翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EMR Studio ユーザーの割り当てと管理
<a name="emr-studio-manage-users"></a>

EMR Studio を作成したら、その Studio にユーザーとグループを割り当てることができます。ユーザーの割り当て、更新、削除に使用する方法は、Studio 認証モードによって異なります。
+ IAM 認証モードを使用する場合、IAM または IAM と ID プロバイダーで EMR Studio ユーザーの割り当てとアクセス許可を設定します。
+ IAM Identity Center 認証モードでは、Amazon EMR マネジメントコンソールまたは AWS CLI を使用してユーザーを管理します。

Amazon EMR Studio の認証の詳細については、「[Amazon EMR Studio の認証モードの選択](emr-studio-authentication.md)」を参照してください。

## EMR Studio にユーザーまたはグループを割り当てる
<a name="emr-studio-assign-users-groups"></a>

------
#### [ IAM ]

「[Amazon EMR Studio の IAM 認証モードの設定](emr-studio-authentication.md#emr-studio-iam-authentication)」を行う際に、ユーザーの IAM アクセス許可ポリシーで `CreateStudioPresignedUrl` アクションを許可し、ユーザーを特定の Studio に制限する必要があります。[IAM 認証モードのユーザーアクセス許可](how-emr-studio-works.md#emr-studio-iam-authorization) に `CreateStudioPresignedUrl` を含めるか、別のポリシーを使用できます。

ユーザーを特定の Studio (または Studio のセット) に制限するには、属性ベースのアクセスコントロール (ABAC) を使用するか、Studio の Amazon リソースネーム (ARN) をアクセス許可ポリシーの `Resource` 要素で指定できます。

**Example Studio ARN を使用してユーザーを Studio に割り当てる**  
次のポリシー例では、`CreateStudioPresignedUrl` アクションを許可し、`Resource` 要素に Studio の Amazon リソースネーム (ARN) を指定することで、ユーザーに特定の EMR Studio へのアクセス権を付与しています。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
      ]
    }
  ]
}
```

**Example IAM 認証用に ABAC を使用して Studio にユーザーを割り当てる**  
Studio の属性ベースアクセスコントロール (ABAC) を設定する方法は複数あります。例えば、EMR Studio に 1 つ以上のタグをアタッチし、`CreateStudioPresignedUrl` アクションを、それらのタグを持つ特定の Studio または Studio のセットに制限する IAM ポリシーを作成できます。  
Studio の作成中または作成後にタグを追加できます。タグを既存の Studio に追加するには、[AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html) コマンドを使用します。次の例では、キーと値のペア `Team = Data Analytics` を持つタグを EMR Studio に追加します。  

```
aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"
```
次のアクセス許可ポリシー例では、タグのキーと値のペア `Team = DataAnalytics` を持つ EMR Studio に対して `CreateStudioPresignedUrl` アクションを許可しています。タグを使用したアクセス制御の詳細については、「[タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)」または「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": "Data Analytics"
        }
      }
    }
  ]
}
```

**Example aws:SourceIdentity グローバル条件キーを使用してユーザーを Studio に割り当てる**  
IAM フェデレーションを使用する場合、アクセス許可ポリシーでグローバル条件キー `aws:SourceIdentity` を使用して、フェデレーションの IAM ロールを引き受けるときに Studio へのアクセス権をユーザーに付与できます。  
まず、ユーザーが認証してフェデレーションの IAM ロールを引き受けるときに、E メールアドレスやユーザー名などの識別文字列を返すように ID プロバイダー (IdP) を設定する必要があります。IAM は、グローバル条件キー `aws:SourceIdentity` を IdP から返された識別文字列に設定します  
詳細については、 AWS Security Blog のブログ投稿「[How to relate IAM role activity to corporate identity](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/)」およびグローバル条件キーのリファレンスの [Aaws:SourceIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) エントリを参照してください。  
次のポリシーの例では、`CreateStudioPresignedUrl` アクションを許可し、*<example-source-identity>* と一致する `aws:SourceIdentity` を持つユーザーに *<example-studio-arn>* で指定された EMR Studio へのアクセス権を付与しています。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "example-source-identity"
        }
      },
      "Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
    }
  ]
}
```

------
#### [ IAM Identity Center ]

ユーザーまたはグループを EMR Studio に割り当てるときは、そのユーザーまたはグループに対して、新しい EMR クラスターを作成する機能など、きめ細かいアクセス許可を定義するセッションポリシーを指定します。Amazon EMR では、これらのセッションポリシーマッピングが保存されます。ユーザーまたはグループのセッションポリシーは、割り当て後に更新できます。

**注記**  
ユーザーまたはグループの最終的なアクセス許可は、EMR Studio ユーザーロールで定義されたアクセス許可と、そのユーザーまたはグループのセッションポリシーで定義されているアクセス許可の共通部分です。ユーザーが Studio に割り当てられた複数のグループに属している場合、EMR Studio はそのユーザーに対してアクセス許可の和集合を使用します。

**Amazon EMR コンソールを使用して EMR Studio にユーザーまたはグループを割り当てるには**

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから **[古いコンソールに切り替え]** を選択します。古いコンソールに切り替えたときの動作の詳細については、「[Using the old console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)」を参照してください。

1. 左のナビゲーションから **[EMR Studio]** を選択します。

1. Studio 名を **[Studios]** (Studio) リストから選択するか、Studio を選択して**[View details]** (詳細を表示) を選択して、Studio の詳細ページを開きます。

1. **[Add Users]** (ユーザーの追加) を選択して、**[Users]** (ユーザー) および **[Groups]** (グループ) 検索テーブルを表示します。

1. **[Users]** (ユーザー) タブまたは **[Groups]** (グループ) タブを選択し、検索バーに検索語を入力して、ユーザーまたはグループを検索します。

1. 検索結果リストから 1 つ以上のユーザーまたはグループを選択します。**[Users]** (ユーザー) タブと **[Groups]** (グループ) タブを切り替えることができます。

1. Studio に追加するユーザーおよびグループを選択したら、**[Add]** (追加) を選択します。ユーザーとグループが **[Studio users]** (Studio ユーザー) リストに表示されます。リストが更新されるまでに数秒かかることがあります。

1. 「[Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する](#emr-studio-update-user)」の指示に従って、ユーザーまたはグループの Studio アクセス許可を絞り込みます。

** AWS CLIを使用して EMR Studio にユーザーまたはグループを割り当てるには**

次の `create-studio-session-mapping` 引数に独自の値を挿入します。`create-studio-session-mapping` コマンドの詳細については、「[https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html)」を参照してください。
+ **`--studio-id`** - ユーザーまたはグループを割り当てる Studio の ID。Studio ID を取得する方法の手順については、「[Studio の詳細の表示](emr-studio-manage-studio.md#emr-studio-get-studio-id)」を参照してください。
+ `--identity-name` - ID ストアからのユーザーまたはグループの名前。詳細については、「*Identity Store API Reference*」のユーザーの「[UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)」およびグループの「[DisplayNam](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)e」を参照してください。
+ **`--identity-type`** - `USER` または `GROUP` のいずれかを使用して、ID タイプを指定します。
+ **`--session-policy-arn`** - ユーザーまたはグループに関連付けるセッションポリシーの Amazon リソースネーム (ARN)。例えば、`arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy` です。詳細については、「[EMR Studio ユーザーのアクセス許可ポリシーの作成](emr-studio-user-permissions.md#emr-studio-permissions-policies)」を参照してください。

```
aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
```

**注記**  
読みやすくするために、Linux 行連続文字 (\$1) が含まれています。Linux コマンドでは、これらは削除することも、使用することもできます。Windows の場合、削除するか、キャレット (^) に置き換えてください。

`get-studio-session-mapping` コマンドを使用して、新しい割り当てを確認します。*<example-identity-name>* は、更新したユーザーまたはグループの IAM Identity Center 名に置き換えてください。

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Studio に割り当てられたユーザーまたはグループのアクセス許可を更新する
<a name="emr-studio-update-user"></a>

------
#### [ IAM ]

IAM 認証モードを使用するときにユーザーまたはグループのアクセス許可を更新するには、IAM を使用して IAM ID (ユーザー、グループ、またはロール) にアタッチされた IAM アクセス許可ポリシーを変更します。

詳細については、「[IAM 認証モードのユーザーアクセス許可](how-emr-studio-works.md#emr-studio-iam-authorization)」を参照してください。

------
#### [ IAM Identity Center ]

****コンソールを使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには****

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから **[古いコンソールに切り替え]** を選択します。古いコンソールに切り替えたときの動作の詳細については、「[Using the old console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)」を参照してください。

1. 左のナビゲーションから **[EMR Studio]** を選択します。

1. Studio 名を **[Studios]** (Studio) リストから選択するか、Studio を選択して**[View details]** (詳細を表示) を選択して、Studio の詳細ページを開きます。

1. Studio の詳細ページの **[Studio users]** (Studio ユーザー) リストで、更新するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

1. 更新対象のユーザーまたはグループを選択し、**[Assign policy]** (ポリシーの割り当て) を選択して **[Session policy]** (セッションポリシー) ダイアログボックスを開きます。

1. 手順 5 で選択したユーザーまたはグループに適用するポリシーを選択し、**[Apply policy]** (ポリシーを適用) を選択します。**[Studio users]** (Studio ユーザー) リストでは、更新したユーザーまたはグループの **[Session policy]** (セッションポリシー) 列にポリシー名が表示されます。

**を使用してユーザーまたはグループの EMR Studio アクセス許可を更新するには AWS CLI**

次の `update-studio-session-mappings` 引数に独自の値を挿入します。`update-studio-session-mappings` コマンドの詳細については、「[https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html)」を参照してください。

```
aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \
```

`get-studio-session-mapping` コマンドを使用して、新しいセッションポリシーの割り当てを確認します。*<example-identity-name>* は、更新したユーザーまたはグループの IAM Identity Center 名に置き換えてください。

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Studio からユーザーまたはグループを削除する
<a name="emr-studio-remove-user"></a>

------
#### [ IAM ]

IAM 認証モードを使用するときに EMR Studio からユーザーまたはグループを削除するには、ユーザーの IAM アクセス許可ポリシーを再構成して、Studio へのユーザーのアクセスを取り消す必要があります。

次のポリシーの例では、タグのキーと値のペア `Team = Quality Assurance` を持つ EMR Studio があると仮定します。ポリシーに従って、ユーザーは、値が `Data Analytics` または `Quality Assurance` のいずれかに等しい `Team` キーでタグ付けされた Studio にアクセスできます。`Team = Quality Assurance` でタグ付けされた Studio からユーザーを削除するには、タグ値のリストから `Quality Assurance` を削除します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": [
            "Data Analytics",
            "Quality Assurance"
          ]
        }
      }
    }
  ]
}
```

------

------
#### [ IAM Identity Center ]

****コンソールを使用して EMR Studio からユーザーまたはグループを削除するには****

1. 新しい Amazon EMR コンソールに移動し、サイドナビゲーションから **[古いコンソールに切り替え]** を選択します。古いコンソールに切り替えたときの動作の詳細については、「[Using the old console](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)」を参照してください。

1. 左のナビゲーションから **[EMR Studio]** を選択します。

1. Studio 名を **[Studios]** (Studio) リストから選択するか、Studio を選択して**[View details]** (詳細を表示) を選択して、Studio の詳細ページを開きます。

1. Studio の詳細ページの **[Studio users]** (Studio ユーザー) リストで、Studio から削除するユーザーまたはグループを検索します。名前または ID タイプで検索できます。

1. 削除するユーザーまたはグループを選択し、**[Delete]** (削除) を選択して確認します。削除したユーザーまたはグループが、**[Studio users]** (Studio ユーザー) リストに表示されなくなります。

** AWS CLIを使用して EMR Studio からユーザーまたはグループを削除するには**

次の `delete-studio-session-mapping` 引数に独自の値を挿入します。`delete-studio-session-mapping` コマンドの詳細については、「[https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html)」を参照してください。

```
aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \
```

------