本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EMR 與 Identity Center 整合的考量事項和限制 將 IAM Identity Center 與 Amazon EMR 搭配使用時,請考量以下幾點: + Amazon EMR 6.15.0 及更高版本支援透過 Identity Center 的受信任身分傳播,且僅適用於 Apache Spark。此外,Amazon EMR 7.8.0 及更高版本支援使用 EMR Runtime Roles 的 Identity Center 的受信任身分傳播功能,且僅適用於 Apache Spark。 + 若要啟用具有信任身分傳播的 EMR 叢集,您必須使用 AWS CLI 來建立已啟用信任身分傳播的安全組態,並在啟動叢集時使用該安全組態。如需詳細資訊,請參閱[建立已啟用 Identity Center 的安全組態](emr-idc-start.md#emr-idc-start-securityconfig)。 + 使用受信任身分傳播 AWS Lake Formation 的精細存取控制適用於 EMR 7.2.0 版和更新版本的 Amazon EMR 叢集。在 EMR 版本 6.15.0 和 7.1.0 之間,只有以 AWS Lake Formation 為基礎的資料表層級存取控制可用。 + 對於使用受信任身分傳播的 Amazon EMR 叢集,支援以 Lake Formation with Apache Spark 為基礎的存取控制的操作包括 SELECT、ALTER TABLE、INSERT INTO 和 DROP TABLE。 + 使用 的精細存取控制若使用信任的身分傳播 AWS Lake Formation ,將需要透過新增 EMR 受管 IAM Identity 應用程式 Arn 作為授權目標來更新 Lake Formation Identity Center 組態。您可以呼叫 EMR `describe-security-configure` API 並尋找欄位 來尋找 Amazon EMR 受管 IAM Identity 應用程式 ARN`{{IdCApplicationARN}}`。更多詳細資訊:[更新如何使用 IAM Identity Center 組態設定 Lake Formation 的 IAM Identity Center 整合](https://docs.aws.amazon.com/lake-formation/latest/dg/update-lf-identity-center-connection.html)。 + 若要使用 使用信任身分傳播 AWS Lake Formation 的精細存取控制,應授予預設資料庫的 Lake Formation 許可給 IAM Identity 使用者。更多詳細資訊:為[啟用 IAM Identity Center 的 EMR 叢集設定 Lake Formation](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-lf.html)。 + 以下支援使用 Amazon EMR 的受信任身分傳播 AWS 區域: + `af-south-1` – 非洲 (開普敦) + `ap-east-1` – 亞太區域 (香港) + `ap-northeast-1` – 亞太區域 (東京) + `ap-northeast-2` – 亞太區域 (首爾) + `ap-northeast-3` – 亞太區域 (大阪) + `ap-south-1` – 亞太區域 (孟買) + `ap-south-2` – 亞太區域 (海德拉巴) + `ap-southeast-1` – 亞太區域 (新加坡) + `ap-southeast-2` – 亞太區域 (雪梨) + `ap-southeast-3` – 亞太區域 (雅加達) + `ap-southeast-4` – 亞太區域 (墨爾本) + `ca-central-1` – 加拿大 (中部) + `eu-central-1` – 歐洲 (法蘭克福) + `eu-central-2` – 歐洲 (蘇黎世) + `eu-north-1` – 歐洲 (斯德哥爾摩) + `eu-south-1` – 歐洲 (米蘭) + `eu-south-2` – 歐洲 (西班牙) + `eu-west-1` – 歐洲 (愛爾蘭) + `eu-west-2` – 歐洲 (倫敦) + `eu-west-3` – 歐洲 (巴黎) + `il-central-1` – 以色列 (特拉維夫) + `me-central-1` – 中東 (阿拉伯聯合大公國) + `me-south-1` – 中東 (巴林) + `sa-east-1` – 南美洲 (聖保羅) + `us-east-1` – 美國東部 (維吉尼亞北部) + `us-east-2` – 美國東部 (俄亥俄) + `us-west-1` – 美國西部 (加利佛尼亞北部) + `us-west-2` – 美國西部 (奧勒岡) + 如果意外刪除並重新建立身分中心角色的 IAM 角色,委託人會有不同的委託人 ID。範例 {{NewRole}} 的 principal-id {{456}} 與記錄的 principal-id {{123}} 不相符。此時解決此問題的唯一方法是在每個下游帳戶中的下游資源政策中重新設定主體。