Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perbanyakan identitas tepercaya dengan Amazon EMR
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk Amazon EMR Studio menggunakan Amazon EMR di Amazon EC2 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants
![\[Diagram propagasi identitas tepercaya menggunakan Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplikasi yang menghadap klien yang didukung**
+ Amazon EMR Studio
**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk klaster EMR Amazon.
+ Siapkan [Amazon EMR Cluster di Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) dengan. Apache Spark
+ *Direkomendasikan*: [AWS Lake Formation](tip-tutorial-lf.md)dan [Amazon S3 Access Grants](tip-tutorial-s3.md) untuk menyediakan kontrol akses berbutir halus ke AWS Glue Data Catalog dan lokasi data yang mendasarinya di S3.
# Menyiapkan propagasi identitas tepercaya dengan Amazon EMR Studio
Prosedur berikut memandu Anda melalui pengaturan EMR Amazon Studio untuk propagasi identitas tepercaya dalam kueri terhadap kelompok kerja Amazon Athena atau kluster EMR Amazon yang berjalan. Apache Spark
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
Untuk menyelesaikan penyiapan propagasi identitas tepercaya dari Amazon EMR Studio, administrator EMR Studio harus melakukan langkah-langkah berikut.
## Langkah 1. Buat peran IAM yang diperlukan untuk EMR Studio
Pada langkah ini, Studio administrator Amazon EMR membuat dan peran layanan IAM dan peran pengguna IAM untuk EMR. Studio
1. **[Buat peran layanan EMR Studio - EMR Studio mengasumsikan peran](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM ini untuk mengelola ruang kerja dan notebook dengan aman, terhubung ke cluster, dan menangani interaksi data.
1. Arahkan ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dan buat peran IAM.
1. Pilih **Layanan AWS**sebagai entitas tepercaya dan kemudian pilih **Amazon EMR**. Lampirkan kebijakan berikut untuk menentukan izin peran dan hubungan kepercayaan.
Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Untuk referensi semua izin peran layanan, lihat Izin peran [layanan EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Buat peran pengguna EMR Studio untuk otentikasi IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio mengasumsikan peran ini ketika pengguna masuk melalui IAM Identity Center untuk mengelola ruang kerja, kluster EMR, pekerjaan, repositori git. **Peran ini digunakan untuk memulai alur kerja propagasi identitas tepercaya**.
**catatan**
Peran pengguna EMR Studio tidak perlu menyertakan izin untuk mengakses lokasi Amazon S3 dari tabel di Katalog. AWS Glue AWS Lake Formation izin dan lokasi danau terdaftar akan digunakan untuk menerima izin sementara.
Contoh kebijakan berikut dapat digunakan dalam peran yang memungkinkan pengguna EMR Studio menggunakan workgroup Athena untuk menjalankan kueri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Kebijakan kepercayaan berikut memungkinkan EMR Studio untuk mengambil peran:
**catatan**
Izin tambahan diperlukan untuk memanfaatkan EMR Studio Workspaces dan EMR Notebooks. Lihat [Membuat kebijakan izin untuk pengguna EMR Studio untuk](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) informasi selengkapnya.
**Anda dapat menemukan informasi lebih lanjut dengan tautan berikut:**
+ [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Izin peran layanan EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Langkah 2. Buat dan konfigurasikan EMR Studio Anda
Pada langkah ini, Anda akan membuat Amazon EMR Studio di konsol EMR Studio dan menggunakan peran IAM yang Anda buat. [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1)
1. Arahkan ke konsol EMR Studio, pilih **Buat Studio** dan opsi **Pengaturan Kustom**. Anda dapat membuat bucket S3 baru atau menggunakan bucket yang sudah ada. Anda dapat mencentang kotak untuk **Enkripsi file ruang kerja dengan kunci KMS Anda sendiri**. Untuk informasi selengkapnya, lihat [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Langkah 1 Buat EMR Studio di konsol EMR.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Di bawah **Peran layanan untuk memungkinkan Studio mengakses sumber daya Anda**, pilih peran layanan yang dibuat [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1) dari menu.
1. Pilih **Pusat Identitas IAM** di bawah **Otentikasi**. Pilih peran pengguna yang dibuat di[Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1).
![\[Langkah 3 Buat EMR Studio di konsol EMR, pilih IAM Identity Center untuk metode otentikasi.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Centang kotak **propagasi identitas tepercaya**. Pilih **Hanya pengguna dan grup yang ditetapkan** di bawah bagian Akses aplikasi, yang akan memungkinkan Anda untuk memberikan hanya pengguna dan grup yang berwenang untuk mengakses studio ini.
1. *(Opsional)* - Anda dapat mengkonfigurasi VPC dan subnet jika Anda menggunakan Studio ini dengan cluster EMR.
![\[Langkah 4 Buat EMR Studio di konsol EMR, memilih pengaturan jaringan dan keamanan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Tinjau semua detail dan pilih **Buat Studio**.
1. Setelah mengonfigurasi klaster WorkGroup Athena atau EMR, masuk ke URL Studio untuk:
1. Jalankan kueri Athena dengan Editor Kueri.
1. Jalankan pekerjaan Spark di ruang kerja menggunakan Jupyter notebook.