Amazon EMR Studio で信頼できる ID の伝播を設定する - AWS IAM Identity Center
前提条件ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio の作成と設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR Studio で信頼できる ID の伝播を設定する

次の手順では、 を実行している Amazon Athena ワークグループまたは Amazon EMR クラスターに対するクエリで、信頼できる ID の伝播Studio用に Amazon EMR を設定する方法について説明しますApache Spark。

前提条件

このチュートリアルを開始する前に、以下を設定する必要があります。

  1. IAM アイデンティティセンターを有効にします組織インスタンスが推奨されます。詳細については、「前提条件と考慮事項」を参照してください。

  2. ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします

Amazon EMR Studio からの信頼できる ID 伝達の設定を完了するには、EMR Studio 管理者が次のステップを実行する必要があります。

ステップ 1. EMR Studio に必要な IAM ロールを作成する

このステップでは、Amazon EMR Studio管理者は EMR の および IAM サービスロールと IAM ユーザーロールを作成しますStudio。

  1. EMR Studio サービスロールを作成する - EMR Studio はこの IAM ロールを引き受けて、ワークスペースとノートブックを安全に管理し、クラスターに接続し、データインタラクションを処理します。

    1. IAM コンソール (https://console.aws.amazon.com/iam/) に移動し、IAM ロールを作成します。

    2. 信頼されたエンティティAWS のサービスとして を選択し、Amazon EMR を選択します。次のポリシーをアタッチして、ロールのアクセス許可と信頼関係を定義します。

      これらのポリシーを使用するには、ポリシー例の斜体のプレースホルダーテキストを独自の情報に置き換えます。その他の手順については、「ポリシーの作成」または「ポリシーの編集」を参照してください。

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                }
            }
        },
        {
            "Sid": "BucketActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                }
            }
        }
    ]
}
      表示を増やす表示を減らす

      すべてのサービスロールのアクセス許可のリファレンスについては、「EMR Studio サービスロールのアクセス許可」を参照してください。

    表示を増やす表示を減らす

  2. IAM Identity Center 認証用の EMR Studio ユーザーロールを作成する - EMR Studio は、ユーザーが IAM Identity Center を通じてサインインしてワークスペース、EMR クラスター、ジョブ、git リポジトリを管理するときに、このロールを引き受けます。このロールは、信頼できる ID の伝播ワークフローを開始するために使用されます

    注記

    EMR Studio ユーザーロールには、 AWS Glue Catalog. AWS Lake Formation permissions のテーブルの Amazon S3 ロケーションにアクセスするためのアクセス許可を含める必要はありません。登録されたレイクロケーションは、一時的なアクセス許可の受信に使用されます。

    次のポリシー例は、EMR Studio のユーザーが Athena ワークグループを使用してクエリを実行できるようにするロールで使用できます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
                }
            }
        },
        {
            "Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
                    "ec2:CreateAction": "CreateSecurityGroup"
                }
            }
        },
        {
            "Sid": "AllowSecretManagerListSecrets",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
            "Effect": "Allow",
            "Action": "secretsmanager:CreateSecret",
            "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
                }
            }
        },
        {
            "Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
            "Effect": "Allow",
            "Action": "secretsmanager:TagResource",
            "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
        },
        {
            "Sid": "AllowPassingServiceRoleForWorkspaceCreation",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
            ],
            "Effect": "Allow"
        },
        {
            "Sid": "AllowS3ListAndLocationPermissions",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowS3ReadOnlyAccessToLogs",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
            ],
            "Effect": "Allow"
        },
        {
            "Sid": "AllowAthenaQueryExecutions",
            "Effect": "Allow",
            "Action": [
                "athena:StartQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StopQueryExecution",
                "athena:ListQueryExecutions",
                "athena:GetQueryResultsStream",
                "athena:ListWorkGroups",
                "athena:GetWorkGroup",
                "athena:CreatePreparedStatement",
                "athena:GetPreparedStatement",
                "athena:DeletePreparedStatement"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGlueSchemaManipulations",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowQueryEditorToAccessWorkGroup",
            "Effect": "Allow",
            "Action": "athena:GetWorkGroup",
            "Resource": "arn:aws:athena:*:111122223333:workgroup*"
        },
        {
            "Sid": "AllowConfigurationForWorkspaceCollaboration",
            "Action": [
                "elasticmapreduce:UpdateEditor",
                "elasticmapreduce:PutWorkspaceAccess",
                "elasticmapreduce:DeleteWorkspaceAccess",
                "elasticmapreduce:ListWorkspaceAccessIdentities"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
                }
            }
        },
        {
            "Sid": "DescribeNetwork",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIAMRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "*"
        }
    ]
}
    表示を増やす表示を減らす

    次の信頼ポリシーは、EMR Studio がロールを引き受けることを許可します。

    JSON
    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "elasticmapreduce.amazonaws.com"
      },
      "Action": [
              "sts:AssumeRole",
              "sts:SetContext"
              ]
    }
  ]
}
    表示を増やす表示を減らす
    注記

    EMR Studio WorkSpaces と EMR Notebooks を利用するには、追加のアクセス許可が必要です。詳細については、「EMR Studio ユーザーのアクセス許可ポリシーを作成する」を参照してください。

    詳細については、次のリンクを参照してください。
    表示を増やす表示を減らす

ステップ 2. EMR Studio の作成と設定

このステップでは、EMR Studio コンソールで Amazon EMR Studio を作成し、 で作成した IAM ロールを使用しますステップ 1. EMR Studio に必要な IAM ロールを作成する

  1. EMR Studio コンソールに移動し、Studio の作成カスタムセットアップ オプションを選択します。新しい S3 バケットを作成するか、既存のバケットを使用できます。チェックボックスをオンにして、独自の KMS キーを使用してワークスペースファイルを暗号化できます。詳細については、「AWS Key Management Service」を参照してください。

    ステップ 1 EMR コンソールで EMR Studio を作成します。

  2. Studio がリソースにアクセスできるようにするサービスロールで、ステップ 1. EMR Studio に必要な IAM ロールを作成するメニューから で作成されたサービスロールを選択します。

  3. 認証IAM Identity Center を選択します。で作成されたユーザーロールを選択しますステップ 1. EMR Studio に必要な IAM ロールを作成する

    ステップ 3 EMR コンソールで EMR Studio を作成し、認証方法として IAM Identity Center を選択します。

  4. 信頼できる ID の伝播チェックボックスをオンにします。「アプリケーションアクセス」セクションで「割り当てられたユーザーとグループのみ」を選択します。これにより、このスタジオへのアクセスを許可されたユーザーとグループのみに付与できます。

  5. (オプション) - EMR クラスターでこの Studio を使用している場合は、VPC とサブネットを設定できます。

    ステップ 4 EMR コンソールで EMR Studio を作成し、ネットワークとセキュリティの設定を選択します。

  6. すべての詳細を確認し、Create Studio を選択します。

  7. Athena WorkGroup または EMR クラスターを設定したら、Studio の URL にサインインして以下を実行します。

    1. クエリエディタを使用して Athena クエリを実行します。

    2. Jupyter ノートブックを使用してワークスペースで Spark ジョブを実行します。