기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# EMR Studio 사용자 할당 및 관리
<a name="emr-studio-manage-users"></a>

EMR Studio를 생성한 후 사용자와 그룹을 할당할 수 있습니다. 사용자를 할당, 업데이트 및 제거하는 데 사용하는 방법은 Studio 인증 모드에 따라 다릅니다.
+ IAM 인증 모드를 사용하는 경우 IAM에서 EMR Studio 사용자 할당 및 권한을 구성하거나 IAM 및 ID 제공업체를 통해 구성합니다.
+ IAM Identity Center 인증 모드에서는 Amazon EMR 관리 콘솔 또는 AWS CLI 를 사용하여 사용자를 관리합니다.

Amazon EMR Studio의 인증에 대한 자세한 내용은 [Amazon EMR Studio의 인증 모드 선택](emr-studio-authentication.md) 섹션을 참조하세요.

## EMR Studio에 사용자 또는 그룹 할당
<a name="emr-studio-assign-users-groups"></a>

------
#### [ IAM ]

[Amazon EMR Studio에 대한 IAM 인증 모드 설정](emr-studio-authentication.md#emr-studio-iam-authentication)을 사용할 때는 사용자의 IAM 권한 정책에서 `CreateStudioPresignedUrl` 작업을 허용하고 사용자를 특정 Studio로 제한해야 합니다. [IAM 인증 모드의 사용자 권한](how-emr-studio-works.md#emr-studio-iam-authorization)에서 `CreateStudioPresignedUrl`을 포함하거나 별도의 정책을 사용할 수 있습니다.

사용자를 Studio(또는 Studio 세트)로 제한하기 위해 ABAC(속성 기반 액세스 제어)를 사용하거나 권한 정책의 `Resource` 요소에 Studio의 Amazon 리소스 이름(ARN)을 지정할 수 있습니다.

**Example Studio ARN을 사용하여 Studio에 사용자 할당**  
다음 예제 정책은 `CreateStudioPresignedUrl` 작업을 허용하고 `Resource` 요소에 Studio의 Amazon 리소스 이름(ARN)을 지정하여 사용자에게 특정 EMR Studio에 대한 액세스 권한을 부여합니다.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
      ]
    }
  ]
}
```

**Example IAM 인증을 위해 ABAC를 사용하여 Studio에 사용자 할당**  
Studio에 대해 ABAC(속성 기반 액세스 제어)를 구성하는 방법은 여러 가지가 있습니다. 예를 들어, EMR Studio에 하나 이상의 태그를 연결한 다음 해당 태그가 있는 특정 Studio 또는 Studio 세트로 `CreateStudioPresignedUrl` 작업을 제한하는 IAM 정책을 생성할 수 있습니다.  
Studio 생성 중 또는 이후에 태그를 추가할 수 있습니다. 기존 Studio에 태그를 추가하려면 [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html) 명령을 사용합니다. 다음 예제에서는 키-값 페어 `Team = Data Analytics`를 포함하는 태그를 EMR Studio에 추가합니다.  

```
aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"
```
다음 예제 권한 정책은 태그 키-값 페어 `Team = DataAnalytics`를 사용하는 EMR Studio에 대한 `CreateStudioPresignedUrl` 작업을 허용합니다. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 [태그를 사용하여 사용자 및 역할에 대한 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) 및 [태그를 사용한 AWS 리소스 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)를 참조하세요.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": "Data Analytics"
        }
      }
    }
  ]
}
```

**Example aws:SourceIdentity 글로벌 조건 키를 사용하여 Studio에 사용자 할당**  
IAM 페더레이션을 사용하는 경우 권한 정책에서 글로벌 조건 키 `aws:SourceIdentity`를 사용하여 페더레이션을 위한 IAM 역할을 수임할 때 사용자에게 Studio 액세스 권한을 부여할 수 있습니다.  
먼저 사용자를 인증하고 사용자가 페더레이션을 위한 IAM 역할을 수임할 때 이메일 주소 또는 사용자 이름과 같은 식별 문자열을 반환하도록 ID 제공업체(idP)를 구성해야 합니다. IAM은 글로벌 조건 키 `aws:SourceIdentity`를 IdP에서 반환한 식별 문자열로 설정합니다.  
자세한 내용은 AWS 보안 블로그의 [How to relate IAM role activity to corporate identity](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) 블로그 게시물 및 글로벌 조건 키 참조의 [aws:SourceIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) 항목을 참조하세요.  
다음 예제 정책에서는 `CreateStudioPresignedUrl` 작업을 허용하고 *<example-studio-arn>*.에서 지정한 EMR Studio에 대한 *<example-source-identity>* 액세스와 일치하는 `aws:SourceIdentity`를 사용자에게 부여합니다.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "example-source-identity"
        }
      },
      "Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
    }
  ]
}
```

------
#### [ IAM Identity Center ]

EMR Studio에 사용자 또는 그룹을 할당할 때 해당 사용자 또는 그룹에 대한 세분화된 권한(예: 새 EMR 클러스터 생성 기능)을 정의하는 세션 정책을 지정합니다. Amazon EMR은 이러한 세션 정책 매핑을 저장합니다. 할당 후 사용자 또는 그룹의 세션 정책을 업데이트할 수 있습니다.

**참고**  
사용자 또는 그룹의 최종 권한은 EMR Studio 사용자 역할에 정의된 권한과 해당 사용자 또는 그룹의 세션 정책에 정의된 권한의 교집합입니다. 사용자가 Studio에 할당된 둘 이상의 그룹에 속하는 경우 EMR Studio는 해당 사용자에 대한 권한 합집합을 사용합니다.

**Amazon EMR 콘솔을 사용하여 EMR Studio에 사용자 또는 그룹을 할당하는 방법**

1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 **이전 콘솔로 전환**을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 [이전 콘솔 사용](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)을 참조하세요.

1. 왼쪽 탐색에서 **EMR Studio**를 선택합니다.

1. **Studio** 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 **세부 정보 보기**를 선택하여 Studio 세부 정보 페이지를 엽니다.

1. **사용자 추가**를 선택하여 **사용자** 및 **그룹** 검색 테이블을 확인합니다.

1. **사용자** 탭 또는 **그룹** 탭을 선택하고 검색 표시줄에 검색어를 입력하여 사용자 또는 그룹을 찾습니다.

1. 검색 결과 목록에서 사용자 또는 그룹을 하나 이상 선택합니다. **사용자** 탭과 **그룹** 탭 사이를 전환할 수 있습니다.

1. Studio에 추가할 사용자 및 그룹을 선택한 후 **추가**를 선택합니다. **Studio 사용자** 목록에 사용자와 그룹이 표시됩니다. 목록을 새로 고치는 데 몇 초가 걸릴 수 있습니다.

1. [Studio에 할당된 사용자 또는 그룹의 권한 업데이트](#emr-studio-update-user)의 지침에 따라 사용자 또는 그룹의 Studio 권한을 세분화합니다.

** AWS CLI를 사용하여 EMR Studio에 사용자 또는 그룹을 할당하는 방법**

다음 `create-studio-session-mapping` 인수에 고유한 값을 입력합니다. `create-studio-session-mapping` 명령에 대한 자세한 내용은 [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html)를 참조하세요.
+ **`--studio-id`**- 사용자 또는 그룹을 할당하려는 Studio의 ID. Studio ID를 검색하는 방법에 관한 지침은 [Studio 세부 정보 보기](emr-studio-manage-studio.md#emr-studio-get-studio-id) 섹션을 참조하세요.
+ `--identity-name` - 자격 증명 저장소의 사용자 또는 그룹 이름. 자세한 내용은 *자격 증명 스토어 API 참조*에서 사용자에 대해 [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName), 그룹에 대해 [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)을 참조하세요.
+ **`--identity-type`** - `USER` 또는 `GROUP` 중 하나를 사용하여 자격 증명 유형을 지정합니다.
+ **`--session-policy-arn`** - 사용자 또는 그룹에 연결할 세션 정책의 Amazon 리소스 이름(ARN). 예를 들어 `arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy`입니다. 자세한 내용은 [EMR Studio 사용자를 위한 권한 정책 생성](emr-studio-user-permissions.md#emr-studio-permissions-policies) 단원을 참조하십시오.

```
aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
```

**참고**  
가독성을 위해 Linux 줄 연속 문자(\$1)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.

`get-studio-session-mapping` 명령을 사용하여 새 할당을 확인합니다. *<example-identity-name>*을 업데이트한 사용자 또는 그룹의 IAM Identity Center 이름으로 바꿉니다.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Studio에 할당된 사용자 또는 그룹의 권한 업데이트
<a name="emr-studio-update-user"></a>

------
#### [ IAM ]

IAM 인증 모드를 사용할 때 사용자 또는 그룹 권한을 업데이트하려면 IAM을 사용하여 IAM 자격 증명(사용자, 그룹 또는 역할)에 연결된 IAM 권한 정책을 변경합니다.

자세한 내용은 [IAM 인증 모드의 사용자 권한](how-emr-studio-works.md#emr-studio-iam-authorization) 단원을 참조하십시오.

------
#### [ IAM Identity Center ]

****콘솔을 사용하여 사용자 또는 그룹의 EMR Studio 권한을 업데이트하는 방법****

1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 **이전 콘솔로 전환**을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 [이전 콘솔 사용](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)을 참조하세요.

1. 왼쪽 탐색에서 **EMR Studio**를 선택합니다.

1. **Studio** 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 **세부 정보 보기**를 선택하여 Studio 세부 정보 페이지를 엽니다.

1. Studio 세부 정보 페이지의 **Studio 사용자** 목록에서, 업데이트할 사용자 또는 그룹을 검색합니다. 이름 또는 ID 유형으로 검색할 수 있습니다.

1. 업데이트할 사용자 또는 그룹을 선택하고 **정책 할당**을 선택하여 **세션 정책** 대화 상자를 엽니다.

1. 5단계에서 선택한 사용자 또는 그룹에 적용할 정책을 선택하고 **정책 적용**을 선택합니다. **Studio 사용자** 목록에는 업데이트한 사용자 또는 그룹의 **세션 정책** 열에 있는 정책 이름이 표시됩니다.

**를 사용하여 사용자 또는 그룹에 대한 EMR Studio 권한을 업데이트하려면 AWS CLI**

다음 `update-studio-session-mappings` 인수에 고유한 값을 입력합니다. `update-studio-session-mappings` 명령에 대한 자세한 내용은 [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html)를 참조하세요.

```
aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \
```

`get-studio-session-mapping` 명령을 사용하여 새 세션 정책 할당을 확인합니다. *<example-identity-name>*을 업데이트한 사용자 또는 그룹의 IAM Identity Center 이름으로 바꿉니다.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Studio에서 사용자 또는 그룹 제거
<a name="emr-studio-remove-user"></a>

------
#### [ IAM ]

IAM 인증 모드를 사용할 때 EMR Studio에서 사용자 또는 그룹을 제거하려면 사용자의 IAM 권한 정책을 재구성하여 Studio에 대한 사용자 액세스를 취소해야 합니다.

다음 정책 예제에서 태그 키-값 페어 `Team = Quality Assurance`가 있는 EMR Studio가 있다고 가정합니다. 정책에 따라 사용자는 값이 `Data Analytics` 또는 `Quality Assurance`와 같은 `Team` 키로 태그가 지정된 Studios에 액세스할 수 있습니다. `Team = Quality Assurance` 태그가 지정된 Studio에서 사용자를 제거하려면 태그 값 목록에서 `Quality Assurance`를 제거합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": [
            "Data Analytics",
            "Quality Assurance"
          ]
        }
      }
    }
  ]
}
```

------

------
#### [ IAM Identity Center ]

****콘솔을 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하는 방법****

1. 새 Amazon EMR 콘솔로 이동하고 측면 탐색에서 **이전 콘솔로 전환**을 선택합니다. 이전 콘솔로 전환할 때 예상되는 사항에 대한 자세한 내용은 [이전 콘솔 사용](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in)을 참조하세요.

1. 왼쪽 탐색에서 **EMR Studio**를 선택합니다.

1. **Studio** 목록에서 Studio 이름을 선택하거나 Studio를 선택하고 **세부 정보 보기**를 선택하여 Studio 세부 정보 페이지를 엽니다.

1. Studio 세부 정보 페이지의 **Studio 사용자** 목록에서, Studio에서 제거할 사용자 또는 그룹을 찾습니다. 이름 또는 ID 유형으로 검색할 수 있습니다.

1. 삭제할 사용자 또는 그룹을 선택하고 **삭제**를 선택한 후 삭제를 확인합니다. 삭제한 사용자 또는 그룹은 **Studio 사용자** 목록에서 사라집니다.

** AWS CLI를 사용하여 EMR Studio에서 사용자 또는 그룹을 제거하는 방법**

다음 `delete-studio-session-mapping` 인수에 고유한 값을 입력합니다. `delete-studio-session-mapping` 명령에 대한 자세한 내용은 [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html)를 참조하세요.

```
aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \
```

------