Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan AWS IAM Identity Center dan Amazon EMR
<a name="emr-idc-start"></a>

Bagian ini membantu Anda mengonfigurasi Amazon EMR untuk diintegrasikan. AWS IAM Identity Center

**Topics**
+ [Buat instance Pusat Identitas](#emr-idc-start-instance)
+ [Buat peran IAM untuk Identity Center](#emr-idc-start-role)
+ [Tambahkan izin untuk layanan yang tidak terintegrasi dengan IAM Identity Center](#emr-idc-start-securityconfig-nonidc)
+ [Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas](#emr-idc-start-securityconfig)
+ [Membuat dan meluncurkan kluster yang diaktifkan Pusat Identitas](#emr-idc-cluster)
+ [Konfigurasikan Lake Formation untuk kluster EMR yang diaktifkan Pusat Identitas IAM](emr-idc-lf.md)
+ [Bekerja dengan Hibah Akses S3 pada kluster EMR yang diaktifkan Pusat Identitas IAM](emr-idc-s3ag.md)

**catatan**  
Untuk menggunakan integrasi Pusat Identitas dengan EMR, Lake Formation atau S3 Access Grants harus diaktifkan. Anda juga bisa menggunakan keduanya. Jika keduanya tidak diaktifkan, integrasi Pusat Identitas tidak didukung.

## Buat instance Pusat Identitas
<a name="emr-idc-start-instance"></a>

Jika Anda belum memilikinya, buat instance Pusat Identitas di Wilayah AWS tempat Anda ingin meluncurkan cluster EMR Anda. Instance Pusat Identitas hanya dapat ada di satu Wilayah untuk sebuah Akun AWS.

Gunakan AWS CLI perintah berikut untuk membuat instance baru bernama`MyInstance`:

```
aws sso-admin create-instance --name MyInstance
```

## Buat peran IAM untuk Identity Center
<a name="emr-idc-start-role"></a>

Untuk mengintegrasikan Amazon EMR AWS IAM Identity Center, buat peran IAM yang mengautentikasi dengan Identity Center dari cluster EMR. Di bawah tenda, Amazon EMR menggunakan SigV4 kredensyal untuk menyampaikan identitas Pusat Identitas ke layanan hilir seperti. AWS Lake Formation Peran Anda juga harus memiliki izin masing-masing untuk memanggil layanan hilir.

Saat Anda membuat peran, gunakan kebijakan izin berikut:

```
{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}
```

Kebijakan kepercayaan untuk peran ini memungkinkan InstanceProfile peran untuk membiarkannya mengambil peran.

```
{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}
```

Jika peran tidak memiliki kredensyal tepercaya dan mengakses tabel yang dilindungi Lake Formation, Amazon EMR secara otomatis menyetel `principalId` peran yang diasumsikan. `userID-untrusted` Berikut ini adalah cuplikan dari CloudTrail acara yang menampilkan. `principalId`

```
{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...
```

## Tambahkan izin untuk layanan yang tidak terintegrasi dengan IAM Identity Center
<a name="emr-idc-start-securityconfig-nonidc"></a>

AWS kredensyal yang menggunakan Propagasi Identitas Tepercaya kebijakan IAM yang ditentukan dalam peran IAM untuk setiap panggilan yang dilakukan ke layanan yang tidak terintegrasi dengan Pusat Identitas IAM. Ini termasuk, misalnya, AWS Key Management Service. Peran Anda juga harus menentukan izin IAM apa pun untuk layanan apa pun yang akan Anda coba akses misalnya. AWS Key Management Service Saat ini didukung IAM Identity Center layanan terintegrasi termasuk AWS Lake Formation dan Amazon S3 Access Grants.

Untuk mempelajari lebih lanjut tentang Propagasi Identitas Tepercaya, lihat Propagasi [Identitas Tepercaya di seluruh aplikasi](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html).

## Membuat konfigurasi keamanan yang diaktifkan Pusat Identitas
<a name="emr-idc-start-securityconfig"></a>

Untuk meluncurkan cluster EMR dengan integrasi IAM Identity Center, gunakan perintah contoh berikut untuk membuat konfigurasi keamanan Amazon EMR yang mengaktifkan Pusat Identitas. Setiap konfigurasi dijelaskan di bawah ini.

```
aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
    "AuthenticationConfiguration":{
        "IdentityCenterConfiguration":{
            "EnableIdentityCenter":true,
            "IdentityCenterApplicationAssigmentRequired":false,
            "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789"
        }
    },
    "AuthorizationConfiguration": {
        "LakeFormationConfiguration": {
            "AuthorizedSessionTagValue": "Amazon EMR"
        },
        "IAMConfiguration": {
          "EnableApplicationScopedIAMRole": true,
          "ApplicationScopedIAMRoleConfiguration": {
            "PropagateSourceIdentity": true
          }
        }
    },
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "PEM",
                "S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
            }
        }
    }
}'
```
+ **`EnableIdentityCenter`**— (wajib) Memungkinkan integrasi Pusat Identitas.
+ **`IdentityCenterInstanceARN`**— (opsional) Pusat Identitas misalnya ARN. Jika ini tidak disertakan, ARN instance IAM Identity Center yang ada akan dicari sebagai bagian dari langkah konfigurasi.
+ **`IAMRoleForEMRIdentityCenterApplicationARN`**— (wajib) Peran IAM yang mendapatkan token Identity Center dari cluster.
+ **`IdentityCenterApplicationAssignmentRequired `**— (boolean) Mengatur jika tugas akan diperlukan untuk menggunakan aplikasi Pusat Identitas. Bidang ini bersifat opsional. Jika nilai tidak diberikan, defaultnya adalah`false`.
+ **`AuthorizationConfiguration`/`LakeFormationConfiguration`**— Secara opsional, konfigurasikan otorisasi:
  + **`IAMConfiguration`**— Mengaktifkan fitur EMR Runtimes Roles untuk digunakan selain identitas TIP Anda. Jika Anda mengaktifkan konfigurasi ini, maka Anda (atau AWS Layanan pemanggil) akan diminta untuk menentukan Peran Runtime IAM di setiap panggilan ke Langkah EMR atau EMR. `GetClusterSessionCredentials` APIs Jika cluster EMR digunakan dengan SageMaker Unified Studio, maka opsi ini diperlukan jika Trusted Identity Propagation juga diaktifkan.
  + **`EnableLakeFormation`**— Aktifkan otorisasi Lake Formation di cluster.

Untuk mengaktifkan integrasi Pusat Identitas dengan Amazon EMR, Anda harus menentukan `EncryptionConfiguration` dan. `IntransitEncryptionConfiguration`

## Membuat dan meluncurkan kluster yang diaktifkan Pusat Identitas
<a name="emr-idc-cluster"></a>

Sekarang setelah Anda menyiapkan peran IAM yang mengautentikasi dengan Pusat Identitas, dan membuat konfigurasi keamanan Amazon EMR yang mengaktifkan Pusat Identitas, Anda dapat membuat dan meluncurkan cluster sadar identitas Anda. Untuk langkah-langkah untuk meluncurkan klaster Anda dengan konfigurasi keamanan yang diperlukan, lihat[Menentukan konfigurasi keamanan untuk klaster EMR Amazon](emr-specify-security-configuration.md).

Bagian berikut menjelaskan cara mengonfigurasi klaster yang diaktifkan Pusat Identitas dengan opsi keamanan yang didukung Amazon EMR:
+ [Bekerja dengan Hibah Akses S3 pada kluster EMR yang diaktifkan Pusat Identitas IAM](emr-idc-s3ag.md)
+ [Konfigurasikan Lake Formation untuk kluster EMR yang diaktifkan Pusat Identitas IAM](emr-idc-lf.md)

# Konfigurasikan Lake Formation untuk kluster EMR yang diaktifkan Pusat Identitas IAM
<a name="emr-idc-lf"></a>

Anda dapat berintegrasi [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/)dengan AWS IAM Identity Center kluster EMR yang diaktifkan.

Pertama, pastikan Anda memiliki instance Identity Center yang disiapkan di Region yang sama dengan cluster Anda. Untuk informasi selengkapnya, lihat [Buat instance Pusat Identitas](emr-idc-start.md#emr-idc-start-instance). Anda dapat menemukan ARN instance di konsol IAM Identity Center saat Anda melihat detail instance, atau menggunakan perintah berikut untuk melihat detail untuk semua instance Anda dari CLI:

```
aws sso-admin list-instances
```

Kemudian gunakan ARN dan ID AWS akun Anda dengan perintah berikut untuk mengonfigurasi Lake Formation agar kompatibel dengan IAM Identity Center:

```
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json 
json input:
{
    "CatalogId": "account-id/org-account-id",
    "InstanceArn": "identity-center-instance-arn"
}
```

Sekarang, hubungi `put-data-lake-settings` dan aktifkan `AllowFullTableExternalDataAccess` dengan Lake Formation:

```
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json 
json input:
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "admin-ARN"
            }
        ],
        "CreateDatabaseDefaultPermissions": [...],
        "CreateTableDefaultPermissions": [...],
        "AllowExternalDataFiltering": true,
        "AllowFullTableExternalDataAccess": true
    }
}
```

Terakhir, berikan izin tabel lengkap ke ARN identitas untuk pengguna yang mengakses cluster EMR. ARN berisi ID pengguna dari Pusat Identitas. Arahkan ke Pusat Identitas di konsol, pilih **Pengguna**, lalu pilih pengguna untuk melihat setelan **informasi umum** mereka.

Salin ID Pengguna dan tempel ke ARN berikut untuk: `user-id`

```
arn:aws:identitystore:::user/user-id
```

**catatan**  
Kueri pada kluster EMR hanya berfungsi jika identitas Pusat Identitas IAM memiliki akses tabel penuh pada tabel yang dilindungi Lake Formation. Jika identitas tidak memiliki akses tabel penuh, maka kueri akan gagal.

Gunakan perintah berikut untuk memberikan pengguna akses tabel penuh:

```
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
    },
    "Resource": {
        "Table": {
            "DatabaseName": "tip_db",
            "Name": "tip_table"
        }
    },
    "Permissions": [
        "ALL"
    ],
    "PermissionsWithGrantOption": [
        "ALL"
    ]
}
```

## Menambahkan aplikasi ARN ke IDC untuk integrasi Lake Formation
<a name="emr-idc-enabled-idc"></a>

Untuk menanyakan sumber daya yang diaktifkan Lake Formation, ARN Aplikasi dari aplikasi IDC perlu ditambahkan. Untuk melakukannya, ikuti langkah-langkah berikut:

1. Di konsol, pilih **AWS Lake Formation**.

1. Pilih integrasi **IAM Identity Center dan integrasi** **aplikasi Lake Formation** dengan mencocokkan ARN aplikasi. ARN akan muncul di daftar **ID Aplikasi**.

# Bekerja dengan Hibah Akses S3 pada kluster EMR yang diaktifkan Pusat Identitas IAM
<a name="emr-idc-s3ag"></a>

Anda dapat mengintegrasikan [S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) dengan kluster AWS IAM Identity Center EMR yang diaktifkan.

Gunakan S3 Access Grants untuk mengotorisasi akses ke kumpulan data Anda dari cluster yang menggunakan Identity Center. Buat hibah untuk menambah izin yang Anda tetapkan untuk pengguna IAM, grup, peran, atau direktori perusahaan. Untuk informasi selengkapnya, lihat [Menggunakan Hibah Akses S3 dengan Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-access-grants.html).

**Topics**
+ [Buat instance dan lokasi S3 Access Grants](#emr-idc-s3ag-instance)
+ [Buat hibah untuk identitas Pusat Identitas](#emr-idc-s3ag-identities)

## Buat instance dan lokasi S3 Access Grants
<a name="emr-idc-s3ag-instance"></a>

Jika Anda belum memilikinya, buat instance S3 Access Grants di Wilayah AWS tempat Anda ingin meluncurkan cluster EMR Anda. 

Gunakan AWS CLI perintah berikut untuk membuat instance baru bernama`MyInstance`:

```
aws s3control-access-grants create-access-grants-instance \
--account-id 12345678912 \
--identity-center-arn "identity-center-instance-arn" \
```

Kemudian, buat lokasi S3 Access Grants, ganti nilai merah dengan milik Anda sendiri:

```
aws s3control-access-grants create-access-grants-location \
--account-id 12345678912 \
--location-scope s3:// \
--iam-role-arn "access-grant-role-arn" \
--region aa-example-1
```

**catatan**  
Tentukan `iam-role-arn` parameter sebagai `accessGrantRole` ARN.

## Buat hibah untuk identitas Pusat Identitas
<a name="emr-idc-s3ag-identities"></a>

Terakhir, buat hibah untuk identitas yang memiliki akses ke klaster Anda:

```
aws s3control-access-grants create-access-grant \
--account-id 12345678912 \
--access-grants-location-id "default" \
--access-grants-location-configuration S3SubPrefix="s3-bucket-prefix"
--permission READ \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier="your-identity-center-user-id"
```

Contoh Keluaran:

```
{
"CreatedAt": "2023-09-21T23:47:24.870000+00:00",
"AccessGrantId": "1234-12345-1234-1234567",
"AccessGrantArn": "arn:aws:s3:aa-example-1-1:123456789012:access-grants/default/grant/xxxx1234-1234-5678-1234-1234567890",
"Grantee": {
"GranteeType": "DIRECTORY_USER",
"GranteeIdentifier": "5678-56789-5678-567890"
},
"AccessGrantsLocationId": "default",
"AccessGrantsLocationConfiguration": {
"S3SubPrefix": "myprefix/*"
},
"Permission": "READ",
"GrantScope": "s3://myprefix/*"
}
```