Commencer à AWS IAM Identity Center intégrer Amazon EMR - Amazon EMR
Création d’une instance d’Identity CenterCréer un rôle IAMAjouter des autorisations pour les services non intégrés à IAM Identity CenterCréation d'une configuration de sécuritéLancez un cluster.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à AWS IAM Identity Center intégrer Amazon EMR

Cette section vous aide à configurer Amazon EMR pour l'intégrer à. AWS IAM Identity Center

Rubriques
Note

Pour utiliser l'intégration d'Identity Center avec EMR, Lake Formation ou S3 Access Grants doivent être activés. Vous pouvez également utiliser les deux. Si aucune des deux n'est activée, l'intégration d'Identity Center n'est pas prise en charge.

Création d’une instance d’Identity Center

Si vous n’en avez pas encore, créez une instance d’Identity Center dans la Région AWS où vous souhaitez lancer votre cluster EMR. Une instance d’Identity Center ne peut exister que dans une seule région pour un Compte AWS.

Utilisez la AWS CLI commande suivante pour créer une nouvelle instance nommée MyInstance :

aws sso-admin create-instance --name MyInstance

Création d’un rôle IAM pour Identity Center

Pour intégrer Amazon EMR à AWS IAM Identity Center, créez un rôle IAM qui s'authentifie auprès d'Identity Center à partir du cluster EMR. En arrière-plan, Amazon EMR utilise des informations d’identification SigV4 pour transmettre l’identité Identity Center à des services en aval comme AWS Lake Formation. Votre rôle doit également disposer des autorisations correspondantes pour invoquer les services en aval.

Lorsque vous créez le rôle, utilisez la politique d’autorisations suivante :

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

La politique de confiance de ce rôle permet au rôle InstanceProfile d’assumer le rôle.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Si le rôle ne dispose pas d'informations d'identification fiables et accède à une table protégée par Lake Formation, Amazon EMR définit automatiquement le principalId rôle assumé sur. userID-untrusted Ce qui suit est un extrait d'un CloudTrail événement qui affiche le. principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Ajouter des autorisations pour les services non intégrés à IAM Identity Center

AWS informations d'identification qui utilisent Trusted Identity Propagation, les politiques IAM définies dans le rôle IAM pour tous les appels passés à des services non intégrés à IAM Identity Center. Cela inclut, par exemple, le AWS Key Management Service. Votre rôle doit également définir les autorisations IAM pour les services auxquels vous tenterez d'accéder. Les services intégrés IAM Identity Center actuellement pris en charge incluent AWS Lake Formation Amazon S3 Access Grants.

Pour en savoir plus sur la propagation des identités fiables, consultez la section Propagation des identités fiables entre les applications.

Création d’une configuration de sécurité compatible avec Identity Center

Pour lancer un cluster EMR avec l’intégration d’IAM Identity Center, utilisez l’exemple de commande suivant pour créer une configuration de sécurité Amazon EMR pour laquelle Identity Center est activé. Chaque configuration est détaillée ci-dessous.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
    "AuthenticationConfiguration":{
        "IdentityCenterConfiguration":{
            "EnableIdentityCenter":true,
            "IdentityCenterApplicationAssigmentRequired":false,
            "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789"
        }
    },
    "AuthorizationConfiguration": {
        "LakeFormationConfiguration": {
            "AuthorizedSessionTagValue": "Amazon EMR"
        },
        "IAMConfiguration": {
          "EnableApplicationScopedIAMRole": true,
          "ApplicationScopedIAMRoleConfiguration": {
            "PropagateSourceIdentity": true
          }
        }
    },
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "PEM",
                "S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
            }
        }
    }
}'

  • EnableIdentityCenter (obligatoire) : active l’intégration d’Identity Center

  • IdentityCenterInstanceARN— (facultatif) L'ARN de l'instance Identity Center. Si cela n'est pas inclus, l'ARN de l'instance IAM Identity Center existante est recherché dans le cadre de l'étape de configuration.

  • IAMRoleForEMRIdentityCenterApplicationARN (obligatoire) : rôle IAM qui récupère les jetons Identity Center auprès du cluster

  • IdentityCenterApplicationAssignmentRequired (booléen) : détermine si une affectation est requise pour l’utilisation de l’application Identity Center Ce champ est facultatif. Si aucune valeur n'est fournie, la valeur par défaut estfalse.

  • AuthorizationConfiguration/LakeFormationConfiguration— Configurez éventuellement l'autorisation :

    • IAMConfiguration— Permet d'utiliser la fonctionnalité EMR Runtimes Roles en plus de votre identité TIP. Si vous activez cette configuration, vous (ou le AWS service appelant) devrez spécifier un rôle d'exécution IAM dans chaque appel aux EMR Steps ou EMR. GetClusterSessionCredentials APIs Si le cluster EMR est utilisé avec SageMaker Unified Studio, cette option est requise si Trusted Identity Propagation est également activée.

    • EnableLakeFormation : active l’autorisation Lake Formation sur le cluster

Spécifiez EncryptionConfiguration et IntransitEncryptionConfiguration pour activer l’intégration d’Identity Center à Amazon EMR.

Création et lancement d’un cluster compatible avec Identity Center

Maintenant que vous avez configuré le rôle IAM qui s’authentifie auprès d’Identity Center et que vous avez créé une configuration de sécurité Amazon EMR pour laquelle Identity Center est activé, vous pouvez créer et lancer votre cluster basé sur l’identité. Pour savoir comment lancer votre cluster avec la configuration de sécurité requise, consultez la rubrique Spécifier une configuration de sécurité pour un cluster Amazon EMR.

Les sections suivantes décrivent comment configurer votre cluster activé par Identity Center avec les options de sécurité prises en charge par Amazon EMR :