithilfe der Amazon-EMR-Konsole Benutzer oder Gruppen zu**
1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.
1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.
1. Wählen Sie die **Benutzer hinzufügen** um die Suchtabelle **Benutzer** und **Gruppen** anzuzeigen.
1. Wählen Sie die Registerkarte **Benutzer** oder die Registerkarte **Gruppen** und geben Sie einen Suchbegriff in die Suchleiste ein, um einen Benutzer oder eine Gruppe zu finden.
1. Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Suchergebnisliste aus. Sie können zwischen der Registerkarte **Benutzer** und der Registerkarte **Gruppen** hin- und herwechseln.
1. Nachdem Sie Benutzer und Gruppen ausgewählt haben, die Sie dem Studio hinzufügen möchten, wählen Sie **Hinzufügen**. Sie sollten sehen, dass die Benutzer und Gruppen in der **Studio-Benutzerliste** angezeigt werden. Es kann einige Sekunden dauern, bis die Liste aktualisiert wird.
1. Folgen Sie den Anweisungen unter [Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist](#emr-studio-update-user), um die Studio-Berechtigungen für einen Benutzer oder eine Gruppe zu verfeinern.
**Wie Sie EMR Studio einen Benutzer oder eine Gruppe mit AWS CLI zuweisen**
Fügen Sie Ihre eigenen Werte für die folgenden `create-studio-session-mapping`-Argumente ein. Weitere Informationen über den Befehl `create-studio-session-mapping` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`** – Die ID des Studios, dem Sie den Benutzer oder die Gruppe zuweisen möchten. Anleitungen zum Abrufen einer Studio-ID finden Sie unter [Studio-Details anzeigen](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name` – Der Name des Benutzers oder der Gruppe aus dem Identitätsspeicher. Weitere Informationen finden Sie unter [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)Für Benutzer und [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)für Gruppen in der *Identity Store-API-Referenz.*
+ **`--identity-type`** – Verwenden Sie entweder `USER` oder `GROUP`, um den Identitätstyp anzugeben.
+ **`--session-policy-arn`** – Der Amazon-Ressourcenname (ARN) für die Sitzungsrichtlinie, die Sie mit dem Benutzer oder der Gruppe verknüpfen möchten. Beispiel, `arn:aws:iam:::policy/EMRStudio_Advanced_User_Policy`. Weitere Informationen finden Sie unter [Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen](emr-studio-user-permissions.md#emr-studio-permissions-policies).
```
aws emr create-studio-session-mapping \
--studio-id \
--identity-name \
--identity-type \
--session-policy-arn
```
**Anmerkung**
Linux-Zeilenfortsetzungszeichen (\$1) sind aus Gründen der Lesbarkeit enthalten. Sie können entfernt oder in Linux-Befehlen verwendet werden. Entfernen Sie sie unter Windows oder ersetzen Sie sie durch ein Caret-Zeichen (^).
Verwenden Sie den `get-studio-session-mapping`-Befehl, um die neue Zuweisung zu überprüfen. **Ersetzen Sie es durch den IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist
------
#### [ IAM ]
Um Benutzer- oder Gruppenberechtigungen zu aktualisieren, wenn Sie den IAM-Authentifizierungsmodus verwenden, verwenden Sie IAM, um die IAM-Berechtigungsrichtlinien zu ändern, die Ihren IAM-Identitäten (Benutzern, Gruppen oder Rollen) zugeordnet sind.
Weitere Informationen finden Sie unter [Benutzerberechtigungen für den IAM-Authentifizierungsmodus](how-emr-studio-works.md#emr-studio-iam-authorization).
------
#### [ IAM Identity Center ]
****So aktualisieren Sie die EMR-Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der Konsole****
1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.
1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.
1. Suchen Sie in der **Studio-Benutzerliste** auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aktualisieren möchten. Sie können nach Namen oder Identitätstyp suchen.
1. Wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie aktualisieren möchten, und wählen Sie **Richtlinie zuweisen**, um das Dialogfeld **Sitzungsrichtlinie** zu öffnen.
1. Wählen Sie eine Richtlinie aus, die auf den Benutzer oder die Gruppe angewendet werden soll, den Sie in Schritt 5 ausgewählt haben, und klicken Sie dann auf **Richtlinie anwenden**. In der Liste **Studio-Benutzer** sollte der Richtlinienname in der Spalte **Sitzungsrichtlinie** für den Benutzer oder die Gruppe angezeigt werden, den Sie aktualisiert haben.
**So aktualisieren Sie die EMR Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der AWS CLI**
Fügen Sie Ihre eigenen Werte für die folgenden `update-studio-session-mappings`-Argumente ein. Weitere Informationen über den Befehl `update-studio-session-mappings` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).
```
aws emr update-studio-session-mapping \
--studio-id \
--identity-name \
--session-policy-arn \
--identity-type \
```
Verwenden Sie den `get-studio-session-mapping`-Befehl, um die neue Zuweisung der Sitzungsrichtlinie zu überprüfen. **Ersetzen Sie es durch den IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Einen Benutzer oder eine Gruppe aus einem Studio entfernen
------
#### [ IAM ]
Um einen Benutzer oder eine Gruppe aus einem EMR Studio zu entfernen, wenn Sie den IAM-Authentifizierungsmodus verwenden, müssen Sie dem Benutzer den Zugriff auf das Studio entziehen, indem Sie die IAM-Berechtigungsrichtlinie des Benutzers neu konfigurieren.
Gehen Sie in der folgenden Beispielrichtlinie davon aus, dass Sie über ein EMR Studio mit dem Tag-Schlüsselwertpaar `Team = Quality Assurance` verfügen. Gemäß der Richtlinie kann der Benutzer auf Studios zugreifen, die mit dem `Team`-Schlüssel gekennzeichnet sind, dessen Wert entweder `Data Analytics` oder `Quality Assurance` entspricht. Um den Benutzer aus dem Studio zu entfernen, das mit `Team = Quality Assurance` markiert ist, entfernen Sie `Quality Assurance` aus der Liste der Tag-Werte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": [
"Data Analytics",
"Quality Assurance"
]
}
}
}
]
}
```
------
------
#### [ IAM Identity Center ]
****So entfernen Sie einen Benutzer oder eine Gruppe mithilfe der Konsole aus einem EMR Studio****
1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.
1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.
1. Suchen Sie in der Liste **Studio-Benutzer** auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aus dem Studio entfernen möchten. Sie können nach Namen oder Identitätstyp suchen.
1. Wählen Sie den Benutzer oder die Gruppe aus, die Sie löschen möchten, wählen Sie **Löschen** und bestätigen Sie das Löschen. Der Benutzer oder die Gruppe, den Sie gelöscht haben, verschwindet aus der Liste **Studio-Benutzer**.
**Wie Sie einen Benutzer oder eine Gruppe aus einem EMR Studio mit der AWS CLI entfernen**
Fügen Sie Ihre eigenen Werte für die folgenden `delete-studio-session-mapping`-Argumente ein. Weitere Informationen über den Befehl `delete-studio-session-mapping` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).
```
aws emr delete-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
# Amazon EMR Studio-Ressourcen überwachen, aktualisieren und löschen
Dieser Abschnitt enthält Anweisungen, die Ihnen helfen, eine EMR-Studio-Ressource zu überwachen, zu aktualisieren oder zu löschen. Informationen zum Zuweisen von Benutzern oder zum Aktualisieren von Benutzerberechtigungen finden Sie unter [EMR-Studio-Benutzer zuweisen und verwalten](emr-studio-manage-users.md).
## Studio-Details anzeigen
------
#### [ Console ]
****So zeigen Sie Details zu einem EMR Studio mit der neuen Konsole an****
1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie im linken Navigationsbereich unter **EMR Studio** die Option **Studios** aus.
1. Wählen Sie das Studio aus der **Studio-Liste** aus, um die Studio-Detailseite zu öffnen. Die Studio-Detailseite enthält Informationen zu den **Studio-Einstellungen**, z. B. die **Studio-Beschreibung**, **VPC** und **Subnetze**.
------
#### [ CLI ]
**Um Details für ein EMR Studio anhand der Studio-ID abzurufen, verwenden Sie AWS CLI**
Verwenden Sie den folgenden `describe-studio` AWS CLI Befehl, um detaillierte Informationen zu einem bestimmten EMR Studio abzurufen. Weitere Informationen finden Sie in der [https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html).
```
aws emr describe-studio \
--studio-id \
```
**Um eine Liste von EMR Studios abzurufen, verwenden Sie AWS CLI**
Verwenden Sie den folgenden `list-studios` AWS CLI -Befehl. Weitere Informationen finden Sie in der [https://docs.aws.amazon.com/cli/latest/reference/emr/list-studios.html](https://docs.aws.amazon.com/cli/latest/reference/emr/list-studios.html).
```
aws emr list-studios
```
Es folgt ein Beispiel für einen Rückgabewert für den `list-studios`-Befehl im JSON-Format.
```
{
"Studios": [
{
"AuthMode": "IAM",
"VpcId": "vpc-b21XXXXX",
"Name": "example-studio-name",
"Url": "https://es-7HWP74SNGDXXXXXXXXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com",
"CreationTime": 1605672582.781,
"StudioId": "es-7HWP74SNGDXXXXXXXXXXXXXXX",
"Description": "example studio description"
}
]
}
```
------
## Amazon-EMR-Studio-Aktionen überwachen
### EMR-Studio- und API-Aktivitäten anzeigen
EMR Studio ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer IAM-Rolle oder einem anderen AWS Dienst in EMR Studio ausgeführt wurden. CloudTrail erfasst API-Aufrufe für EMR Studio als Ereignisse. Sie können Ereignisse in der CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)anzeigen.
EMR-Studio-Ereignisse liefern Informationen darüber, welcher Studio- oder IAM-Benutzer eine Anfrage stellt und um welche Art von Anfrage es sich handelt.
**Anmerkung**
Clusterinterne Aktionen wie das Ausführen von Notebook-Aufträgen werden AWS CloudTrail nicht ausgegeben.
Sie können auch einen Trail für die kontinuierliche Bereitstellung von EMR CloudTrail Studio-Ereignissen an einen Amazon S3 S3-Bucket erstellen. Weitere Informationen finden Sie im *[AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.
** CloudTrail Beispielereignis: Ein Benutzer ruft die API auf DescribeStudio**
Das Folgende ist ein AWS CloudTrail Beispielereignis, das erzeugt wird, wenn ein Benutzer,`admin`, die [DescribeStudio](https://docs.aws.amazon.com/emr/latest/APIReference/API_DescribeStudio.html)API aufruft. CloudTrail zeichnet den Benutzernamen auf als`admin`.
**Anmerkung**
Um Studio-Details zu schützen, DescribeStudio schließt das EMR Studio API-Ereignis für einen Wert für aus. `responseElements`
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDXXXXXXXXXXXXXXXXXX",
"arn":"arn:aws:iam::653XXXXXXXXX:user/admin",
"accountId":"653XXXXXXXXX",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"admin"
},
"eventTime":"2021-01-07T19:13:58Z",
"eventSource":"elasticmapreduce.amazonaws.com",
"eventName":"DescribeStudio",
"awsRegion":"us-east-1",
"sourceIPAddress":"72.XX.XXX.XX",
"userAgent":"aws-cli/1.18.188 Python/3.8.5 Darwin/18.7.0 botocore/1.19.28",
"requestParameters":{
"studioId":"es-9O5XXXXXXXXXXXXXXXXXXXXXX"
},
"responseElements":null,
"requestID":"0fxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"eventID":"b0xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"readOnly":true,
"eventType":"AwsApiCall",
"managementEvent":true,
"eventCategory":"Management",
"recipientAccountId":"653XXXXXXXXX"
}
```
### Spark-Benutzer- und Jobaktivitäten anzeigen
Um die Spark-Jobaktivitäten von Amazon-EMR-Studio-Benutzern anzuzeigen, können Sie den Benutzerwechsel in einem Cluster konfigurieren. Beim Identitätswechsel wird jeder Spark-Job, der von einem Workspace aus eingereicht wird, dem Studio-Benutzer zugeordnet, der den Code ausgeführt hat.
Wenn der Benutzerwechsel aktiviert ist, erstellt Amazon EMR ein HDFS-Benutzerverzeichnis auf dem Primärknoten des Clusters für jeden Benutzer, der Code im Workspace ausführt. Wenn beispielsweise ein Benutzer `studio-user-1@example.com`-Code ausführt, können Sie eine Verbindung zum Primärknoten herstellen und sehen, dass `hadoop fs -ls /user` ein Verzeichnis für `studio-user-1@example.com` hat.
Um den Spark-Benutzerwechsel einzurichten, legen Sie die folgenden Eigenschaften in den folgenden Konfigurationsklassifizierungen fest:
+ `core-site`
+ `livy-conf`
```
[
{
"Classification": "core-site",
"Properties": {
"hadoop.proxyuser.livy.groups": "*",
"hadoop.proxyuser.livy.hosts": "*"
}
},
{
"Classification": "livy-conf",
"Properties": {
"livy.impersonation.enabled": "true"
}
}
]
```
Informationen zum Anzeigen von Verlaufsserverseiten finden Sie unter [Debuggen von Anwendungen und Aufträgen mit EMR Studio](emr-studio-debug.md). Sie können auch mithilfe von SSH eine Verbindung zum Primärknoten des Clusters herstellen, um die Webschnittstellen der Anwendungen anzuzeigen. Weitere Informationen finden Sie unter [Anzeigen von auf Amazon-EMR-Clustern gehosteten Webschnittstellen](emr-web-interfaces.md).
## Ein Amazon EMR Studio aktualisieren
Nachdem Sie ein EMR Studio erstellt haben, können Sie die folgenden Attribute mit dem AWS CLI aktualisieren:
+ Name
+ Description
+ Standard-S3-Speicherort
+ Subnets
**Um ein EMR Studio mit dem AWS CLI**
Verwenden Sie den `update-studio` AWS CLI Befehl, um ein EMR Studio zu aktualisieren. Weitere Informationen finden Sie in der [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio.html).
**Anmerkung**
Sie können ein Studio mit maximal 5 Subnetzen verknüpfen. Diese Subnetze müssen zur gleichen VPC gehören wie Studio. Die Liste der Subnetze IDs , die Sie an den `update-studio` Befehl senden, kann ein neues Subnetz enthalten IDs, muss aber auch das gesamte Subnetz enthalten, IDs das Sie dem Studio bereits zugeordnet haben. Sie können keine Subnetze aus einem Studio entfernen.
```
aws emr update-studio \
--studio-id \
--name \
--subnet-ids \
```
Verwenden Sie den `describe-studio` AWS CLI Befehl und geben Sie Ihre Studio-ID an, um die Änderungen zu überprüfen. Weitere Informationen finden Sie in der [https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html).
```
aws emr describe-studio \
--studio-id \
```
## Löschen Sie ein Amazon EMR Studio und Workspaces
Wenn Sie ein Studio löschen, löscht EMR Studio alle IAM-Identity-Center-Benutzer- und Gruppenzuweisungen, die dem Studio zugeordnet sind.
**Anmerkung**
Wenn Sie ein Studio löschen, löscht Amazon EMR die mit diesem Studio verknüpften Workspaces *nicht*. Sie müssen die Workspaces in Ihrem Studio separat löschen.
**WorkSpaces löschen**
------
#### [ Console ]
Da es sich bei jedem EMR-Studio-Workspace um eine EMR-Notebook-Instance handelt, können Sie die Verwaltungskonsole für Amazon EMR verwenden, um Workspaces zu löschen. Sie können Workspaces mit der Amazon-EMR-Konsole löschen, bevor oder nachdem Sie Ihr Studio gelöscht haben.
**Um einen Workspace mit der Amazon-EMR-Konsole zu löschen**
1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Wählen Sie **Notebooks**.
1. Wählen Sie die Arbeitsbereiche aus, die Sie löschen möchten.
1. Wählen Sie **Löschen** und nochmals **Löschen** aus, um den Vorgang zu bestätigen.
1. Folgen Sie den Anweisungen zum [Löschen von Objekten](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) im *Konsolen-Benutzerhandbuch* für *Amazon Simple Storage Service*, um die mit dem gelöschten Workspace verknüpften Notebookdateien aus Amazon S3 zu entfernen.
------
#### [ EMR Studio UI ]
------
#### [ From the Workspace UI ]
**Löschen Sie einen Workspace und die zugehörigen Backup-Dateien aus EMR Studio**
1. Melden Sie sich mit Ihrer Studio-Zugriffs-URL bei Ihrem EMR Studio an und wählen Sie in der linken **Navigationsleiste Workspaces** aus.
1. Suchen Sie in der Liste nach Ihrem Workspace und aktivieren Sie das Kontrollkästchen neben dessen Namen. Sie können mehrere Arbeitsbereiche zum gleichzeitigen Löschen auswählen.
1. Wählen Sie oben rechts in der Liste der **Arbeitsbereiche** die Option **Löschen** aus und bestätigen Sie, dass Sie die ausgewählten Arbeitsbereiche löschen möchten. Wählen Sie zur Bestätigung **Delete**.
1. Wenn Sie die Notebookdateien, die mit dem gelöschten Workspace verknüpft waren, aus Amazon S3 entfernen möchten, folgen Sie den Anweisungen zum [Löschen von Objekten](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) im *Konsole-Benutzerhandbuch* von *Amazon Simple Storage Service*. Wenn Sie das Studio nicht erstellt haben, wenden Sie sich an Ihren Studio-Administrator, um den Amazon-S3-Backup-Speicherort für den gelöschten Workspace zu ermitteln.
------
#### [ From the Workspaces list ]
**Löschen Sie einen Workspace und die zugehörigen Backup-Dateien aus der Workspaces-Liste**
1. Navigieren Sie in der Konsole zur **Workspace-Liste**.
1. Wählen Sie den Workspace, den Sie löschen möchten, aus der Liste aus und klicken Sie dann auf **Aktionen**.
1. Wählen Sie **Löschen** aus.
1. Wenn Sie die Notebookdateien, die mit dem gelöschten Workspace verknüpft waren, aus Amazon S3 entfernen möchten, folgen Sie den Anweisungen zum [Löschen von Objekten](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) im *Konsole-Benutzerhandbuch* von *Amazon Simple Storage Service*. Wenn Sie das Studio nicht erstellt haben, wenden Sie sich an Ihren Studio-Administrator, um den Amazon-S3-Backup-Speicherort für den gelöschten Workspace zu ermitteln.
------
------
**Ein EMR Studio löschen**
------
#### [ Console ]
****So löschen Sie ein EMR Studio mit der neuen Konsole****
1. Öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Wählen Sie im linken Navigationsbereich unter **EMR Studio** die Option **Studios** aus.
1. Wählen Sie das Studio aus der **Studio-Liste** mit dem Schalter links neben dem Studio-Namen aus. Wählen Sie **Löschen** aus.
------
#### [ Old console ]
****So löschen Sie ein EMR Studio mit der alten Konsole****
1. Öffnen Sie die Amazon EMR-Konsole zu [https://console.aws.amazon.com/elasticmapreduce/Hause](https://console.aws.amazon.com/elasticmapreduce/home).
1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.
1. Wählen Sie das Studio aus der **Studio-Liste** aus und klicken Sie auf **Löschen**.
------
#### [ CLI ]
**Um ein EMR Studio mit dem AWS CLI**
Verwenden Sie den `delete-studio` AWS CLI Befehl, um ein EMR Studio zu löschen. Weitere Informationen finden Sie in der [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio.html).
```
aws emr delete-studio --studio-id
```
------
# Verschlüsselung von EMR Studio Workspace-Notizbüchern und -Dateien
In EMR Studio können Sie verschiedene Arbeitsbereiche erstellen und konfigurieren, um Notizbücher zu organisieren und auszuführen. In diesen Arbeitsbereichen werden Notizbücher und zugehörige Dateien in Ihrem angegebenen Amazon S3 S3-Bucket gespeichert. Standardmäßig werden diese Dateien mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) mit serverseitiger Verschlüsselung als Basisverschlüsselungsebene verschlüsselt. Sie können sich auch dafür entscheiden, Ihre Dateien mit kundenverwalteten KMS-Schlüsseln (SSE-KMS) zu verschlüsseln. Sie können dies tun, indem Sie die Amazon EMR-Managementkonsole oder das AWS CLI AWS UND-SDK verwenden, wenn Sie ein EMR Studio erstellen.
Die EMR Studio-Workspace-Speicherverschlüsselung ist in allen [Regionen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general) verfügbar, in denen EMR Studio verfügbar ist.
## Voraussetzungen
Bevor Sie das EMR Studio-Workspace-Notizbuch und die Dateien verschlüsseln können, müssen Sie [einen symmetrischen Kundenmanager-Schlüssel (CMK) in derselben AWS-Konto Region wie Ihr EMR Studio erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk). AWS Key Management Service
Ihre Ressourcenrichtlinie AWS KMS muss über die erforderlichen Zugriffsberechtigungen für die Servicerolle Ihres EMR Studio verfügen. Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die Mindestzugriffsberechtigungen für die EMR Studio Workspace-Speicherverschlüsselung gewährt:
```
{
"Sid": "AllowEMRStudioServiceRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "",
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::",
"kms:ViaService": "s3..amazonaws.com"
}
}
}
```
Ihre EMR Studio-Servicerolle muss auch über die Zugriffsberechtigungen verfügen, um Ihren AWS KMS Schlüssel verwenden zu können. Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die die Mindestzugriffsberechtigungen für die EMR Studio Workspace-Speicherverschlüsselung gewährt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
]
}
]
}
```
------
## Neues EMR Studio erstellen
Gehen Sie wie folgt vor, um ein neues EMR Studio zu erstellen, das Workspace Storage Encryption verwendet.
1. Öffnen Sie die Amazon-EMR-Konsole unter [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).
1. Wählen Sie **Studios** und anschließend **Create Studio** aus.
1. Geben Sie für **S3-Speicherort einen Amazon S3 S3-Pfad** ein oder wählen Sie ihn aus. Dies ist der Amazon S3 S3-Speicherort, an dem Amazon EMR Workspace-Notizbücher und -Dateien speichert.
1. Geben Sie **unter Servicerolle eine IAM-Rolle** ein, oder wählen Sie sie aus. Dies ist die IAM-Rolle, die Amazon EMR übernimmt.
1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen Schlüssel verschlüsseln**. AWS KMS
1. Geben Sie einen AWS KMS Schlüssel ein, der zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie einen aus.
1. Wählen Sie **Create Studio** oder **Create Studio and Launch Workspaces**.
1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen AWS KMS Schlüssel verschlüsseln**.
1. Geben Sie eine ein AWS KMS , die zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie eine aus.
1. Wählen Sie **Save Changes**.
Die folgenden Schritte zeigen, wie Sie ein EMR Studio aktualisieren und die Workspace-Speicherverschlüsselung einrichten.
1. Öffnen Sie die Amazon-EMR-Konsole unter [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).
1. Wählen Sie **ein vorhandenes EMR Studio aus der Liste** aus und klicken Sie dann auf **Bearbeiten**.
1. Wählen Sie **Workspace-Dateien mit Ihrem eigenen AWS KMS Schlüssel verschlüsseln**.
1. Geben Sie eine ein AWS KMS , die zum Verschlüsseln von Workspace-Notizbüchern und -Dateien in Amazon S3 verwendet werden soll, oder wählen Sie eine aus.
1. Wählen Sie **Save Changes**.
# Definieren Sie Sicherheitsgruppen zur Steuerung des Netzwerkverkehrs in EMR Studio
## Informationen über die EMR-Studio-Sicherheitsgruppen
Amazon EMR Studio verwendet zwei Sicherheitsgruppen, um den Netzwerkverkehr zwischen Workspaces im Studio und einem verbundenen Amazon-EMR-Cluster, der auf Amazon EC2 läuft, zu kontrollieren:
+ Eine **Engine-Sicherheitsgruppe**, die Port 18888 verwendet, um mit einem verbundenen Amazon-EMR-Cluster zu kommunizieren, der auf Amazon EC2 läuft.
+ Eine **Workspace-Sicherheitsgruppe**, die den Workspaces in einem Studio zugeordnet ist. Diese Sicherheitsgruppe umfasst eine ausgehende HTTPS-Regel, die es dem Workspace ermöglicht, Datenverkehr ins Internet weiterzuleiten, und muss ausgehenden Datenverkehr ins Internet an Port 443 zulassen, um die Verknüpfung von Git-Repositorys mit einem Workspace zu ermöglichen.
EMR Studio verwendet diese Sicherheitsgruppen zusätzlich zu allen Sicherheitsgruppen, die einem an einen Workspace angeschlossenen EMR-Cluster zugeordnet sind.
Sie müssen diese Sicherheitsgruppen erstellen, wenn Sie das verwenden AWS CLI , um ein Studio zu erstellen.
**Anmerkung**
Sie können die Sicherheitsgruppen für EMR Studio mit Regeln anpassen, die auf Ihre Umgebung zugeschnitten sind. Sie müssen jedoch die auf dieser Seite aufgeführten Regeln einbeziehen. Ihre Workspace-Sicherheitsgruppe kann keinen eingehenden Datenverkehr zulassen, und die Engine-Sicherheitsgruppe muss eingehenden Datenverkehr von der Workspace-Sicherheitsgruppe zulassen.
**Die standardmäßigen EMR-Studio-Sicherheitsgruppen verwenden**
Wenn Sie die Amazon-EMR-Konsole verwenden, können Sie die folgenden Standardsicherheitsgruppen auswählen. Die Standardsicherheitsgruppen werden von EMR Studio in Ihrem Namen erstellt und enthalten die Mindestregeln für eingehende und ausgehende Nachrichten für Workspaces in einem EMR Studio.
+ `DefaultEngineSecurityGroup`
+ `DefaultWorkspaceSecurityGroupGit` oder `DefaultWorkspaceSecurityGroupWithoutGit`
## Voraussetzungen
Um die Sicherheitsgruppen für EMR Studio zu erstellen, benötigen Sie eine Amazon Virtual Private Cloud (VPC) für das Studio. Sie wählen diese VPC aus, wenn Sie die Sicherheitsgruppen erstellen. Dies sollte die gleiche VPC sein, die Sie beim Erstellen des Studios angeben. Wenn Sie Amazon EMR in EKS mit EMR Studio verwenden möchten, wählen Sie die VPC für Ihre Amazon-EKS-Cluster-Workerknoten aus.
## Anleitungen
Folgen Sie den Anweisungen unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) im *Amazon-EC2-Benutzerhandbuch für Linux-Instances*, um eine Engine-Sicherheitsgruppe und eine Workspace-Sicherheitsgruppe in Ihrer VPC zu erstellen. Die Sicherheitsgruppen müssen die in den folgenden Tabellen zusammengefassten Regeln enthalten.
Wenn Sie Sicherheitsgruppen für EMR Studio erstellen, beachten Sie die IDs für beide. Sie geben jede Sicherheitsgruppe anhand ihrer ID an, wenn Sie ein Studio erstellen.
**Engine-Sicherheitsgruppe**
EMR Studio verwendet Port 18888 für die Kommunikation mit einem angeschlossenen Cluster.
**Regeln für eingehenden Datenverkehr**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-security-groups.html)
**WorkSpaces-Sicherheitsgruppe**
Diese Sicherheitsgruppe ist den Workspaces in einem EMR Studio zugeordnet.
**Regeln für ausgehenden Datenverkehr**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-security-groups.html)
# AWS CloudFormation Vorlagen für Amazon EMR Studio erstellen
## Informationen über die EMR-Studio-Clustervorlagen
Sie können AWS CloudFormation Vorlagen erstellen, um EMR Studio-Benutzern zu helfen, neue Amazon EMR-Cluster in einem Workspace zu starten. CloudFormation Vorlagen sind formatierte Textdateien in JSON oder YAML. In einer Vorlage beschreiben Sie einen Stapel von AWS Ressourcen und erklären, CloudFormation wie Sie diese Ressourcen für Sie bereitstellen können. Für EMR Studio können Sie eine oder mehrere Vorlagen erstellen, die einen Amazon-EMR-Cluster beschreiben.
Sie organisieren Ihre Vorlagen in AWS Service Catalog. AWS Service Catalog ermöglicht es Ihnen, häufig bereitgestellte IT-Services, sogenannte *Produkte*, zu erstellen und zu verwalten AWS. Sie sammeln Ihre Vorlagen als Produkte in einem *Portfolio*, das Sie mit Ihren EMR-Studio-Benutzern teilen. Nachdem Sie Cluster-Vorlagen erstellt haben, können Studio-Benutzer mit einer Ihrer Vorlagen einen neuen Cluster für einen Workspace starten. Benutzer müssen über die Berechtigung zum Erstellen neuer Cluster aus Vorlagen verfügen. Sie können Benutzerberechtigungen in Ihren [EMR-Studio-Berechtigungsrichtlinien festlegen](emr-studio-user-permissions.md).
Weitere Informationen zu CloudFormation Vorlagen finden Sie unter [Vorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b7) im *AWS CloudFormation Benutzerhandbuch*. Weitere Informationen zu AWS Service Catalog finden Sie unter [Was ist AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html).
Das folgende Video veranschaulicht, wie Sie Cluster-Vorlagen in AWS Service Catalog für EMR Studio einrichten. Weitere Informationen finden Sie auch im Blogbeitrag [Aufbau einer Self-Service-Umgebung für jeden Geschäftsbereich mithilfe von Amazon EMR und Service Catalog](https://aws.amazon.com/blogs/big-data/build-a-self-service-environment-for-each-line-of-business-using-amazon-emr-and-aws-service-catalog/).
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/9w_TXTdFLpo)
### Optionale Vorlageparameter
Sie können zusätzliche Optionen in den [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) Abschnitt Ihrer Vorlage aufnehmen. Mit *Parametern* können Studio-Benutzer benutzerdefinierte Werte für einen Cluster eingeben oder auswählen. Sie könnten beispielsweise einen Parameter hinzufügen, mit dem Benutzer eine bestimmte Amazon-EMR-Version auswählen können. Weitere Informationen finden Sie unter [Parameter](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) im *CloudFormation -Benutzerhandbuch*.
Der folgende `Parameters`-Beispielabschnitt definiert zusätzliche Eingabeparameter wie `ClusterName`, `EmrRelease`-Version und `ClusterInstanceType`.
```
Parameters:
ClusterName:
Type: "String"
Default: "Cluster_Name_Placeholder"
EmrRelease:
Type: "String"
Default: "emr-6.2.0"
AllowedValues:
- "emr-6.2.0"
- "emr-5.32.0"
ClusterInstanceType:
Type: "String"
Default: "m5.xlarge"
AllowedValues:
- "m5.xlarge"
- "m5.2xlarge"
```
Wenn Sie Parameter hinzufügen, werden Studio-Benutzern nach der Auswahl einer Clustervorlage zusätzliche Formularoptionen angezeigt. Die folgende Abbildung zeigt zusätzliche Formularoptionen für **EmrRelease**Version **ClusterName**, und **InstanceType**.
![\[Screenshot der zusätzlichen Eingaben in der Studio-Benutzeroberfläche, wenn ein Benutzer eine Clustervorlage mit Parametern auswählt.\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/images/cluster-template-parameters-studio-ui.jpg)
## Voraussetzungen
Bevor Sie eine Clustervorlage erstellen, stellen Sie sicher, dass Sie über IAM-Berechtigungen für den Zugriff auf die Administratorkonsolenansicht von Service Catalog verfügen. Sie benötigen außerdem die erforderlichen IAM-Berechtigungen, um die administrativen Aufgaben von Service Catalog auszuführen. Weitere Informationen finden Sie unter [Service-Catalog-Administratoren Berechtigungen erteilen](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-iamadmin.html).
## EMR-Cluster-Vorlagen erstellen
**So erstellen Sie EMR-Clustervorlagen mithilfe von Service Catalog**
1. Erstellen Sie eine oder mehrere CloudFormation Vorlagen. Wo Sie Ihre Vorlagen speichern, liegt bei Ihnen. Da es sich bei Vorlagen um formatierte Textdateien handelt, können Sie sie auf Amazon S3 hochladen oder in Ihrem lokalen Dateisystem speichern. Weitere Informationen zu CloudFormation Vorlagen finden Sie unter [Vorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b7) im *AWS CloudFormation Benutzerhandbuch*.
Verwenden Sie die folgenden Regeln, um Ihre Vorlagen zu benennen, oder vergleichen Sie Ihre Namen mit dem Muster `[a-zA-Z0-9][a-zA-Z0-9._-]*`.
+ Vorlagennamen müssen mit einer Ziffer oder einem Buchstaben beginnen.
+ Vorlagennamen dürfen nur aus Buchstaben, Ziffern, Punkten (.), Unterstrichen (\$1) und Bindestrichen (-) bestehen.
Jede Cluster-Vorlage, die Sie erstellen, muss die folgenden Optionen enthalten:
**Eingabeparameter**
+ ClusterName — Ein Name für den Cluster, damit Benutzer ihn nach der Bereitstellung leichter identifizieren können.
**Ausgabe**
+ `ClusterId` – Die ID des neu bereitgestellten EMR-Clusters.
Im Folgenden finden Sie eine CloudFormation Beispielvorlage im YAML-Format für einen Cluster mit zwei Knoten. Die Beispielvorlage enthält die erforderlichen Vorlagenoptionen und definiert zusätzliche Eingabeparameter für `EmrRelease` und `ClusterInstanceType`.
```
awsTemplateFormatVersion: 2010-09-09
Parameters:
ClusterName:
Type: "String"
Default: "Example_Two_Node_Cluster"
EmrRelease:
Type: "String"
Default: "emr-6.2.0"
AllowedValues:
- "emr-6.2.0"
- "emr-5.32.0"
ClusterInstanceType:
Type: "String"
Default: "m5.xlarge"
AllowedValues:
- "m5.xlarge"
- "m5.2xlarge"
Resources:
EmrCluster:
Type: AWS::EMR::Cluster
Properties:
Applications:
- Name: Spark
- Name: Livy
- Name: JupyterEnterpriseGateway
- Name: Hive
EbsRootVolumeSize: '10'
Name: !Ref ClusterName
JobFlowRole: EMR_EC2_DefaultRole
ServiceRole: EMR_DefaultRole_V2
ReleaseLabel: !Ref EmrRelease
VisibleToAllUsers: true
LogUri:
Fn::Sub: 's3://aws-logs-${AWS::AccountId}-${AWS::Region}/elasticmapreduce/'
Instances:
TerminationProtected: false
Ec2SubnetId: 'subnet-ab12345c'
MasterInstanceGroup:
InstanceCount: 1
InstanceType: !Ref ClusterInstanceType
CoreInstanceGroup:
InstanceCount: 1
InstanceType: !Ref ClusterInstanceType
Market: ON_DEMAND
Name: Core
Outputs:
ClusterId:
Value:
Ref: EmrCluster
Description: The ID of the EMR cluster
```
1. Erstellen Sie ein Portfolio für Ihre Cluster-Vorlagen in demselben AWS Konto wie Ihr Studio.
1. Öffnen Sie die AWS Service Catalog Konsole unter [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Wählen Sie im linken Navigationsmenü **Portfolios**.
1. Geben Sie auf der Seite **Portfolio erstellen** die erforderlichen Informationen ein.
1. Wählen Sie „**Erstellen**“. AWS Service Catalog erstellt das Portfolio und zeigt die Portfoliodetails an.
1. Führen Sie die folgenden Schritte aus, um Ihre Cluster-Vorlagen als AWS Service Catalog -Produkte hinzuzufügen.
1. Navigieren Sie in der AWS Service Catalog -Managementkonsole unter **Administration** zur Seite **Produkte**.
1. Wählen Sie **Neues Produkt hochladen**.
1. Geben Sie einen **Produktnamen** und einen **Eigentümer** ein.
1. Geben Sie Ihre Vorlagendatei unter **Versionsdetails** an.
1. Wähle **Überprüfen**, um deine Produkteinstellungen zu überprüfen, und wähle dann **Produkt erstellen**.
1. Führen Sie die folgenden Schritte aus, um Ihre Produkte zu Ihrem Portfolio hinzuzufügen.
1. Navigieren Sie in der AWS Service Catalog -Managementkonsole unter Administration zur Seite **Produkte**.
1. Wählen Sie Ihr Produkt aus, klicken Sie auf **Aktionen** und anschließend auf **Produkt zum Portfolio hinzufügen**.
1. Wählen Sie Ihr Portfolio aus und klicken Sie dann auf **Produkt zum Portfolio hinzufügen**.
1. Legen Sie eine Beschränkung für die Markteinführung deiner Produkte fest. Eine Startbeschränkung ist eine IAM-Rolle, die Benutzerberechtigungen für die Markteinführung eines Produkts festlegt. Sie können Ihre Startbeschränkungen anpassen, müssen jedoch Berechtigungen zur Nutzung CloudFormation von Amazon EMR und AWS Service Catalog zulassen. Weitere Informationen und Anweisungen finden Sie unter [Startbeschränkungen für den Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html).
1. Wenden Sie Ihre Markteinführungsbeschränkung auf jedes Produkt in Ihrem Portfolio an. Sie müssen die Markteinführungsbeschränkung auf jedes Produkt einzeln anwenden.
1. Wählen Sie Ihr Portfolio auf der **Portfolio-Seite** in der AWS Service Catalog -Managementkonsole aus.
1. Wählen Sie die Registerkarte **Constraints (Einschränkungen)** und dann **Create constraint (Einschränkung erstellen)**.
1. Wählen Sie Ihr Produkt aus und wählen Sie unter **Einschränkungstyp** die Option **Starten** aus. Klicken Sie auf **Weiter**.
1. Wählen Sie Ihre Startbeschränkungsrolle im Abschnitt **Startbeschränkung** aus, und wählen Sie dann **Erstellen**.
1. Gewähren Sie Zugriff auf Ihr Portfolio.
1. Wählen Sie Ihr Portfolio auf der **Portfolio-Seite** in der AWS Service Catalog -Managementkonsole aus.
1. Erweitern Sie den Tab **Gruppen, Rollen und Benutzer** und wählen Sie **Gruppen, Rollen, Benutzer hinzufügen** aus.
1. Suchen Sie auf der Registerkarte **Rollen** nach Ihrer EMR-Studio-IAM-Rolle, wählen Sie Ihre Rolle aus und klicken Sie auf **Zugriff hinzufügen**.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-studio-cluster-templates.html)
# Zugriff und Berechtigungen für Git-basierte Repositorys einrichten
EMR Studio unterstützt die folgenden Git-basierten Services:
+ [AWS CodeCommit](https://aws.amazon.com/codecommit)
+ [GitHub](https://github.com)
+ [Bitbucket](https://bitbucket.org/)
+ [GitLab](https://about.gitlab.com/)
Damit EMR-Studio-Benutzer ein Git-Repository mit einem Workspace verknüpfen können, richten Sie die folgenden Zugriffs- und Berechtigungsanforderungen ein. Sie können auch Git-basierte Repositorys konfigurieren, die Sie in einem privaten Netzwerk hosten, indem Sie den Anweisungen unter [Ein privat gehostetes Git-Repository für EMR Studio konfigurieren](#emr-studio-private-git-repo) folgen.
** Cluster-Internetzugang**
Sowohl Amazon-EMR-Cluster, die auf Amazon EC2 ausgeführt werden, als auch Amazon EMR auf EKS-Clustern, die mit Studio Workspaces verbunden sind, müssen sich in einem privaten Subnetz befinden, das ein Network Address Translation (NAT) -Gateway verwendet, oder sie müssen in der Lage sein, über ein Virtual Private Gateway auf das Internet zuzugreifen. Weitere Informationen finden Sie unter [Amazon VPC-Optionen beim Starten eines Clusters](emr-clusters-in-a-vpc.md).
Die Sicherheitsgruppen, die Sie mit EMR Studio verwenden, müssen auch eine ausgehende Regel enthalten, die es Workspaces ermöglicht, Datenverkehr von einem angeschlossenen EMR-Cluster ins Internet weiterzuleiten. Weitere Informationen finden Sie unter [Definieren Sie Sicherheitsgruppen zur Steuerung des Netzwerkverkehrs in EMR Studio](emr-studio-security-groups.md).
Wenn die Netzwerkschnittstelle in einem öffentlichem Subnetz befindet, kann sie nicht über ein Internet-Gateway (IGW) mit dem Internet kommunizieren.
**Berechtigungen für AWS Secrets Manager**
Um EMR-Studio-Benutzern den Zugriff auf Git-Repositorys mit in AWS Secrets Manager gespeicherten Geheimnissen zu ermöglichen, fügen Sie der [Servicerolle für EMR Studio](emr-studio-service-role.md) eine Berechtigungsrichtlinie hinzu, die den Vorgang `secretsmanager:GetSecretValue` ermöglicht.
Informationen zum Verknüpfen von Git-basierten Repositorys mit Workspaces finden Sie unter [Git-basierte Repositorys mit einem EMR Studio Workspace verknüpfen](emr-studio-git-repo.md).
## Ein privat gehostetes Git-Repository für EMR Studio konfigurieren
Verwenden Sie die folgenden Anweisungen, um privat gehostete Repositorys für Amazon EMR Studio zu konfigurieren. Sie müssen eine Konfigurationsdatei mit Informationen zu Ihren DNS- und Git-Servern bereitstellen. EMR Studio verwendet diese Informationen, um Workspaces zu konfigurieren, die den Datenverkehr an Ihre selbstverwalteten Repositorys weiterleiten können.
**Anmerkung**
Wenn Sie konfigurieren`DnsServerIpV4`, verwendet EMR Studio Ihren DNS-Server, um sowohl Ihre Endgeräte als auch Ihre `GitServerDnsName` AWS-Endgeräte aufzulösen. Es wird jedoch dringend empfohlen, die Auflösung von AWS-Endpunkten mit Ihrem zu vermeiden, `DnsServerIpV4` da dies wichtige Servicefunktionen beeinträchtigen kann.
**Voraussetzungen**
Bevor Sie ein privat gehostetes Git-Repository für EMR Studio konfigurieren, benötigen Sie einen Amazon-S3-Speicherort, an dem EMR Studio die Workspaces und Notebook-Dateien im Studio sichern kann. Verwenden Sie denselben S3-Bucket, den Sie beim Erstellen eines Studios angegeben haben.
**Wie Sie ein oder mehrere privat gehostete Git-Repositorys für EMR Studio zu konfigurieren**
1. Erstellen Sie eine Konfigurationsdatei mithilfe der folgenden Vorlage. Geben Sie für jeden Git-Server, den Sie in Ihrer Konfiguration angeben möchten, die folgenden Werte an:
+ **`DnsServerIpV4`**- Die IPv4 Adresse Ihres DNS-Servers. Wenn Sie Werte für sowohl `DnsServerIpV4` als auch für `GitServerIpV4List` angeben, hat der Wert für `DnsServerIpV4` Vorrang und EMR Studio verwendet `DnsServerIpV4`, um Ihr `GitServerDnsName` zu lösen.
**Anmerkung**
Um privat gehostete Git-Repositorys verwenden zu können, muss Ihr DNS-Server eingehenden Zugriff von EMR Studio zulassen. Wir bitten Sie dringend, Ihren DNS-Server vor anderen, unbefugten Zugriffen zu schützen.
+ **`GitServerDnsName`** – Der DNS-Name Ihres Git-Servers. Zum Beispiel `"git.example.com"`.
+ **`GitServerIpV4List`**- Eine Liste von IPv4 Adressen, die zu deinen Git-Servern gehören.
```
[
{
"Type": "PrivatelyHostedGitConfig",
"Value": [
{
"DnsServerIpV4": "<10.24.34.xxx>",
"GitServerDnsName": "",
"GitServerIpV4List": [
"",
""
]
},
{
"DnsServerIpV4": "<10.24.34.xxx>",
"GitServerDnsName": "",
"GitServerIpV4List": [
"",
""
]
}
]
}
]
```
1. Speichern Sie Ihre Konfigurationsdatei unter `configuration.json`.
1. Laden Sie die Konfigurationsdatei in Ihren standardmäßigen Amazon S3 S3-Speicherort in einem Ordner mit dem Namen hoch`life-cycle-configuration`. Wenn Ihr Standard-S3-Speicherort beispielsweise `s3://amzn-s3-demo-bucket/workspace` lautet, befindet sich Ihre Konfigurationsdatei in `s3://amzn-s3-demo-bucket/workspace/life-cycle-configuration/configuration.json`.
**Wichtig**
Wir bitten Sie dringend, den Zugriff auf Ihren `life-cycle-configuration`-Ordner auf Studio-Administratoren und Ihre EMR-Studio-Servicerolle zu beschränken und `configuration.json` vor unbefugtem Zugriff zu schützen. Anweisungen finden Sie unter [Steuern des Zugriffs auf einen Bucket mit Benutzerrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) oder [Bewährte Sicherheitsmethoden für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html).
Anweisungen zum Hochladen finden Sie unter [Erstellen eines Ordners](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html#create-folder) und [Hochladen von Objekten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) im *Benutzerhandbuch für Amazon Simple Storage Service*. Um Ihre Konfiguration auf einen vorhandenen Workspace anzuwenden, schließen Sie den Workspace und starten Sie ihn neu, nachdem Sie Ihre Konfigurationsdatei auf Amazon S3 hochgeladen haben.
# Spark-Aufträge in EMR Studio optimieren
Wenn Sie einen Spark-Job mit EMR Studio ausführen, können Sie einige Schritte unternehmen, um sicherzustellen, dass Sie Ihre Amazon-EMR-Clusterressourcen optimieren.
## Ihre Livy-Sitzung verlängern
Wenn Sie Apache Livy zusammen mit Spark auf Ihrem Amazon-EMR-Cluster verwenden, empfehlen wir Ihnen, Ihr Livy-Sitzungs-Timeout zu erhöhen, indem Sie einen der folgenden Schritte ausführen:
+ Wenn Sie einen Amazon-EMR-Cluster erstellen, legen Sie diese Konfigurationsklassifizierung im Feld **Konfiguration eingeben** fest.
```
[
{
"Classification": "livy-conf",
"Properties": {
"livy.server.session.timeout": "8h"
}
}
]
```
+ Stellen Sie für einen bereits laufenden EMR-Cluster eine Verbindung zu Ihrem Cluster mit `ssh` her und legen Sie die `livy-conf` Konfigurationsklassifizierung unter `/etc/livy/conf/livy.conf` fest.
```
[
{
"Classification": "livy-conf",
"Properties": {
"livy.server.session.timeout": "8h"
}
}
]
```
Möglicherweise müssen Sie Livy neu starten, nachdem Sie die Konfiguration geändert haben.
+ Wenn Sie nicht möchten, dass es bei Ihrer Livy-Sitzung zu einem Timeout kommt, setzen Sie die Eigenschaft `livy.server.session.timeout-check` auf `false` in `/etc/livy/conf/livy.conf`.
## Spark im Cluster-Modus ausführen
Im Clustermodus wird der Spark-Treiber auf einem Core-Knoten statt auf dem Primärknoten ausgeführt, wodurch die Ressourcennutzung auf dem Primärknoten verbessert wird.
Um Ihre Spark-Anwendung im Cluster-Modus statt im Standard-Client-Modus auszuführen, wählen Sie **Cluster-Modus**, wenn Sie bei der Konfiguration Ihres Spark-Schritts in Ihrem neuen Amazon-EMR-Cluster den **Bereitstellungsmodus** festlegen. Weitere Informationen finden Sie unter [Übersicht über den Clustermodus](https://spark.apache.org/docs/latest/cluster-overview.html) in der Apache-Spark-Dokumentation.
## Den Spark-Treiberspeicher erhöhen
Um den Speicher des Spark-Treibers zu erhöhen, konfigurieren Sie Ihre Spark-Sitzung mit dem `%%configure` magischen Befehl in Ihrem EMR-Notebook, wie im folgenden Beispiel.
```
%%configure -f
{"driverMemory": "6000M"}
```