Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon EMR Studio
Das folgende Verfahren führt Sie durch die Einrichtung von Amazon EMR Studio für die Weitergabe vertrauenswürdiger Identitäten in Abfragen gegen laufende Amazon Athena Athena-Arbeitsgruppen oder Amazon EMR-Cluster. Apache Spark
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
Um die Einrichtung der vertrauenswürdigen Identitätsverbreitung von Amazon EMR Studio abzuschließen, muss der EMR Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR Studio
In diesem Schritt erstellt der Amazon Studio EMR-Administrator eine IAM-Servicerolle und eine IAM-Benutzerrolle für EMR. Studio
1. **[Eine EMR Studio-Servicerolle erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — EMR Studio übernimmt diese IAM-Rolle, um Workspaces und Notebooks sicher zu verwalten, Verbindungen zu Clustern herzustellen und Dateninteraktionen abzuwickeln.
1. Navigieren Sie zur IAM-Konsole ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) und erstellen Sie eine IAM-Rolle.
1. Wählen Sie **AWS-Service**als vertrauenswürdige Entität und dann **Amazon EMR** aus. Fügen Sie die folgenden Richtlinien hinzu, um die Berechtigungen und das Vertrauensverhältnis der Rolle zu definieren.
Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Eine Referenz aller Servicerollenberechtigungen finden Sie unter [EMR Studio-Servicerollenberechtigungen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Eine EMR Studio-Benutzerrolle für die IAM Identity Center-Authentifizierung erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — EMR Studio übernimmt diese Rolle, wenn sich ein Benutzer über IAM Identity Center anmeldet, um Workspaces, EMR-Cluster, Jobs und Git-Repositorys zu verwalten. **Diese Rolle wird verwendet, um den Workflow zur Verbreitung vertrauenswürdiger Identitäten zu initiieren**.
**Anmerkung**
Die EMR Studio-Benutzerrolle muss keine Berechtigungen für den Zugriff auf die Amazon S3 S3-Speicherorte der Tabellen im AWS Glue Katalog enthalten. AWS Lake Formation Berechtigungen und registrierte Standorte an Seen werden verwendet, um temporäre Berechtigungen zu erhalten.
Die folgende Beispielrichtlinie kann in einer Rolle verwendet werden, die es einem Benutzer von EMR Studio ermöglicht, Athena-Arbeitsgruppen zum Ausführen von Abfragen zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Die folgende Vertrauensrichtlinie ermöglicht es EMR Studio, die Rolle zu übernehmen:
**Anmerkung**
Für die Nutzung von EMR Studio Workspaces und EMR Notebooks sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden [Sie unter Erstellen von Berechtigungsrichtlinien für EMR Studio-Benutzer](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies).
**Weitere Informationen finden Sie unter den folgenden Links:**
+ [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Berechtigungen für EMR Studio-Dienstrollen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Schritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio
In diesem Schritt erstellen Sie ein Amazon EMR Studio in der EMR Studio-Konsole und verwenden die IAM-Rollen, in denen Sie es erstellt haben. [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1)
1. Navigieren Sie zur EMR Studio-Konsole, wählen Sie **Create Studio** und die Option **Custom Setup** aus. Sie können entweder einen neuen S3-Bucket erstellen oder einen vorhandenen Bucket verwenden. Sie können das Kästchen zum **Verschlüsseln von Workspace-Dateien mit Ihren eigenen KMS-Schlüsseln** aktivieren. Weitere Informationen finden Sie unter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Schritt 1 Erstellen Sie EMR Studio in der EMR-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Wählen Sie unter **Servicerolle, damit Studio auf Ihre Ressourcen zugreifen** kann, die in erstellte Servicerolle [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) aus dem Menü aus.
1. Wählen Sie unter **Authentifizierung** die Option **IAM Identity Center** aus. Wählen Sie die Benutzerrolle aus, die in [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) erstellt wurde.
![\[Schritt 3 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie IAM Identity Center als Authentifizierungsmethode aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Markieren Sie das Kästchen **Vertrauenswürdige Identitätsverbreitung**. Wählen Sie im Abschnitt Anwendungszugriff die Option **Nur zugewiesene Benutzer und Gruppen** aus, sodass Sie nur autorisierten Benutzern und Gruppen Zugriff auf dieses Studio gewähren können.
1. *(Optional)* — Sie können VPC und Subnetz konfigurieren, wenn Sie dieses Studio mit EMR-Clustern verwenden.
![\[Schritt 4 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie Netzwerk- und Sicherheitseinstellungen aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Überprüfen Sie alle Details und wählen Sie **Create** Studio aus.
1. Melden Sie sich nach der Konfiguration eines Athena WorkGroup - oder EMR-Clusters mit der Studio-URL an, um:
1. Führen Sie Athena-Abfragen mit dem Abfrage-Editor aus.
1. Führen Sie Spark-Jobs im Workspace mithilfe von Jupyter Notebook aus.