/start
```
## Configurazione della modalità di autenticazione IAM Identity Center per Amazon EMR Studio
AWS IAM Identity Center Per prepararsi a EMR Studio, è necessario configurare l'origine dell'identità ed effettuare il provisioning di utenti e gruppi. L'allocazione è il processo che rende disponibili le informazioni su utenti e gruppi per l'utilizzo da parte di IAM Identity Center e delle applicazioni che utilizzano IAM Identity Center. Per ulteriori informazioni, consulta [Provisioning di utenti e gruppi](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision).
EMR Studio supporta l'uso dei seguenti gestori dell'identità digitale per IAM Identity Center:
+ **AWS Managed Microsoft AD e Active Directory autogestita**: per ulteriori informazioni, vedi [Connect to your Microsoft AD directory](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html).
+ **Provider basati su SAML**: per un elenco completo, consulta [Provider di identità supportati](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **La directory di IAM Identity Center**: per ulteriori informazioni, consulta la sezione [Gestione delle identità in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).
**Configurazione di IAM Identity Center per EMR Studio**
1. Per configurare IAM Identity Center per EMR Studio, sono necessari i seguenti elementi:
+ Un account di gestione nell' AWS organizzazione se si utilizzano più account nell'organizzazione.
**Nota**
Per abilitare IAM Identity Center e *allocare* utenti e gruppi, dovresti utilizzare esclusivamente l'account di gestione. Dopo aver configurato IAM Identity Center, puoi utilizzare un account membro per creare un EMR Studio e *assegnare* utenti e gruppi. Per ulteriori informazioni sulla AWS terminologia, vedere [AWS Organizations Terminologia e concetti](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Se hai abilitato IAM Identity Center prima del 25 novembre 2019, potresti dover abilitare le applicazioni che utilizzano IAM Identity Center per gli account della tua AWS organizzazione. Per ulteriori informazioni, consulta [Abilitare le applicazioni integrate con IAM Identity Center negli AWS account](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement).
+ Accertati di soddisfare i prerequisiti elencati nella pagina [Prerequisiti di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).
1. Segui le istruzioni in [Abilita IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) per abilitare IAM Identity Center nel Regione AWS luogo in cui desideri creare EMR Studio.
1. Collega IAM Identity Center al tuo gestore dell'identità digitale (IdP) e alloca gli utenti e i gruppi che desideri assegnare allo Studio.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-authentication.html)
Ora puoi assegnare utenti e gruppi dall'archivio identità a un EMR Studio. Per istruzioni, consulta [Assegnare un utente o un gruppo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
# Creazione di un ruolo di servizio EMR Studio
## Informazioni sul ruolo di servizio EMR Studio
Ogni EMR Studio utilizza un ruolo IAM con autorizzazioni che consentono allo Studio di interagire con altri servizi. AWS Questo ruolo di servizio deve includere autorizzazioni che consentano a EMR Studio di stabilire un canale di rete sicuro tra Workspace e cluster, di archiviare i file Amazon S3 Control del notebook e di accedervi Gestione dei segreti AWS mentre collega un Workspace a un repository Git.
Utilizza il ruolo di servizio Studio (anziché le policy di sessione) per definire tutte le autorizzazioni di accesso ad Amazon S3 per l'archiviazione dei file notebook e per definire autorizzazioni di accesso Gestione dei segreti AWS .
## Come creare un ruolo di servizio per EMR Studio su Amazon EC2 o Amazon EKS
1. Segui le istruzioni in [Creazione di un ruolo per delegare le autorizzazioni a un servizio per creare il ruolo di AWS servizio con la seguente politica](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) di fiducia.
**Importante**
La policy di affidabilità riportata di seguito include le chiavi di condizione globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) per limitare le autorizzazioni che concedi a EMR Studio a determinate risorse del tuo account. In questo modo puoi proteggerti dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Rimuovere le autorizzazioni di ruolo predefinite. Quindi, includere le autorizzazioni dalla seguente policy di autorizzazione IAM di esempio. In alternativa, è possibile creare una policy personalizzata che utilizzi [Autorizzazioni del ruolo di servizio EMR Studio](#emr-studio-service-role-permissions-table).
**Importante**
Affinché il controllo degli accessi basato su tag di Amazon EC2 funzioni con EMR Studio, devi impostare l'accesso per l'API `ModifyNetworkInterfaceAttribute` come mostrato nella seguente policy.
Affinché EMR Studio funzioni con il ruolo di servizio, le istruzioni seguenti devono rimanere invariate: `AllowAddingEMRTagsDuringDefaultSecurityGroupCreation` e `AllowAddingTagsDuringEC2ENICreation`.
Per utilizzare la policy di esempio, è necessario taggare le seguenti risorse con la chiave `"for-use-with-amazon-emr-managed-policies"` e il valore `"true"`.
Amazon Virtual Private Cloud (VPC) designato per EMR Studio.
Ogni sottorete che si desidera utilizzare con Studio.
Qualsiasi gruppo di sicurezza EMR Studio personalizzato. È necessario applicare tag a tutti i gruppi di sicurezza creati durante il periodo di anteprima di EMR Studio se si desidera continuare a utilizzarli.
Segreti Gestione dei segreti AWS mantenuti dagli utenti di Studio per collegare i repository Git a un Workspace.
Puoi applicare i tag alle risorse utilizzando la scheda **Tag** nella schermata delle risorse pertinente nella sezione Console di gestione AWS.
Se applicabile, modifica `*` in `"Resource":"*"` nella policy seguente per specificare il nome della risorsa Amazon (ARN) delle risorse che l'istruzione copre per i tuoi casi d'uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRReadOnlyActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowEC2ENIActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENIAttributeAction",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2SecurityGroupActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsDuringEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Sid": "AllowEC2ReadOnlyActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowWorkspaceCollaboration",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Offri al ruolo di servizio l'accesso in lettura e scrittura alla tua posizione Amazon S3 per EMR Studio. Utilizza il seguente set minimo di autorizzazioni. Per ulteriori informazioni, consulta l'esempio [Amazon S3: consente l'accesso in lettura e scrittura agli oggetti di un bucket S3, in modo programmatico e nella console](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket-console.html).
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Se si crittografa il bucket Amazon S3, devi includere le seguenti autorizzazioni per AWS Key Management Service.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
1. Se desideri controllare l'accesso ai segreti Git a livello di utente, aggiungi autorizzazioni basate su tag a `secretsmanager:GetSecretValue` nella **policy del ruolo utente** di EMR Studio e rimuovi le autorizzazioni alla policy `secretsmanager:GetSecretValue` dalla **policey del ruolo di servizio** di EMR Studio. Per ulteriori informazioni sull'impostazione di autorizzazioni utente granulari, consulta [Creazione di policy di autorizzazione per gli utenti di EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
## Ruolo di servizio minimo per EMR Serverless
Se desideri eseguire carichi di lavoro interattivi con EMR Serverless tramite notebook di EMR Studio, utilizza la stessa policy di attendibilità utilizzata per configurare EMR Studio nella sezione precedente, [Come creare un ruolo di servizio per EMR Studio su Amazon EC2 o Amazon EKS](#emr-studio-service-role-instructions).
Per la tua policy IAM, la policy minima valida prevede le seguenti autorizzazioni. Aggiorna `bucket-name` con il nome del bucket che intendi utilizzare quando configuri EMR Studio e WorkSpace. EMR Studio utilizza il bucket per il backup delle istanze WorkSpaces e dei file notebook nel Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
Se intendi utilizzare un bucket Amazon S3 crittografato, aggiungi le seguenti autorizzazioni al policy:
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
## Autorizzazioni del ruolo di servizio EMR Studio
Nella tabella seguente sono elencate le operazioni eseguite da EMR Studio utilizzando il ruolo di servizio, insieme alle operazioni IAM necessarie per ogni operazione.
| Operation | Azioni |
| --- | --- |
| Stabilisci un canale di rete protetto tra un Workspace e un cluster EMR ed esegui le azioni di eliminazione necessarie. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| Usa le credenziali Git archiviate in Gestione dei segreti AWS per collegare i repository Git a un Workspace. | "secretsmanager:GetSecretValue"
|
| Applica i AWS tag all'interfaccia di rete e ai gruppi di sicurezza predefiniti creati da EMR Studio durante la configurazione del canale di rete sicuro. Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). | "ec2:CreateTags"
|
| Accedi o carica i file notebook e i metadati in Amazon S3. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
Se utilizzi un bucket Amazon S3 crittografato, devi includere le seguenti autorizzazioni. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
| Abilita e configura la collaborazione di Workspace. | "iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers",
"sso:DescribeApplication",
"sso:DescribeInstance"
|
| [Crittografa i notebook e i file dell'area di lavoro EMR Studio utilizzando chiavi gestite dal cliente (CMK) con AWS Key Management Service](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-workspace-storage-encryption) | "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
# Configurazione delle autorizzazioni utente di EMR Studio per Amazon EC2 o Amazon EKS
È necessario configurare le policy di autorizzazione utente per Amazon EMR Studio in modo da poter impostare autorizzazioni granulari per utenti e gruppi. Per informazioni sul funzionamento delle autorizzazioni utente in EMR Studio, consulta [Controllo accessi](how-emr-studio-works.md#emr-studio-access-control) in [Come funziona Amazon EMR Studio](how-emr-studio-works.md).
**Nota**
Le autorizzazioni descritte in questa sezione non applicano il controllo dell'accesso ai dati. Per gestire l'accesso ai set di dati di input, è necessario configurare le autorizzazioni per i cluster utilizzati da Studio. Per ulteriori informazioni, consulta [Sicurezza in Amazon EMR](emr-security.md).
## Creazione di un ruolo utente di EMR Studio per la modalità di autenticazione IAM Identity Center
Quando utilizzi la modalità di autenticazione IAM Identity Center per EMR Studio, devi creare un ruolo utente.
**Creazione di un ruolo utente per EMR Studio**
1. *Segui le istruzioni in [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente per creare un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) ruolo utente.AWS Identity and Access Management *
Quando crei il ruolo, utilizza la seguente policy di relazione di attendibilità.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Rimuovere le autorizzazioni e le policy di ruolo predefinite.
1. Prima di assegnare utenti e gruppi a uno Studio, collega le policy di sessione di EMR Studio al ruolo utente. Per ricevere istruzioni su come creare policy di sessione, consulta [Creazione di policy di autorizzazione per gli utenti di EMR Studio](#emr-studio-permissions-policies).
## Creazione di policy di autorizzazione per gli utenti di EMR Studio
Fai riferimento alle sezioni seguenti per creare policy di autorizzazione per EMR Studio.
**Topics**
+ [Creazione delle policy di autorizzazione](#emr-studio-permissions-policies-create)
+ [Imposta la proprietà per la collaborazione di Workspace](#emr-studio-workspace-collaboration-permissions)
+ [Creazione di una politcy di segreti Git a livello di utente](#emr-studio-permissions-policies-git)
+ [Collegamento della policy di autorizzazione all'identità IAM](#emr-studio-permissions-policies-attach)
**Nota**
Per impostare le autorizzazioni di accesso di Amazon S3 per la memorizzazione dei file notebook e le autorizzazioni di accesso di Gestione dei segreti AWS per leggere i segreti durante il collegamento dei workspace ai repository Git, utilizza il ruolo di servizio EMR Studio.
### Creazione delle policy di autorizzazione
Crea una o più policy di autorizzazione IAM che specificano le operazioni che possono essere compiute da un utente in Studio. Ad esempio, utilizzando le policy di esempio in questa pagina, puoi creare tre policy separate per utenti di Studio [base](), [intermedi]() e [avanzati]().
Per una suddivisione di ciascuna operazione di Studio che un utente può eseguire e per il numero minimo di azioni IAM necessarie per eseguire ciascuna operazione, consulta [AWS Identity and Access Management autorizzazioni per gli utenti di EMR Studio](#emr-studio-iam-permissions-table). Per i passaggi per creare le policy, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l'utente di IAM*.
La policy di autorizzazione deve includere le istruzioni seguenti.
```
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
}
```
### Imposta la proprietà per la collaborazione di Workspace
La collaborazione di Workspace consente a più utenti di lavorare contemporaneamente nello stesso Workspace e può essere configurata con il pannello **Collaboration (Collaborazione)** nell'interfaccia utente di Workspace. Per visualizzare e utilizzare il pannello **Collaboration (Collaborazione)**, un utente deve disporre delle seguenti autorizzazioni. Tutti gli utenti con queste autorizzazioni possono visualizzare e utilizzare il pannello **Collaboration (Collaborazione)**.
```
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
```
Per limitare l'accesso al pannello **Collaboration (Collaborazione)**, puoi utilizzare il controllo degli accessi basato su tag. Quando un utente crea un Workspace, EMR Studio applica un tag di default con una chiave `creatorUserId` il cui valore è l'ID dell'utente che crea il Workspace.
**Nota**
EMR Studio aggiunge il tag `creatorUserId` ai workspace creati dopo il 16 novembre 2021. Per limitare chi può configurare la collaborazione per i workspace creati prima di questa data, si consiglia di aggiungere manualmente il tag `creatorUserId` al workspace e di utilizzare il controllo degli accessi basato su tag nelle policy di autorizzazione utente.
La seguente istruzione di esempio consente a un utente di configurare la collaborazione per tutti i Workspace con la chiave di tag `creatorUserId` il cui valore corrisponde all'ID dell'utente (indicato dalla variabile `aws:userId` della policy). In altre parole, l'istruzione consente a un utente di configurare la collaborazione per Workspace creati. Per ulteriori informazioni sulle variabili della policy, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
```
{
"Sid": "UserRolePermissionsForCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userid}"
}
}
}
```
### Creazione di una politcy di segreti Git a livello di utente
**Topics**
+ [Per utilizzare le autorizzazioni a livello di utente](#emr-studio-permissions-policies-user)
+ [Per passare dalle autorizzazioni a livello di servizio alle autorizzazioni a livello di utente](#emr-studio-permissions-policies-transition)
+ [Per utilizzare le autorizzazioni a livello di servizio](#emr-studio-permissions-policies-service)
#### Per utilizzare le autorizzazioni a livello di utente
EMR Studio aggiunge automaticamente il tag `for-use-with-amazon-emr-managed-user-policies` quando crea segreti Git. Se desideri controllare l'accesso ai segreti Git a livello di utente, aggiungi le autorizzazioni basate su tag alla **policy del ruolo utente** di EMR Studio con `secretsmanager:GetSecretValue` come mostrato nella sezione [Per passare dalle autorizzazioni a livello di servizio alle autorizzazioni a livello di utente](#emr-studio-permissions-policies-transition) seguente.
Se disponi di autorizzazioni esistenti per `secretsmanager:GetSecretValue` nella **policy del ruolo di servizio** di EMR Studio, devi rimuovere tali autorizzazioni.
#### Per passare dalle autorizzazioni a livello di servizio alle autorizzazioni a livello di utente
**Nota**
Il tag `for-use-with-amazon-emr-managed-user-policies` assicura che le autorizzazioni del **Passaggio 1** di seguito concedano al creatore del workspace l'accesso al segreto Git. Tuttavia, se hai collegato i repository Git prima del 1° settembre 2023, ai segreti Git corrispondenti verrà negato l'accesso perché non hanno il tag `for-use-with-amazon-emr-managed-user-policies` applicato. Per applicare le autorizzazioni a livello utente, devi ricreare i vecchi segreti JupyterLab e collegare nuovamente i repository Git appropriati.
Per ulteriori informazioni sulle variabili della policy, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
1. Aggiungi le seguenti autorizzazioni alla [**policy del ruolo utente** di EMR Studio](emr-studio-service-role.md). Viene utilizzata la chiave `for-use-with-amazon-emr-managed-user-policies` con il valore `"${aws:userid}"`.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/for-use-with-amazon-emr-managed-user-policies": "${aws:userid}"
}
}
}
```
1. Se presente, rimuovi la seguente autorizzazione dalla [**policy del ruolo di servizio** di EMR Studio](emr-studio-service-role.md). Poiché la polcy del ruolo di servizio si applica a tutti i segreti definiti da ciascun utente, è necessario eseguire questa operazione una sola volta.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
}
```
#### Per utilizzare le autorizzazioni a livello di servizio
A partire dal 1° settembre 2023, EMR Studio aggiunge automaticamente il tag `for-use-with-amazon-emr-managed-user-policies` per il controllo degli accessi a livello di utente. Poiché si tratta di una funzionalità aggiuntiva, è possibile continuare a utilizzare l'accesso a livello di servizio disponibile tramite l'autorizzazione `GetSecretValue` nel [ruolo di servizio di EMR Studio](emr-studio-service-role.md).
Per i segreti creati prima del 1° settembre 2023, EMR Studio non ha aggiunto il tag `for-use-with-amazon-emr-managed-user-policies`. Per continuare a utilizzare le autorizzazioni a livello di servizio, è sufficiente mantenere [il ruolo di servizio di EMR Studio](emr-studio-service-role.md) e le autorizzazioni del ruolo utente esistenti. Tuttavia, per limitare chi può accedere a un singolo segreto, si consiglia di seguire la procedura riportata in [Per utilizzare le autorizzazioni a livello di utente](#emr-studio-permissions-policies-user) per aggiungere manualmente il tag `for-use-with-amazon-emr-managed-user-policies` ai segreti e di utilizzare il controllo degli accessi basato su tag nelle policy di autorizzazione utente.
Per ulteriori informazioni sulle variabili della policy, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
### Collegamento della policy di autorizzazione all'identità IAM
La tabella seguente riepiloga l'identità IAM a cui si collega una policy di autorizzazione, a seconda della modalità di autenticazione di EMR Studio. Per ricevere istruzioni su come allegare una policy, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
****
| Se utilizzi... | Collega la policy a… |
| --- | --- |
| Autenticazione IAM | Le identità IAM (utenti, gruppi di utenti o ruoli). Ad esempio, prova a collegare una policy di autorizzazione a un utente nel Account AWS. |
| Federazione IAM con un provider di identità esterno (IdP) | Il ruolo o i ruoli IAM creati per il tuo IdP esterno. Per esempio, una federazione IAM per SAML 2.0. EMR Studio utilizza le autorizzazioni collegate ai ruoli IAM per l'utente o gli utenti con accesso federato a uno Studio. |
| IAM Identity Center | Il tuo ruolo utente di Amazon EMR Studio. |
## Esempi di policy utente
La seguente policy utente di base consente la maggior parte delle operazioni di EMR Studio, ma non consente a un utente di creare nuovi cluster Amazon EMR.
### Policy di base
**Importante**
La policy di esempio non include l'autorizzazione `CreateStudioPresignedUrl`, che è necessario concedere a un utente quando si utilizza la modalità di autenticazione IAM. Per ulteriori informazioni, consulta [Assegnare un utente o un gruppo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La policy di esempio include elementi `Condition` per applicare il controllo degli accessi basato su tag (TBAC) in modo da poter utilizzare la policy con il ruolo di servizio di esempio per EMR Studio. Per ulteriori informazioni, consulta [Creazione di un ruolo di servizio EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role>"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-aws-111122223333>-region>/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
La seguente policy utente intermedia consente la maggior parte delle operazioni di EMR Studio e consente a un utente di creare nuovi cluster Amazon EMR utilizzando un modello di cluster.
### Policy intermedia
**Importante**
La policy di esempio non include l'autorizzazione `CreateStudioPresignedUrl`, che è necessario concedere a un utente quando si utilizza la modalità di autenticazione IAM. Per ulteriori informazioni, consulta [Assegnare un utente o un gruppo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La policy di esempio include elementi `Condition` per applicare il controllo degli accessi basato su tag (TBAC) in modo da poter utilizzare la policy con il ruolo di servizio di esempio per EMR Studio. Per ulteriori informazioni, consulta [Creazione di un ruolo di servizio EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:us-west-1:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
}
]
}
```
------
La seguente policy utente avanzata consente tutte le operazioni di EMR Studio e consente a un utente di creare nuovi cluster Amazon EMR utilizzando un modello di cluster o fornendo una configurazione cluster.
### Policy avanzata
**Importante**
La policy di esempio non include l'autorizzazione `CreateStudioPresignedUrl`, che è necessario concedere a un utente quando si utilizza la modalità di autenticazione IAM. Per ulteriori informazioni, consulta [Assegnare un utente o un gruppo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La policy di esempio include elementi `Condition` per applicare il controllo degli accessi basato su tag (TBAC) in modo da poter utilizzare la policy con il ruolo di servizio di esempio per EMR Studio. Per ulteriori informazioni, consulta [Creazione di un ruolo di servizio EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:*:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRCreateClusterAdvancedActions",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role",
"arn:aws:iam::*:role/EMR_DefaultRole_V2",
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "SageMakerDataWranglerForEMRStudio",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowCodeWhisperer",
"Effect": "Allow",
"Action": [
"codewhisperer:GenerateRecommendations"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowAthenaSQL",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
La seguente policy utente contiene le autorizzazioni utente minime necessarie per utilizzare un'applicazione interattiva EMR Serverless con EMR Studio WorkSpaces.
### Policy EMR Serverless interattiva
[In questo esempio di policy che prevede le autorizzazioni utente per le applicazioni interattive EMR Serverless con EMR Studio, sostituisci i segnaposto *serverless-runtime-role* per *emr-studio-service-role* e con il ruolo di servizio EMR Studio e il ruolo di runtime [EMR](emr-studio-service-role.md) Serverless corretti.](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:UpdateStudio",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio",
"elasticmapreduce:ListStudios",
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningEMRServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndGetPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS Identity and Access Management autorizzazioni per gli utenti di EMR Studio
La tabella seguente include ogni operazione di Amazon EMR Studio che un utente potrebbe eseguire ed elenca le azioni IAM minime necessarie per eseguire tale operazione. Consenti queste operazioni nelle policy di autorizzazione IAM (quando utilizzi l'autenticazione IAM) o nelle policy di sessione del ruolo utente (quando utilizzi l'autenticazione IAM Identity Center) per EMR Studio.
La tabella riporta inoltre le operazioni consentite in ciascuna delle policy di autorizzazione di esempio per EMR Studio. Per ulteriori informazioni su policy di autorizzazione di esempio, consulta [Creazione di policy di autorizzazione per gli utenti di EMR Studio](#emr-studio-permissions-policies).
| Azione | Di base | Intermedia | Avanzata | Azioni associate |
| --- | --- | --- | --- | --- |
| Creazione ed eliminazione di Workspace | Sì | Sì | Sì | "elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:DeleteEditor"
|
| Visualizza il pannello Collaborazione, abilita la collaborazione di WorkSpace e aggiungi collaboratori. Per ulteriori informazioni, consulta [Imposta la proprietà per la collaborazione di Workspace](#emr-studio-workspace-collaboration-permissions). | Sì | Sì | Sì | "elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
|
| Visualizza un elenco di bucket di Amazon S3 Control archiviazione nello stesso account di Studio quando crei un nuovo cluster EMR e accedi ai log dei contenitori quando utilizzi un'interfaccia utente Web per il debug delle applicazioni | Sì | Sì | Sì | "s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
|
| Accesso ai Workspace | Sì | Sì | Sì | "elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:OpenEditorInConsole"
|
| Collegamento o scollegamento di cluster Amazon EMR esistenti associati al Workspace | Sì | Sì | Sì | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions"
|
| Collegamento o scollegamento di cluster Amazon EMR su EKS | Sì | Sì | Sì | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:GetManagedEndpointSessionCredentials"
|
| Collegamento o scollegamento delle applicazioni EMR Serverless associate al Workspace | No | Sì | Sì | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints",
"iam:PassRole"
L'autorizzazione `PassRole` è necessaria per passare il ruolo di runtime del processo EMR Serverless. Per ulteriori informazioni, consulta la sezione [Ruoli di runtime del processo](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) nella *Guida per l'utente di Amazon EMR serverless*. |
| Esecuzione del debug dei processi Amazon EMR su EC2 con interfacce utente dell'applicazione persistente | Sì | Sì | Sì | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:DescribeCluster",
"s3:ListBucket",
"s3:GetObject"
|
| Esecuzione del debug dei processi Amazon EMR su EC2 con interfacce utente dell'applicazione su cluster | Sì | Sì | Sì | "elasticmapreduce:GetOnClusterAppUIPresignedURL"
|
| Esecuzione del debug delle esecuzioni di processo Amazon EMR su EKS utilizzando Spark History Server | Sì | Sì | Sì | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListJobRuns",
"emr-containers:DescribeJobRun",
"s3:ListBucket",
"s3:GetObject"
|
| Creazione ed eliminazione di repository Git | Sì | Sì | Sì | "elasticmapreduce:CreateRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository",
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets",
"secretsmanager:TagResource"
|
| Collegamento e scollegamento di repository Git | Sì | Sì | Sì | "elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository"
|
| Creazione di nuovi cluster da modelli di cluster predefiniti | No | Sì | Sì | "servicecatalog:SearchProducts",
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"cloudformation:DescribeStackResources",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| Fornisci una configurazione del cluster per creare nuovi cluster. | No | No | Sì | "elasticmapreduce:RunJobFlow",
"iam:PassRole",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| [Assegna un utente a uno Studio quando utilizzi la modalità di autenticazione IAM.](emr-studio-manage-users.md#emr-studio-assign-users-groups) | No | No | No | "elasticmapreduce:CreateStudioPresignedUrl"
|
| Descrivi oggetti di rete. | Sì | Sì | Sì | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
}
]
}
``` |
| Elenca i ruoli IAM. | Sì | Sì | Sì | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
``` |
| [Connettiti a EMR Studio da Amazon SageMaker AI Studio e usa l'interfaccia visiva Data Wrangler.](https://aws.amazon.com/blogs/machine-learning/prepare-data-from-amazon-emr-for-machine-learning-using-amazon-sagemaker-data-wrangler/) | No | No | Sì | "sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
|
| [Usa Amazon CodeWhisperer nel tuo EMR Studio.](emr-studio-codewhisperer.md) | No | No | Sì | "codewhisperer:GenerateRecommendations"
|
| [Accedi all'editor SQL di Amazon Athena dal tuo EMR Studio.](emr-studio-athena.md) Questo elenco potrebbe non includere tutte le autorizzazioni necessarie per utilizzare tutte le funzionalità di Athena. Per la maggior parte dell' up-to-dateelenco, consulta la politica di [accesso completo di Athena](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy). | No | No | Sì | "athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetBucketLocation",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
|
# Creazione di un EMR Studio
Puoi creare un EMR Studio per il tuo team utilizzando la console Amazon EMR o la AWS CLI. La creazione di un'istanza Studio fa parte della configurazione di Amazon EMR Studio.
**Prerequisiti**
Prima di creare uno Studio, assicurati di aver completato i processi precedenti in [Configurazione di un EMR Studio](emr-studio-set-up.md).
Per creare uno Studio utilizzando AWS CLI, è necessario che sia installata la versione più recente. Per ulteriori informazioni, consulta [Installare o aggiornare la versione più recente della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Importante**
Disattivate gli strumenti di gestione dei proxy come FoxyProxy o SwitchyOmega presenti nel browser prima di creare uno Studio. I proxy attivi possono generare un messaggio di errore **Errore di rete ** quando scegli **Crea Studio**.
Amazon EMR ti offre una semplice esperienza di console per creare uno Studio, in modo da poter iniziare rapidamente con le impostazioni predefinite, eseguire carichi di lavoro interattivi o lavori in batch con le impostazioni predefinite. La creazione di EMR Studio crea anche un'applicazione EMR Serverless pronta per i lavori interattivi.
Se desideri il pieno controllo sulle impostazioni di Studio, puoi scegliere **Personalizzato**, che ti consente di configurare tutte le impostazioni aggiuntive.
------
#### [ Interactive workloads ]
**Per creare un EMR Studio per carichi di lavoro interattivi**
1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)
1. In **EMR Studio**, nella barra di navigazione a sinistra, scegli **Nozioni di base**. È inoltre possibile creare un nuovo Studio dalla pagina **Studio**.
1. Amazon EMR fornisce impostazioni predefinite per te se stai creando un EMR Studio per carichi di lavoro interattivi, ma puoi modificare queste impostazioni. Le impostazioni configurabili includono il nome di EMR Studio, la posizione S3 del Workspace, il ruolo di servizio da utilizzare, gli spazi di lavoro che si desidera utilizzare, il nome dell'applicazione EMR Serverless e il ruolo di runtime associato.
1. **Scegli **Create Studio e avvia Workspace per terminare e accedere alla pagina** Studios.** Il nuovo Studio è visibile nell'elenco con dettagli quali **Nome Studio**, **Data di creazione** e **URL di accesso allo Studio**. Il tuo spazio di lavoro si apre in una nuova scheda del browser.
------
#### [ Batch jobs ]
**Per creare un EMR Studio per carichi di lavoro interattivi**
1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)
1. In **EMR Studio**, nella barra di navigazione a sinistra, scegli **Nozioni di base**. È inoltre possibile creare un nuovo Studio dalla pagina **Studio**.
1. Amazon EMR fornisce impostazioni predefinite per te se stai creando un EMR Studio per lavori in batch, ma puoi modificare queste impostazioni. Le impostazioni configurabili includono il nome di EMR Studio, il nome dell'applicazione EMR Serverless e il ruolo di runtime associato.
1. **Scegli **Create Studio e avvia Workspace** per terminare e accedere alla pagina Studios.** Il nuovo Studio è visibile nell'elenco con dettagli quali **Nome Studio**, **Data di creazione** e **URL di accesso allo Studio**. EMR Studio si apre in una nuova scheda del browser.
------
#### [ Custom settings ]
**Per creare un EMR Studio con impostazioni personalizzate**
1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)
1. In **EMR Studio**, nella barra di navigazione a sinistra, scegli **Nozioni di base**. È inoltre possibile creare un nuovo Studio dalla pagina **Studio**.
1. Seleziona **Crea uno Studio** per aprire la pagina **Crea uno Studio**.
1. **Inserisci il nome di uno Studio.**
1. Scegli di creare un nuovo bucket S3 o utilizzare una posizione esistente.
1. Scegli l'area di lavoro da aggiungere allo Studio. Puoi aggiungere fino a 3 aree di lavoro.
1. In **Autenticazione**, scegli una modalità di autenticazione per Studio e fornisci informazioni in base alla seguente tabella. Per ulteriori informazioni sull'autenticazione per EMR Studio, consulta [Scelta di una modalità di autenticazione per Amazon EMR Studio](emr-studio-authentication.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Per VPC, scegli un Amazon Virtual Private Cloud (**VPC**) per lo Studio dall'elenco a discesa.
1. In **Subnets (Sottoreti)** seleziona un massimo di cinque sottoreti in VPC da associare allo Studio. È possibile aggiungere altre sottoreti dopo aver creato lo Studio.
1. Per **Security groups (Gruppi di sicurezza)**, scegli i gruppi di sicurezza di default o i gruppi di sicurezza personalizzati. Per ulteriori informazioni, consulta [Definizione di gruppi di sicurezza per controllare il traffico di rete EMR Studio](emr-studio-security-groups.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Aggiungi tag al tuo Studio e ad altre risorse. Per ulteriori informazioni sui tag, consulta [Tag clusters.](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags.html)
1. Scegli **Create Studio e avvia Workspace** per terminare e accedere alla pagina **Studios**. Il nuovo Studio è visibile nell'elenco con dettagli quali **Nome Studio**, **Data di creazione** e **URL di accesso allo Studio**.
Dopo aver creato uno Studio, segui le istruzioni riportate in [Assegnare un utente o un gruppo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
------
#### [ CLI ]
**Nota**
I caratteri di continuazione della riga Linux (\$1) sono inclusi per questioni di leggibilità. Possono essere rimossi o utilizzati nei comandi Linux. Per Windows, rimuovili o sostituiscili con un accento circonflesso (^).
**Example – Creazione di un EMR Studio che utilizza IAM per l'autenticazione**
Il seguente AWS CLI comando di esempio crea un EMR Studio con modalità di autenticazione IAM. Quando utilizzi l'autenticazione o la federazione IAM per lo Studio, non specifichi un `--user-role`.
Per consentire agli utenti federati di accedere utilizzando l'URL di Studio e le credenziali per il tuo gestore dell'identità digitale (IdP), specifica `--idp-auth-url` e `--idp-relay-state-parameter-name`. Per un elenco di RelayState nomi URLs e autenticazione IdP, consulta. [RelayState Parametri e autenticazione del provider di identità URLs](#emr-studio-idp-reference-table)
```
aws emr create-studio \
--name \
--auth-mode IAM \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role studio-user-role-name \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location \
--idp-auth-url \
--idp-relay-state-parameter-name
```
**Example – Creazione di un EMR Studio che utilizza Identity Center per l'autenticazione**
Il comando di AWS CLI esempio seguente crea uno studio EMR che utilizza la modalità di autenticazione IAM Identity Center. Quando utilizzi l'autenticazione IAM Identity Center, devi specificare un `--user-role`.
Per ulteriori informazioni sulla modalità di autenticazione IAM Identity Center, consulta la sezione [Configurazione della modalità di autenticazione IAM Identity Center per Amazon EMR Studio](emr-studio-authentication.md#emr-studio-enable-sso).
```
aws emr create-studio \
--name \
--auth-mode SSO \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn
```
**Example – Output della CLI per `aws emr create-studio`**
Di seguito è riportato un esempio dell'output visualizzato dopo la creazione di uno Studio.
```
{
StudioId: "es-123XXXXXXXXX",
Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}
```
Per ulteriori informazioni sul comando `create-studio`, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html).
------
## RelayState Parametri e autenticazione del provider di identità URLs
Quando utilizzi la federazione IAM e desideri che gli utenti accedano utilizzando l'URL di Studio e le credenziali per il tuo provider di identità (IdP), puoi specificare l'URL di **accesso **RelayState**e il nome del parametro del tuo provider di identità (IdP)** quando lo fai. [Creazione di un EMR Studio](#emr-studio-create-studio)
La tabella seguente mostra l'URL di autenticazione standard e il nome del RelayState parametro per alcuni provider di identità più diffusi.
| Provider di identità | Parametro | Autenticazione URL |
| --- | --- | --- |
| Auth0 | RelayState | https://.auth0.com/samlp/ |
| Account Google | RelayState | https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false |
| Microsoft Azure | RelayState | https://myapps.microsoft.com/signin//?tenantId= |
| Okta | RelayState | https://.okta.com/app///sso/saml |
| PingFederate | TargetResource | https:///idp//startSSO.ping?PartnerSpId= |
| PingOne | TargetResource | https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid= |
# Assegnazione e gestione degli utenti di EMR Studio
Dopo aver creato un EMR Studio, è possibile assegnare utenti e gruppi ad esso. Il metodo utilizzato per assegnare, aggiornare e rimuovere utenti dipende dalla modalità di autenticazione di Studio.
+ Quando utilizzi la modalità di autenticazione IAM, devi configurare l'assegnazione utente di EMR Studio e le autorizzazioni in IAM o con IAM e il provider di identità.
+ Con la modalità di autenticazione IAM Identity Center, utilizzi la console di gestione Amazon EMR o AWS CLI per gestire gli utenti.
Per ulteriori informazioni sull'autenticazione per Amazon EMR Studio, consulta [Scelta di una modalità di autenticazione per Amazon EMR Studio](emr-studio-authentication.md).
## Assegnare un utente o un gruppo a un EMR Studio
------
#### [ IAM ]
Quando si utilizza [Configurare una modalità di autenticazione IAM per Amazon EMR Studio](emr-studio-authentication.md#emr-studio-iam-authentication) è necessario consentire l'operazione `CreateStudioPresignedUrl` nella policy di autorizzazione IAM di un utente e limitare l'utente a un particolare Studio. È possibile includere `CreateStudioPresignedUrl` nell'[Autorizzazioni utente per la modalità di autenticazione IAM](how-emr-studio-works.md#emr-studio-iam-authorization) o usare una policy separata.
Per limitare un utente a uno Studio (o a un set di Studio), è possibile utilizzare il controllo di accesso basato sugli attributi (ABAC) o specificare un nome della risorsa Amazon (ARN) di uno Studio nell'elemento `Resource` della policy di autorizzazione dell'utente.
**Example Assegnazione di un utente a uno Studio con un ARN di Studio**
La seguente policy di esempio fornisce a un utente l'accesso a un particolare EMR Studio consentendo l'operazione `CreateStudioPresignedUrl` e specificando il nome della risorsa Amazon (ARN) di Studio nel elemento `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
]
}
]
}
```
**Example Assegnazione di un utente a uno Studio con ABAC per l'autenticazione IAM**
Esistono diversi modi per configurare il controllo di accesso basato sugli attributi (ABAC) per uno Studio. Ad esempio, è possibile allegare uno o più tag a un EMR Studio e quindi creare una policy IAM che limita l'operazione `CreateStudioPresignedUrl` per uno Studio particolare o un insieme di Studio con tali tag.
Puoi aggiungere tag durante o dopo la creazione di Studio. Per aggiungere tag a uno Studio esistente, puoi utilizzare il comando [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html). L'esempio seguente aggiunge un tag con la coppia chiave-valore `Team = Data Analytics` a un EMR Studio.
```
aws emr add-tags --resource-id --tags Team="Data Analytics"
```
La seguente policy di autorizzazione di esempio consente l'operazione `CreateStudioPresignedUrl` per EMR Studio con la coppia chiave-valore di tag `Team = DataAnalytics`. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta [Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) o [Controllo dell'accesso alle risorse AWS mediante i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": "Data Analytics"
}
}
}
]
}
```
**Example Assegna un utente a uno Studio utilizzando la chiave aws: SourceIdentity global condition**
Quando usi la federazione IAM, puoi utilizzare la chiave di condizione globale `aws:SourceIdentity` in una policy di autorizzazione per consentire agli utenti di accedere a Studio quando assumono il ruolo IAM per la federazione.
È necessario innanzitutto configurare il proprio provider di identità (IdP) per restituire una stringa di identificazione, ad esempio un indirizzo e-mail o un nome utente, quando un utente autentica e assume il ruolo IAM per la federazione. IAM imposta la chiave di condizione globale `aws:SourceIdentity` alla stringa di identificazione restituita dal tuo IdP.
Per ulteriori informazioni, consulta il post sul blog [Come correlare l'attività del ruolo IAM all'identità aziendale](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) nel AWS Security Blog e la voce [aws: SourceIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) entry in the global condition keys reference.
Il seguente criterio di esempio consente l'`CreateStudioPresignedUrl`azione e offre agli utenti un accesso `aws:SourceIdentity` che corrisponde all'**accesso a EMR Studio specificato da. **
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
],
"Condition": {
"StringLike": {
"aws:SourceIdentity": "example-source-identity"
}
},
"Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
}
]
}
```
------
#### [ IAM Identity Center ]
Quando si assegna un utente o un gruppo a un EMR Studio, specificare una policy di sessione che definisca autorizzazioni granulari, ad esempio la possibilità di creare un nuovo cluster EMR, per tale utente o gruppo. Amazon EMR archivia le mappature delle policy di sessione. È possibile aggiornare le policy di sessione a un utente o a un gruppo dopo l'assegnazione.
**Nota**
Le autorizzazioni finali per un utente o un gruppo sono un'intersezione tra le autorizzazioni definite nel ruolo utente di EMR Studio e le autorizzazioni definite nella policy di sessione per tale utente o gruppo. Se un utente appartiene a più gruppi assegnati allo Studio, EMR Studio utilizza un'unione di autorizzazioni per quel determinato utente.
**Assegnazione di utenti o gruppi a un EMR Studio con la console Amazon EMR**
1. Passa alla nuova console Amazon EMR e seleziona **Passa alla vecchia console** dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta [Utilizzo della vecchia console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Scegli **EMR Studio** dalla barra di navigazione a sinistra.
1. Scegli il nome del tuo Studio dal menu **Studios (Studio)** oppure seleziona lo Studio e scegli **View details (Visualizza dettagli)** per aprire la pagina dei dettagli dello Studio.
1. Seleziona **Add Users (Aggiungi utenti)** per visualizzare la tabella di ricerca **Users (Utenti)** e **Groups (Gruppi)**.
1. Seleziona la scheda **Users (Utenti)** oppure la scheda **Groups (Gruppi)** e inserisci un termine di ricerca nella barra di ricerca per trovare un utente o un gruppo.
1. Seleziona uno o più utenti o gruppi dall'elenco dei risultati di ricerca. Puoi passare dalla scheda **Utenti** alla scheda **Gruppi** e viceversa.
1. Dopo aver selezionato gli utenti e i gruppi da aggiungere allo Studio, scegli **Add (Aggiungi)**. Dovresti visualizzare gli utenti e i gruppi nell'elenco **Utenti dello Studio**. Potrebbero essere necessari alcuni secondi prima che l'elenco venga aggiornato.
1. Segui le istruzioni in [Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio](#emr-studio-update-user) per perfezionare le autorizzazioni Studio per un utente o un gruppo.
**Assegnazione di un utente o un gruppo a EMR Studio tramite la AWS CLI**
Inserisci valori personalizzati per i seguenti argomenti `create-studio-session-mapping`. Per ulteriori informazioni sul comando `create-studio-session-mapping`, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`**: l'ID dello Studio a cui si desidera assegnare l'utente o il gruppo. Per ricevere istruzioni su come recuperare l'ID dello Studio, consulta [Visualizzazione dei dettagli dello Studio](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name`: il nome dell'utente o del gruppo dall'archivio identità. Per ulteriori informazioni, consulta [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)la sezione dedicata agli utenti e [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)ai gruppi nell'*Identity Store API Reference.*
+ **`--identity-type`**: utilizza `USER` o `GROUP` per specificare il tipo di identità.
+ **`--session-policy-arn`**: il nome della risorsa Amazon (ARN) per la policy di sessione che desideri associare all'utente o al gruppo. Ad esempio, `arn:aws:iam:::policy/EMRStudio_Advanced_User_Policy`. Per ulteriori informazioni, consulta [Creazione di policy di autorizzazione per gli utenti di EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
```
aws emr create-studio-session-mapping \
--studio-id \
--identity-name \
--identity-type \
--session-policy-arn
```
**Nota**
I caratteri di continuazione della riga Linux (\$1) sono inclusi per la leggibilità. Possono essere rimossi o utilizzati nei comandi Linux. Per Windows, rimuoverli o sostituirli con un accento circonflesso (^).
Utilizza il comando `get-studio-session-mapping` per verificare la nuova assegnazione. Sostituiscilo ** con il nome IAM Identity Center dell'utente o del gruppo che hai aggiornato.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Aggiornamento delle autorizzazioni per un utente o un gruppo assegnato a uno Studio
------
#### [ IAM ]
Per aggiornare le autorizzazioni utente o di gruppo quando si utilizza la modalità di autenticazione IAM, utilizzare IAM per modificare le policy di autorizzazione IAM collegate alle identità IAM (utenti, gruppi o ruoli).
Per ulteriori informazioni, consulta [Autorizzazioni utente per la modalità di autenticazione IAM](how-emr-studio-works.md#emr-studio-iam-authorization).
------
#### [ IAM Identity Center ]
****Aggiornamento delle autorizzazioni di EMR Studio per un utente o un gruppo mediante la console****
1. Passa alla nuova console Amazon EMR e seleziona **Passa alla vecchia console** dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta [Utilizzo della vecchia console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Scegli **EMR Studio** dalla barra di navigazione a sinistra.
1. Scegli il nome del tuo Studio dal menu **Studios (Studio)** oppure seleziona lo Studio e scegli **View details (Visualizza dettagli)** per aprire la pagina dei dettagli dello Studio.
1. Nell'elenco** Studio users (Utenti dello Studio)** nella pagina dei dettagli dello Studio, cerca l'utente o il gruppo che desideri aggiornare. Puoi eseguire la ricerca per nome o tipo di identità.
1. Seleziona l'utente o il gruppo che desideri aggiornare e scegli **Assign policy (Assegna policy)** per aprire la finestra di dialogo **Session policy (Policy di sessione)**.
1. Seleziona una policy da applicare all'utente o al gruppo scelto nella fase 5 e scegli **Apply policy (Applica policy)**. L'elenco **Studio users (Utenti dello Studio)** dovrebbe mostrare il nome della policy nella colonna **Session policy (Policy di sessione)** per l'utente o il gruppo aggiornato.
**Per aggiornare le autorizzazioni di EMR Studio per un utente o un gruppo utilizzando il AWS CLI**
Inserisci valori personalizzati per i seguenti argomenti `update-studio-session-mappings`. Per ulteriori informazioni sul comando `update-studio-session-mappings`, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).
```
aws emr update-studio-session-mapping \
--studio-id \
--identity-name \
--session-policy-arn \
--identity-type \
```
Utilizza il comando `get-studio-session-mapping` per verificare la nuova assegnazione della policy di sessione. Sostituiscilo ** con il nome IAM Identity Center dell'utente o del gruppo che hai aggiornato.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Rimozione di un utente o un gruppo da uno Studio
------
#### [ IAM ]
Per rimuovere un utente o un gruppo da EMR Studio quando si utilizza la modalità di autenticazione IAM, è necessario revocare l'accesso dell'utente a Studio riconfigurando la policy di autorizzazione IAM dell'utente.
Nella seguente policy di esempio, supponiamo che tu disponga di un EMR Studio con la coppia chiave-valore di tag `Team = Quality Assurance`. Secondo la policy, l'utente può accedere a Studio taggati con la chiave `Team` il cui valore è uguale a `Data Analytics` o `Quality Assurance`. Per rimuovere l'utente dallo Studio taggato con `Team = Quality Assurance`, rimuovi `Quality Assurance` dall'elenco dei valori dei tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": [
"Data Analytics",
"Quality Assurance"
]
}
}
}
]
}
```
------
------
#### [ IAM Identity Center ]
****Rimozione di un utente o un gruppo da un EMR Studio mediante la console****
1. Passa alla nuova console Amazon EMR e seleziona **Passa alla vecchia console** dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta [Utilizzo della vecchia console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Scegli **EMR Studio** dalla barra di navigazione a sinistra.
1. Scegli il nome del tuo Studio dal menu **Studios (Studio)** oppure seleziona lo Studio e scegli **View details (Visualizza dettagli)** per aprire la pagina dei dettagli dello Studio.
1. Nell'elenco** Studio users (Utenti dello Studio)** nella pagina dei dettagli dello Studio, individua l'utente o il gruppo che desideri rimuovere dallo Studio. Puoi eseguire la ricerca per nome o tipo di identità.
1. Seleziona l'utente o il gruppo che desideri eliminare, quindi scegli **Delete (Elimina)** e conferma. L'utente o il gruppo eliminato scompare dall'elenco **Utenti dello Studio**.
**Rimozione di un utente o di un gruppo da un EMR Studio utilizzando AWS CLI**
Inserisci valori personalizzati per i seguenti argomenti `delete-studio-session-mapping`. Per ulteriori informazioni sul comando `delete-studio-session-mapping`, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).
```
aws emr delete-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
# Monitora, aggiorna ed elimina le risorse di Amazon EMR Studio
Questa sezione include istruzioni per monitorare, aggiornare o eliminare una risorsa EMR Studio. Per informazioni su come assegnare utenti o aggiornare le autorizzazioni utente, consulta [Assegnazione e gestione degli utenti di EMR Studio](emr-studio-manage-users.md).
## Visualizzazione dei dettagli dello Studio
------
#### [ Console ]
****Visualizzazione dei dettagli di un EMR Studio con la nuova console****
1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)
1. In **EMR Studio**, nella barra di navigazione a sinistra, scegli **Studio**.
1. Seleziona lo Studio dall'elenco **Studio** per aprire la pagina dei suoi dettagli. La pagina dei dettagli dello Studio include le informazioni di **Configurazione dello Studio**, quali **Descrizione**, **VPC** e **Sottoreti** dello Studio.
------
#### [ CLI ]
**Per recuperare i dettagli di un EMR Studio by Studio ID utilizzando il AWS CLI**
Utilizzare il seguente `describe-studio` AWS CLI comando per recuperare informazioni dettagliate su un particolare EMR Studio. Per ulteriori informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html).
```
aws emr describe-studio \
--studio-id \
```
**Recupero di un elenco degli EMR Studio utilizzando AWS CLI**
Utilizza il seguente comando `list-studios` AWS CLI . Per ulteriori informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/list-studios.html](https://docs.aws.amazon.com/cli/latest/reference/emr/list-studios.html).
```
aws emr list-studios
```
Di seguito è riportato un valore restituito di esempio per il comando `list-studios` in formato JSON.
```
{
"Studios": [
{
"AuthMode": "IAM",
"VpcId": "vpc-b21XXXXX",
"Name": "example-studio-name",
"Url": "https://es-7HWP74SNGDXXXXXXXXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com",
"CreationTime": 1605672582.781,
"StudioId": "es-7HWP74SNGDXXXXXXXXXXXXXXX",
"Description": "example studio description"
}
]
}
```
------
## Monitoraggio delle operazioni di Amazon EMR Studio
### Visualizzazione dell'attività di EMR Studio e dell'API
EMR Studio è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, da un ruolo IAM o da un altro AWS servizio in EMR Studio. CloudTrail acquisisce le chiamate API per EMR Studio come eventi. È possibile visualizzare gli eventi utilizzando la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
Gli eventi EMR Studio forniscono informazioni come quale utente Studio o IAM effettua una richiesta e il tipo di richiesta.
**Nota**
Le operazioni on-cluster come l'esecuzione di processi notebook non emetto AWS CloudTrail.
Puoi anche creare un percorso per la distribuzione continua degli CloudTrail eventi EMR Studio a un bucket Amazon S3. Per ulteriori informazioni, consulta la *Guida per l'utente [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.
** CloudTrail Evento di esempio: un utente chiama l'API DescribeStudio**
Di seguito è riportato un AWS CloudTrail evento di esempio che viene creato quando un utente chiama l'[DescribeStudio](https://docs.aws.amazon.com/emr/latest/APIReference/API_DescribeStudio.html)API. `admin` CloudTrail registra il nome utente come`admin`.
**Nota**
Per proteggere i dettagli di Studio, l'evento API EMR Studio per DescribeStudio esclude un valore per. `responseElements`
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDXXXXXXXXXXXXXXXXXX",
"arn":"arn:aws:iam::653XXXXXXXXX:user/admin",
"accountId":"653XXXXXXXXX",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"admin"
},
"eventTime":"2021-01-07T19:13:58Z",
"eventSource":"elasticmapreduce.amazonaws.com",
"eventName":"DescribeStudio",
"awsRegion":"us-east-1",
"sourceIPAddress":"72.XX.XXX.XX",
"userAgent":"aws-cli/1.18.188 Python/3.8.5 Darwin/18.7.0 botocore/1.19.28",
"requestParameters":{
"studioId":"es-9O5XXXXXXXXXXXXXXXXXXXXXX"
},
"responseElements":null,
"requestID":"0fxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"eventID":"b0xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"readOnly":true,
"eventType":"AwsApiCall",
"managementEvent":true,
"eventCategory":"Management",
"recipientAccountId":"653XXXXXXXXX"
}
```
### Visualizzazione dell'attività degli utenti e dei processi Spark
Per visualizzare l'attività dei processi Spark da parte degli utenti di Amazon EMR Studio, è possibile configurare la rappresentazione utente in un cluster. Con la rappresentazione utente, ogni processo Spark inviato da un Workspace è associato all'utente Studio che ha eseguito il codice.
Quando la rappresentazione utente è abilitata, Amazon EMR crea una directory utente HDFS nel nodo primario del cluster per ogni utente che esegue il codice nel Workspace. Ad esempio, se l'utente `studio-user-1@example.com` esegue il codice, puoi collegarti al nodo primario per riscontrare che `hadoop fs -ls /user` ha una directory per `studio-user-1@example.com`.
Per impostare la rappresentazione utente di Spark, imposta le seguenti proprietà nelle classificazioni di configurazione:
+ `core-site`
+ `livy-conf`
```
[
{
"Classification": "core-site",
"Properties": {
"hadoop.proxyuser.livy.groups": "*",
"hadoop.proxyuser.livy.hosts": "*"
}
},
{
"Classification": "livy-conf",
"Properties": {
"livy.impersonation.enabled": "true"
}
}
]
```
Per visualizzare le pagine del server della cronologia, consulta [Debug di applicazioni e processi con EMR Studio](emr-studio-debug.md). È inoltre possibile connettersi al nodo primario del cluster utilizzando SSH per visualizzare le interfacce Web dell'applicazione. Per ulteriori informazioni, consulta [Visualizzazione di interfacce Web ospitate su cluster Amazon EMR](emr-web-interfaces.md).
## Aggiornamento di un Amazon EMR Studio
Dopo aver creato un EMR Studio, puoi aggiornare i seguenti attributi utilizzando la AWS CLI:
+ Nome
+ Description
+ Percorso S3 predefinito
+ Sottoreti
**Per aggiornare un EMR Studio utilizzando il AWS CLI**
Usa il `update-studio` AWS CLI comando per aggiornare un EMR Studio. Per ulteriori informazioni, consulta la sezione relativa alle [informazioni di riferimento ai comandi della *AWS CLI *](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio.html).
**Nota**
Puoi associare uno Studio a un massimo di 5 sottoreti. Queste sottoreti devono appartenere allo stesso VPC dello Studio. L'elenco di IDs sottoreti inviato al `update-studio` comando può includere una nuova sottorete IDs, ma deve includere anche tutta la sottorete IDs già associata a Studio. Non è possibile rimuovere le sottoreti da uno Studio.
```
aws emr update-studio \
--studio-id \
--name \
--subnet-ids \
```
Per verificare le modifiche, utilizzate il `describe-studio` AWS CLI comando e specificate il vostro ID Studio. Per ulteriori informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/describe-studio.html).
```
aws emr describe-studio \
--studio-id \
```
## Eliminazione di un Amazon EMR Studio e di Workspace
Quando elimini uno Studio, EMR Studio elimina tutte le assegnazioni di utenti e gruppi IAM Identity Center che sono associate allo Studio.
**Nota**
Quando elimini uno Studio, Amazon EMR *non* elimina i Workspace a esso associati. È necessario eliminare separatamente i Workspace nello Studio.
**Eliminazione dei Workspace**
------
#### [ Console ]
Poiché ogni Workspace EMR Studio è un'istanza di notebook EMR, è possibile utilizzare la console di gestione Amazon EMR per eliminare i Workspace. Puoi eliminare i Workspace utilizzando la console Amazon EMR prima o dopo l'eliminazione di Studio
**Eliminazione di un Workspace mediante la console Amazon EMR**
1. Passa alla nuova console Amazon EMR e seleziona **Passa alla vecchia console** dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta [Utilizzo della vecchia console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Seleziona **Notebook**.
1. Seleziona i Workspace che intendi eliminare.
1. Seleziona **Elimina** e quindi nuovamente **Elimina** per confermare.
1. Segui le istruzioni per l'[Eliminazione di oggetti](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) nella *Guida per l'utente della console* *Amazon Simple Storage Service* per rimuovere i file notebook associati al Workspace eliminato da Amazon S3.
------
#### [ EMR Studio UI ]
------
#### [ From the Workspace UI ]
**Eliminazione di un Workspace e dei file di backup associati da EMR Studio**
1. Accedi al tuo EMR Studio con l'URL di accesso allo Studio e seleziona **Workspace** dal riquadro di navigazione a sinistra.
1. Individua il Workspace nell'elenco, quindi seleziona la casella di spunta accanto al relativo nome. È possibile selezionare più Workspace da eliminare contemporaneamente.
1. Dall'elenco **Workspace**, seleziona **Elimina** in alto a destra per confermare che desideri eliminare i Workspace selezionati. Seleziona **Elimina** per confermare.
1. Se desideri rimuovere i file notebook associati al WorkSpace eliminato da Amazon S3, segui le istruzioni per l'[Eliminazione di oggetti](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) nella *Guida per l'utente della console* *Amazon Simple Storage Service*. Se non hai creato lo Studio, contatta l'amministratore dello Studio per determinare la posizione del backup di Amazon S3 per il Workspace eliminato.
------
#### [ From the Workspaces list ]
**Eliminazione di un WorkSpace e dei file di backup associati dall'elenco dei WorkSpace**
1. Vai all'elenco dei **Workspace** nella console.
1. Seleziona il WorkSpace che desideri eliminare dall'elenco, quindi scegli **Azioni**.
1. Scegli **Elimina**.
1. Se desideri rimuovere i file notebook associati al WorkSpace eliminato da Amazon S3, segui le istruzioni per l'[Eliminazione di oggetti](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-objects.html) nella *Guida per l'utente della console* *Amazon Simple Storage Service*. Se non hai creato lo Studio, contatta l'amministratore dello Studio per determinare la posizione del backup di Amazon S3 per il Workspace eliminato.
------
------
**Eliminazione di un EMR Studio**
------
#### [ Console ]
****Eliminazione di un EMR Studio con la nuova console****
1. [Apri la console Amazon EMR in /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)
1. In **EMR Studio**, nella barra di navigazione a sinistra, scegli **Studios** (Studio).
1. Seleziona lo Studio dall'elenco degli **Studios** (Studio) tramite l'interruttore a sinistra del nome dello Studio. Scegli **Elimina**.
------
#### [ Old console ]
****Eliminazione di un EMR Studio con la vecchia console****
1. [Apri la console Amazon EMR da casahttps://console.aws.amazon.com/elasticmapreduce/.](https://console.aws.amazon.com/elasticmapreduce/home)
1. Seleziona **EMR Studio** dalla barra di navigazione a sinistra.
1. Seleziona lo Studio dall'elenco **Studio** e scegli **Elimina**.
------
#### [ CLI ]
**Per eliminare un EMR Studio con AWS CLI**
Usa il `delete-studio` AWS CLI comando per eliminare un EMR Studio. Per ulteriori informazioni, consulta la sezione relativa alle [informazioni di riferimento ai comandi di *AWS CLI *](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio.html).
```
aws emr delete-studio --studio-id
```
------
# Crittografia di notebook e file dell'area di lavoro EMR Studio
In EMR Studio, è possibile creare e configurare diverse aree di lavoro per organizzare ed eseguire notebook. Questi spazi di lavoro archiviano notebook e file correlati nel bucket Amazon S3 specificato. Per impostazione predefinita, questi file sono crittografati con chiavi gestite da Amazon S3 (SSE-S3) con crittografia lato server come livello base di crittografia. Puoi anche scegliere di utilizzare chiavi KMS gestite dal cliente (SSE-KMS) per crittografare i tuoi file. Puoi farlo utilizzando la console di gestione Amazon EMR o tramite l' AWS SDK AWS CLI and durante la creazione di un EMR Studio.
La crittografia dello storage dell'area di lavoro di EMR Studio è disponibile in tutte le regioni in [cui](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-considerations.html#emr-studio-considerations-general) è disponibile EMR Studio.
## Prerequisiti
Prima di poter crittografare gli appunti e i file dell'area di lavoro di EMR Studio, è necessario AWS Key Management Service [creare una chiave CMK (Symmetric Customer Manager Key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)) nella stessa Account AWS regione di EMR Studio.
La politica delle risorse dell'utente AWS KMS deve disporre delle autorizzazioni di accesso necessarie per il ruolo di servizio di EMR Studio. Di seguito è riportato un esempio di policy IAM che concede autorizzazioni di accesso minime per la crittografia dello storage EMR Studio Workspace:
```
{
"Sid": "AllowEMRStudioServiceRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "",
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::",
"kms:ViaService": "s3..amazonaws.com"
}
}
}
```
Il ruolo del servizio EMR Studio deve inoltre disporre delle autorizzazioni di accesso per utilizzare la chiave. AWS KMS Di seguito è riportato un esempio di policy IAM che concede le autorizzazioni di accesso minime per la crittografia dello storage EMR Studio Workspace:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRStudioWorkspaceStorageEncryptionAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:*:123456789012:key/12345678-1234-1234-1234-123456789012"
]
}
]
}
```
------
## Crea un nuovo EMR Studio
Segui questi passaggi per creare un nuovo EMR Studio che utilizzi la crittografia dello storage del workspace.
1. Apri la console di Amazon EMR all'indirizzo [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).
1. Scegli **Studios**, quindi scegli **Create** Studio.
1. Per la **posizione S3 per lo storage**, inserisci o scegli un percorso Amazon S3. Questa è la posizione Amazon S3 in cui Amazon EMR archivia i notebook e i file dell'area di lavoro.
1. Per il **ruolo Service, inserisci o scegli un ruolo** IAM. Questo è il ruolo IAM che Amazon EMR assume.
1. Scegli **Encrypt Workspace files con** la tua chiave. AWS KMS
1. Inserisci o scegli una AWS KMS chiave da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
1. **Scegli **Create Studio o Create Studio** e Launch Workspaces.**
1. Scegli **Encrypt Workspace file con la tua** chiave. AWS KMS
1. Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
1. Seleziona **Salva modifiche**.
I passaggi seguenti mostrano come aggiornare un EMR Studio e configurare la crittografia dello storage del workspace.
1. Apri la console di Amazon EMR all'indirizzo [https://console.aws.amazon.com/elasticmapreduce/](https://console.aws.amazon.com/elasticmapreduce/).
1. **Scegli **un EMR Studio esistente dall'elenco**, quindi scegli Modifica.**
1. Scegli **Encrypt Workspace file con la tua** chiave. AWS KMS
1. Inserisci o scegli uno AWS KMS da utilizzare per crittografare i notebook e i file dell'area di lavoro in Amazon S3.
1. Seleziona **Salva modifiche**.
# Definizione di gruppi di sicurezza per controllare il traffico di rete EMR Studio
## Informazioni sui gruppi di sicurezza EMR Studio
Amazon EMR Studio utilizza due gruppi di sicurezza per controllare il traffico di rete tra Workspace in Studio e un cluster Amazon EMR collegato in esecuzione su Amazon EC2:
+ Un **gruppo di sicurezza del motore**, che utilizza la porta 18888 per comunicare con un cluster Amazon EMR collegato in esecuzione su Amazon EC2.
+ Un **gruppo di sicurezza del Workspace** associato ai Workspace in uno Studio. Questo gruppo di sicurezza include una regola HTTPS in uscita per consentire al Workspace di instradare il traffico a Internet e deve consentire il traffico in uscita verso Internet sulla porta 443 per abilitare il collegamento di repository Git a un Workspace.
EMR Studio utilizza questi gruppi di sicurezza oltre a tutti i gruppi di sicurezza associati a un cluster EMR collegato a un Workspace.
È necessario creare questi gruppi di sicurezza quando si utilizza per creare uno Studio. AWS CLI
**Nota**
È possibile personalizzare i gruppi di sicurezza per EMR Studio con regole personalizzate per l'ambiente, ma è necessario includere le regole riportate in questa pagina. Il gruppo di sicurezza del Workspace non può consentire traffico in entrata e il gruppo di sicurezza del motore deve consentire il traffico in entrata dal gruppo di sicurezza del Workspace.
**Uso dei gruppi di sicurezza EMR Studio predefiniti**
Quando utilizzi la console Amazon EMR, puoi scegliere i seguenti gruppi di sicurezza predefiniti. I gruppi di sicurezza predefiniti vengono creati da EMR Studio per tuo conto e includono le regole minime in entrata e in uscita richieste per i Workspace in un EMR Studio.
+ `DefaultEngineSecurityGroup`
+ `DefaultWorkspaceSecurityGroupGit` o `DefaultWorkspaceSecurityGroupWithoutGit`
## Prerequisiti
Per creare i gruppi di sicurezza per EMR Studio, è necessario un cloud privato virtuale (VPC) Amazon per lo Studio. Il VPC viene scelto quando crei i gruppi di sicurezza. Dovrebbe corrispondere al VPC specificato durante la creazione dello Studio. Se intendi utilizzare Amazon EMR su EKS con EMR Studio, scegli il VPC per i nodi worker del cluster Amazon EKS.
## Istruzioni
Segui le istruzioni in [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) nella *Guida per l'utente di Amazon EC2 per le istanze Linux* per creare un gruppo di sicurezza del motore e un gruppo di sicurezza del Workspace nel tuo VPC. I gruppi di sicurezza devono includere le regole riassunte nelle tabelle seguenti.
Quando crei gruppi di sicurezza per EMR Studio, tieni presente la dicitura IDs per entrambi. Quando crei uno Studio, puoi specificare ciascun gruppo di sicurezza in base all'ID.
**Gruppo di sicurezza del motore**
EMR Studio utilizza la porta 18888 per comunicare con un cluster collegato.
**Regole in entrata**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-security-groups.html)
**Gruppo di sicurezza del Workspace**
Questo gruppo di sicurezza è associato ai Workspace in un EMR Studio.
**Regole in uscita**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-security-groups.html)
# Crea AWS CloudFormation modelli per Amazon EMR Studio
## Informazioni sui modelli di cluster EMR Studio
Puoi creare AWS CloudFormation modelli per aiutare gli utenti di EMR Studio a lanciare nuovi cluster Amazon EMR in un workspace. CloudFormation i modelli sono file di testo formattati in JSON o YAML. In un modello, descrivi una pila di AWS risorse e spieghi CloudFormation come fornirti tali risorse. Per EMR Studio, puoi creare uno o più modelli che descrivono un cluster Amazon EMR.
Organizzi i tuoi modelli in AWS Service Catalog. AWS Service Catalog consente di creare e gestire servizi IT comunemente distribuiti denominati *products* on AWS. Raccogli i tuoi modelli come prodotti in un *portfolio* che condividi con gli utenti di EMR Studio. Dopo aver creato modelli di cluster, gli utenti di Studio possono avviare un nuovo cluster per un Workspace con uno dei modelli. Gli utenti devono disporre delle autorizzazioni per creare nuovi cluster dai modelli. Puoi impostare le autorizzazioni utente nel tuo [Policy di autorizzazione di EMR Studio](emr-studio-user-permissions.md).
Per ulteriori informazioni sui CloudFormation modelli, consulta [Templates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b7) nella *Guida per l'AWS CloudFormation utente*. Per ulteriori informazioni su AWS Service Catalog, consulta [What is AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html).
Il video seguente illustra come configurare modelli di cluster in AWS Service Catalog per EMR Studio. Per ulteriori informazioni, consulta il post del blog [Build a self-service environment for each line of business using Amazon EMR and Service Catalog](https://aws.amazon.com/blogs/big-data/build-a-self-service-environment-for-each-line-of-business-using-amazon-emr-and-aws-service-catalog/) (Creazione di un ambiente self-service per ogni linea di business utilizzando Amazon EMR e Service Catalog).
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/9w_TXTdFLpo)
### Parametri di modello opzionali
Puoi includere opzioni aggiuntive nella sezione [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) del modello. *Parametri* consente agli utenti di Studio di immettere o selezionare valori personalizzati per un cluster. Ad esempio, prova a aggiungere un parametro che consente agli utenti di selezionare una release Amazon EMR specifica. Per ulteriori informazioni, consulta [Parametri](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) nella *Guida per l'utente di CloudFormation *.
La sezione `Parameters` di esempio seguente definisce parametri di input aggiuntivi come il `ClusterName`, versione `EmrRelease` e `ClusterInstanceType`.
```
Parameters:
ClusterName:
Type: "String"
Default: "Cluster_Name_Placeholder"
EmrRelease:
Type: "String"
Default: "emr-6.2.0"
AllowedValues:
- "emr-6.2.0"
- "emr-5.32.0"
ClusterInstanceType:
Type: "String"
Default: "m5.xlarge"
AllowedValues:
- "m5.xlarge"
- "m5.2xlarge"
```
Quando si aggiungono parametri, gli utenti di Studio visualizzano ulteriori opzioni di modulo dopo aver selezionato un modello di cluster. L'immagine seguente mostra opzioni di modulo aggiuntive per la **EmrRelease**versione, **ClusterName**, e **InstanceType**.
![\[Schermata degli input aggiuntivi nell'interfaccia utente dello Studio quando un utente seleziona un modello di cluster con parametri.\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/images/cluster-template-parameters-studio-ui.jpg)
## Prerequisiti
Prima di creare un modello di cluster, assicurati di disporre delle autorizzazioni IAM per accedere alla vista console amministratore di Service Catalog. Sono inoltre necessarie le autorizzazioni IAM richieste per eseguire i processi amministrativi di Service Catalog. Per ulteriori informazioni, consulta [Concessione di autorizzazioni ad amministratori Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-iamadmin.html).
## Crea modelli di cluster EMR
**Creazione di modelli di cluster EMR con Service Catalog**
1. Crea uno o più CloudFormation modelli. Il luogo in cui si archiviano i modelli dipende da te. Poiché i modelli sono file di testo formattati, puoi caricarli su Amazon S3 o conservarli nel file system locale. Per ulteriori informazioni sui CloudFormation modelli, consulta [Templates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b7) nella *Guida AWS CloudFormation per l'utente*.
Utilizza le regole seguenti per assegnare un nome ai modelli o controllare i nomi in base al pattern `[a-zA-Z0-9][a-zA-Z0-9._-]*`.
+ I nomi dei modelli devono iniziare con una lettera o un numero.
+ I nomi dei modelli possono includere solo di lettere, numeri, punti (.), trattini bassi (\$1) e trattini alti (-).
Ogni modello del cluster che si crea deve includere le seguenti opzioni:
**Parametri di input**
+ ClusterName — Un nome per il cluster per aiutare gli utenti a identificarlo dopo il provisioning.
**Output**
+ `ClusterId`: l'ID del cluster EMR di cui è stato appena effettuato il provisioning.
Di seguito è riportato un CloudFormation modello di esempio in formato YAML per un cluster con due nodi. Il modello di esempio include le opzioni del modello richieste e definisce i parametri di input aggiuntivi per `EmrRelease` e `ClusterInstanceType`.
```
awsTemplateFormatVersion: 2010-09-09
Parameters:
ClusterName:
Type: "String"
Default: "Example_Two_Node_Cluster"
EmrRelease:
Type: "String"
Default: "emr-6.2.0"
AllowedValues:
- "emr-6.2.0"
- "emr-5.32.0"
ClusterInstanceType:
Type: "String"
Default: "m5.xlarge"
AllowedValues:
- "m5.xlarge"
- "m5.2xlarge"
Resources:
EmrCluster:
Type: AWS::EMR::Cluster
Properties:
Applications:
- Name: Spark
- Name: Livy
- Name: JupyterEnterpriseGateway
- Name: Hive
EbsRootVolumeSize: '10'
Name: !Ref ClusterName
JobFlowRole: EMR_EC2_DefaultRole
ServiceRole: EMR_DefaultRole_V2
ReleaseLabel: !Ref EmrRelease
VisibleToAllUsers: true
LogUri:
Fn::Sub: 's3://aws-logs-${AWS::AccountId}-${AWS::Region}/elasticmapreduce/'
Instances:
TerminationProtected: false
Ec2SubnetId: 'subnet-ab12345c'
MasterInstanceGroup:
InstanceCount: 1
InstanceType: !Ref ClusterInstanceType
CoreInstanceGroup:
InstanceCount: 1
InstanceType: !Ref ClusterInstanceType
Market: ON_DEMAND
Name: Core
Outputs:
ClusterId:
Value:
Ref: EmrCluster
Description: The ID of the EMR cluster
```
1. Crea un portfolio per i tuoi modelli di cluster nello stesso AWS account di Studio.
1. Apri la AWS Service Catalog console all'indirizzo [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Dal menu di navigazione a sinistra, scegli **Portfolio**.
1. Nella pagina **Crea un portfolio**, immetti le informazioni richieste.
1. Scegli **Crea**. AWS Service Catalog crea il portfolio e visualizza i dettagli del portfolio.
1. Utilizza la procedura seguente per aggiungere i modelli di cluster come prodotti AWS Service Catalog .
1. Passare alla pagina **Prodotti** in **Amministrazione** nella console di gestione AWS Service Catalog
1. Scegliere **Upload new product (Carica un nuovo prodotto)**.
1. Inserisci un **Product name (Nome del prodotto)** e **Owner (Proprietario)**.
1. Specificare il file modello in **Version details (Dettagli della versione)**.
1. Scegliere **Review (Revisione)** per rivedere le impostazioni del prodotto, quindi scegliere ** Create product (Crea prodotto)**.
1. Completa la procedura seguente per aggiungere i prodotti al portfolio.
1. Passare alla pagina **Products (Prodotti)** della console di gestione AWS Service Catalog
1. Scegli il tuo prodotto, scegli **Actions (Operazioni)**, quindi scegli **Add product to portfolio (Aggiungi prodotto al portfolio)**.
1. Scegli un portfolio, quindi scegli **Add product to portfolio (Aggiungi prodotto al portfolio)**.
1. Creare un vincolo di avvio per i prodotti. Un vincolo di avvio è un ruolo IAM che specifica le autorizzazioni utente per l'avvio di un prodotto. Puoi personalizzare i tuoi vincoli di lancio, ma devi consentire le autorizzazioni di utilizzo, CloudFormation Amazon EMR e. AWS Service Catalog Per ulteriori informazioni e istruzioni, consulta [Vincoli di avvio di Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html).
1. Applica il vincolo di avvio a ciascun prodotto del tuo portfolio. È necessario applicare il vincolo di avvio a ciascun prodotto singolarmente.
1. Seleziona il tuo portfolio dal **Portfolio** della console di gestione AWS Service Catalog .
1. Scegliere la scheda **Vincoli**, quindi **Crea vincolo**.
1. Scegliere il tuo prodotto e scegliere **Avvia** in **Tipo di vincolo**. Scegli **Continua**.
1. Seleziona il ruolo di vincolo di avvio nella sezione **Vincolo di avvio**, quindi scegli **Crea**.
1. Concedere l'accesso al portfolio.
1. Seleziona il tuo portafoglio dal **Portfolios (Portafogli)** della console di gestione AWS Service Catalog
1. Espandi la scheda **Gruppi, ruoli e utenti** e scegli **Aggiungi gruppi, ruoli, utenti**.
1. Cerca il tuo ruolo EMR Studio IAM nella scheda **Ruoli**, seleziona il tuo ruolo e scegli **Aggiungi accesso**.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/emr/latest/ManagementGuide/emr-studio-cluster-templates.html)
# Definizione di accesso e autorizzazioni per i repository basati su Git
EMR Studio supporta i seguenti servizi basati su Git:
+ [AWS CodeCommit](https://aws.amazon.com/codecommit)
+ [GitHub](https://github.com)
+ [Bitbucket](https://bitbucket.org/)
+ [GitLab](https://about.gitlab.com/)
Per consentire agli utenti di EMR Studio di associare un repository Git a un Workspace, imposta i seguenti requisiti di accesso e autorizzazione. È inoltre possibile configurare i repository basati su Git ospitati in una rete privata seguendo le istruzioni riportate in [Configurazione di un repository Git ospitato privatamente per EMR Studio](#emr-studio-private-git-repo).
**Accesso a Internet del cluster**
Entrambi i cluster Amazon EMR in esecuzione su cluster Amazon EC2 e Amazon EMR su EKS collegati a Workspace Studio devono trovarsi in una sottorete privata che utilizza un gateway Network Address Translation (NAT) o devono essere in grado di accedere a Internet tramite un gateway virtuale privato. Per ulteriori informazioni, consulta [Opzioni Amazon VPC all'avvio di un cluster](emr-clusters-in-a-vpc.md).
I gruppi di sicurezza utilizzati con EMR Studio devono includere anche una regola in uscita che consenta ai Workspace di instradare il traffico a Internet da un cluster EMR collegato. Per ulteriori informazioni, consulta [Definizione di gruppi di sicurezza per controllare il traffico di rete EMR Studio](emr-studio-security-groups.md).
Se l'interfaccia di rete si trova in una sottorete pubblica, non sarà in grado di comunicare con Internet tramite un Gateway Internet (IGW).
**Autorizzazioni per Gestione dei segreti AWS**
Per consentire agli utenti di EMR Studio di accedere ai repository Git con segreti archiviati in Gestione dei segreti AWS, aggiungi una policy di autorizzazione al [ruolo di servizio per EMR Studio](emr-studio-service-role.md) che consente l'operazione `secretsmanager:GetSecretValue`.
Per ulteriori informazioni su come collegare repository basati su Git ai Workspace, consulta [Collegamento di repository basati su Git a un WorkSpace EMR Studio](emr-studio-git-repo.md).
## Configurazione di un repository Git ospitato privatamente per EMR Studio
Utilizza le seguenti istruzioni per configurare repository ospitati privatamente per Amazon EMR Studio. Fornire un file di configurazione con informazioni sui server DNS e Git. EMR Studio utilizza queste informazioni per configurare Workspace in grado di instradare il traffico ai repository autogestiti.
**Nota**
Se configuri`DnsServerIpV4`, EMR Studio utilizza il tuo server DNS per risolvere sia i tuoi endpoint che quelli di `GitServerDnsName` AWS, ma si consiglia vivamente di evitare di risolvere AWS Endpoints con te in `DnsServerIpV4` quanto ciò potrebbe interrompere le funzionalità essenziali del servizio.
**Prerequisiti**
Prima di configurare un repository Git ospitato in livello privato per EMR Studio, è necessario un archivio Amazon S3 in cui EMR Studio possa eseguire il backup di Workspace e file notebook nello Studio. Utilizza lo stesso bucket S3 specificato durante la creazione di uno Studio.
**Configurazione di uno o più repository Git ospitati privatamente per EMR Studio**
1. Crea un file di configurazione utilizzando il seguente modello. Includi i seguenti valori per ogni server Git che desideri specificare nella configurazione:
+ **`DnsServerIpV4`**- L'indirizzo del tuo server DNS. IPv4 Se si forniscono valori per `DnsServerIpV4` e `GitServerIpV4List`, il valore per `DnsServerIpV4` ha la precedenza e EMR Studio utilizza `DnsServerIpV4` per risolvere il `GitServerDnsName`.
**Nota**
Per utilizzare repository Git ospitati privatamente, il server DNS deve consentire l'accesso in ingresso da EMR Studio. Si consiglia di proteggere il server DNS da altri accessi non autorizzati.
+ **`GitServerDnsName`**: il nome DNS del server Git. Ad esempio, `"git.example.com"`.
+ **`GitServerIpV4List`**- Un elenco di IPv4 indirizzi che appartengono ai tuoi server Git.
```
[
{
"Type": "PrivatelyHostedGitConfig",
"Value": [
{
"DnsServerIpV4": "<10.24.34.xxx>",
"GitServerDnsName": "",
"GitServerIpV4List": [
"",
""
]
},
{
"DnsServerIpV4": "<10.24.34.xxx>",
"GitServerDnsName": "",
"GitServerIpV4List": [
"",
""
]
}
]
}
]
```
1. Salva il file di configurazione come `configuration.json`.
1. Carica il file di configurazione nella posizione di storage predefinita di Amazon S3 in una cartella chiamata. `life-cycle-configuration` Ad esempio, se la posizione S3 predefinita è `s3://amzn-s3-demo-bucket/workspace`, il file di configurazione sarà in `s3://amzn-s3-demo-bucket/workspace/life-cycle-configuration/configuration.json`.
**Importante**
Si consiglia di limitare l'accesso alla tua cartella `life-cycle-configuration` agli amministratori dello Studio e al ruolo di servizio EMR Studio, nonché di proteggere `configuration.json` contro l'accesso non autorizzato. Per ricevere istruzioni, consulta [Controllo dell'accesso a un bucket con policy utente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) o [Best practice di sicurezza per Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html).
Per istruzioni sul caricamento, consulta [Creazione di una cartella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html#create-folder) e [Caricamento degli oggetti](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) nella *Guida per l'utente di Amazon Simple Storage*. Per applicare la configurazione a un Workspace esistente, chiudi e riavvia il Workspace dopo aver caricato il file di configurazione su Amazon S3.
# Ottimizzazione dei processi Spark in EMR Studio
Quando si esegue un processo Spark utilizzando EMR Studio, è possibile eseguire alcune fase per garantire l'ottimizzazione delle risorse del cluster Amazon EMR.
## Prolunga la tua sessione Livy
Se utilizzi Apache Livy insieme a Spark sul cluster Amazon EMR, ti consigliamo di aumentare il timeout della sessione Livy effettuando una delle seguenti operazioni:
+ Quando crei un cluster Amazon EMR, imposta questa classificazione di configurazione nel campo **Enter Configuration (Immettere la configurazione)**.
```
[
{
"Classification": "livy-conf",
"Properties": {
"livy.server.session.timeout": "8h"
}
}
]
```
+ Per un cluster EMR già in esecuzione, connettiti al cluster utilizzando `ssh` e imposta la classificazione di configurazione `livy-conf` in `/etc/livy/conf/livy.conf`.
```
[
{
"Classification": "livy-conf",
"Properties": {
"livy.server.session.timeout": "8h"
}
}
]
```
Potrebbe essere necessario riavviare Livy dopo aver modificato la configurazione.
+ Se non vuoi che la tua sessione di Livy venga scaduta, imposta la proprietà `livy.server.session.timeout-check` a `false` in `/etc/livy/conf/livy.conf`.
## Esecuzione di Spark in modalità cluster
In modalità cluster, il driver Spark viene eseguito su un nodo principale anziché sul nodo primario, il che migliora l'utilizzo delle risorse sul nodo primario.
Per eseguire l'applicazione Spark in modalità cluster anziché nella modalità client predefinita, scegli la modalità **Cluster** quando imposti **Modalità di implementazione** durante la configurazione della fase Spark nel tuo nuovo cluster Amazon EMR. Per ulteriori informazioni, consulta [Panoramica della modalità cluster](https://spark.apache.org/docs/latest/cluster-overview.html) nella documentazione di Apache Spark.
## Aumento della memoria del driver Spark
Per aumentare la memoria del driver Spark, configura la sessione Spark utilizzando il comando magic `%%configure` nel notebook EMR, come nell'esempio seguente.
```
%%configure -f
{"driverMemory": "6000M"}
```