投稿日: Sep 20, 2021
Amazon EMR Studio は、R、Python、Scala、PySpark で記述されたデータエンジニアリングおよびデータサイエンスアプリケーションを、データサイエンティストやデータエンジニアが簡単に開発、視覚化、デバッグできるようにした統合開発環境 (IDE) です。今日は、EMR Studio の追加の認証オプションを紹介します。今回のリリース以前は、EMR Studio にログインするために、アイデンティティプロバイダー (IdP) と AWS Single Sign-On (AWS SSO) を統合する必要がありました。今回のリリースでは、EMR Studio にログインするために、AWS SSO の利用に加えて、AWS Identity and Access Management (IAM) 認証の利用、または企業の認証情報を用いた IAM フェデレーションの利用が選択できるようになりました。
各 EMR Studio では、固有のアクセス URL が用意されており、ユーザーは企業の認証情報を使用して Studio 環境に直接ログインすることができます。IAM 認証を選択すると、AWS コンソールまたは EMR Studio のアクセス URL を介して EMR Studio に直接ログインすることができ、認証のために IAM のログインページにリダイレクトされます。IAM フェデレーションまたは AWS SSO ベースの認証を選択した場合、スタジオのアクセス URL にアクセスすると、認証のためにアイデンティティプロバイダーのサインインポータルにリダイレクトされます。また、アイデンティティプロバイダーのポータルから EMR Studio にアクセスすることもできます。複数のスタジオがお客様の環境にある場合は、IdP ポータルから特定のスタジオに直接アクセスすることもできます。AWS SSO は、Microsoft アクティブディレクトリのような一元化された単一のディレクトリのグループメンバーシップに基づいて、ユーザーのフェデレーションされているアクセス許可を定義したい場合に最適です。複数のディレクトリを使用している場合、もしくはユーザー属性に基づいて許可を管理したい場合は、IAM を設計代替案として検討してください。
これらの各オプションでは、ユーザーごとにリソースへのきめ細かなアクセス制御を定義できます。AWS SSO を使用する場合は、IAM セッションポリシーを使用して許可を管理できます。例えば、セッションポリシーを作成して、ユーザーが新しい EMR クラスターを作成することを制限することができます。IAM を使用すると、IAM の許可ポリシーと属性ベースのアクセスコントロール (ABAC) により、ユーザーに EMR Studio へのアクセス許可を付与することができます。例えば、新しい EMR クラスターを作成するための IAM アイデンティティに許可ポリシーを添付することができます。