Khách hàng ngày nay có thể gặp khó khăn trong việc triển khai các biện pháp kiểm soát và kiểm tra quyền truy cập phù hợp ở cấp độ người dùng khi có nhiều ứng dụng tham gia vào quy trình truy cập dữ liệu. Thách thức chính là triển khai các biện pháp kiểm soát quyền truy cập có đặc quyền tối thiểu phù hợp dựa trên danh tính người dùng khi một ứng dụng truy cập dữ liệu thay mặt cho người dùng trong một ứng dụng khác. Nó buộc bạn phải cấp cho tất cả người dùng quyền truy cập rộng rãi thông qua ứng dụng mà không cần kiểm tra hoặc cố gắng triển khai các giải pháp riêng biệt phức tạp để ánh xạ vai trò cho người dùng.

Sử dụng Trung tâm nhận dạng AWS IAM, bây giờ bạn có thể truyền bá danh tính người dùng tới một bộ dịch vụ AWS và giảm thiểu nhu cầu xây dựng và duy trì các hệ thống tùy chỉnh phức tạp để phân bổ vai trò giữa các ứng dụng. Trung tâm nhận dạng IAM cũng cung cấp chế độ xem tổng hợp về người dùng và nhóm ở một nơi mà các ứng dụng được kết nối có thể sử dụng để ủy quyền và kiểm tra.

Trung tâm nhận dạng IAM cho phép quản lý tập trung quyền truy cập của người dùng vào tài khoản và ứng dụng AWS bằng cách sử dụng nhà cung cấp nhận dạng (IDP) như Okta. Điều này cho phép người dùng đăng nhập một lần bằng thông tin xác thực hiện có của công ty và truy cập liền mạch các dịch vụ AWS tiếp theo hỗ trợ truyền bá danh tính. Với Trung tâm nhận dạng IAM, danh tính và nhóm người dùng Okta có thể được tự động đồng bộ hóa bằng SCIM 2.0 để có thông tin người dùng chính xác trong AWS.

Phòng thu âm Amazon EMR là một môi trường phân tích dữ liệu thống nhất nơi bạn có thể phát triển các ứng dụng kỹ thuật dữ liệu và khoa học dữ liệu. Bây giờ bạn có thể phát triển và chạy các truy vấn tương tác trên amazon Athena từ EMR Studio (để biết thêm chi tiết, hãy tham khảo Amazon EMR Studio bổ sung trình soạn thảo truy vấn tương tác được cung cấp bởi Amazon Athena ). Người dùng Athena có thể truy cập EMR Studio mà không cần đăng nhập vào Bảng điều khiển quản lý AWS bằng cách cho phép quyền truy cập liên kết từ IdP của bạn thông qua Trung tâm nhận dạng IAM. Điều này loại bỏ sự phức tạp của việc duy trì các danh tính khác nhau và ánh xạ vai trò của người dùng trên IdP, EMR Studio và Athena của bạn.

Bạn có thể cai trị Nhóm làm việc của Athena dựa trên thuộc tính người dùng từ Okta để kiểm soát quyền truy cập và chi phí truy vấn. Sự hình thành hồ AWS cũng có thể sử dụng danh tính Okta để thực thi các biện pháp kiểm soát truy cập chi tiết thông qua việc cấp và thu hồi quyền.

Tích hợp Trung tâm nhận dạng IAM và đăng nhập một lần (SSO) Okta giúp hợp lý hóa quyền truy cập vào EMR Studio và Athena bằng xác thực tập trung. Người dùng có thể có trải nghiệm đăng nhập quen thuộc bằng thông tin xác thực lực lượng lao động của họ để chạy truy vấn một cách an toàn trong Athena. Chính sách truy cập vào nhóm làm việc Athena và quyền Lake Formation cung cấp khả năng quản trị dựa trên hồ sơ người dùng Okta.

Bài đăng trên blog này giải thích cách bật đăng nhập một lần vào EMR Studio bằng cách tích hợp Trung tâm nhận dạng IAM với Okta. Nó cho thấy cách truyền bá danh tính Okta tới Athena và Lake Formation để cung cấp các biện pháp kiểm soát truy cập chi tiết đối với các truy vấn và dữ liệu. Giải pháp hợp lý hóa quyền truy cập vào các công cụ phân tích bằng xác thực tập trung bằng thông tin xác thực của lực lượng lao động. Nó tận dụng Trung tâm nhận dạng AWS IAM, Amazon EMR Studio, Amazon Athena và AWS Lake Formation.

Tổng quan về giải pháp

IAM Identity Center cho phép người dùng kết nối với EMR Studio mà không cần quản trị viên cấu hình thủ công Quản lý truy cập và nhận dạng AWS (IAM) vai trò và quyền. Nó cho phép ánh xạ các nhóm Trung tâm nhận dạng IAM tới các nhóm và vai trò nhận dạng công ty hiện có. Sau đó, quản trị viên có thể chỉ định đặc quyền cho vai trò và nhóm cũng như chỉ định người dùng cho họ, cho phép kiểm soát chi tiết quyền truy cập của người dùng. Trung tâm nhận dạng IAM cung cấp kho lưu trữ trung tâm của tất cả người dùng trong AWS. Bạn có thể tạo người dùng và nhóm trực tiếp trong Trung tâm nhận dạng IAM hoặc kết nối người dùng và nhóm hiện có từ các nhà cung cấp như Okta, Ping Identity hoặc Azure AD. Nó xử lý xác thực thông qua nguồn nhận dạng đã chọn của bạn và duy trì thư mục người dùng và nhóm để truy cập EMR Studio. Danh tính người dùng đã biết và quyền truy cập dữ liệu được ghi lại tạo điều kiện thuận lợi cho việc tuân thủ thông qua việc kiểm tra quyền truy cập của người dùng vào Đường mòn đám mây AWS.

Sơ đồ sau minh họa kiến ​​trúc giải pháp.

Quy trình làm việc của EMR Studio bao gồm các bước cấp cao sau:

1. Người dùng cuối khởi chạy EMR Studio bằng URL cổng truy cập AWS. URL này được cung cấp bởi quản trị viên Trung tâm nhận dạng IAM thông qua trang tổng quan Trung tâm nhận dạng IAM.
2. URL chuyển hướng người dùng cuối đến IdP Okta của lực lượng lao động, nơi người dùng nhập thông tin xác thực danh tính lực lượng lao động.
3. Sau khi xác thực thành công, người dùng sẽ đăng nhập vào bảng điều khiển AWS với tư cách là người dùng liên kết.
4. Người dùng mở EMR Studio và điều hướng đến trình soạn thảo truy vấn Athena bằng liên kết có sẵn trên EMR Studio.
5. Người dùng chọn đúng nhóm làm việc theo vai trò của người dùng để chạy truy vấn Athena.
6. Kết quả truy vấn được lưu trữ riêng biệt Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) các vị trí có tiền tố dựa trên danh tính người dùng.

Để triển khai giải pháp, chúng tôi hoàn thành các bước sau:

1. Tích hợp Okta với IAM Identity Center để đồng bộ hóa người dùng và nhóm.
2. Tích hợp Trung tâm nhận dạng IAM với EMR Studio.
3. Chỉ định người dùng hoặc nhóm từ Trung tâm nhận dạng IAM cho EMR Studio.
4. Thiết lập Lake Formation với Trung tâm nhận dạng IAM.
5. Định cấu hình các quyền lợi chi tiết dựa trên vai trò bằng cách sử dụng Lake Formation trên danh tính công ty được phổ biến.
6. Thiết lập các nhóm làm việc trong Athena để quản lý quyền truy cập.
7. Thiết lập cấp quyền truy cập Amazon S3 để có quyền truy cập chi tiết vào các tài nguyên Amazon S3 như bộ chứa, tiền tố hoặc đối tượng.
8. Truy cập EMR Studio thông qua cổng truy cập AWS bằng Trung tâm nhận dạng IAM.
9. Chạy truy vấn trên trình soạn thảo Athena SQL trong EMR Studio.
10. Xem lại quy trình kiểm tra từ đầu đến cuối về danh tính lực lượng lao động.

Điều kiện tiên quyết

Để theo dõi bài viết này, bạn nên có những điều sau đây:

• An Tài khoản AWS - Nếu chưa có bạn có thể đăng ký tại đây.
• An Tài khoản Okta có đăng ký đang hoạt động – Bạn cần có vai trò quản trị viên để thiết lập ứng dụng trên Okta. Nếu bạn mới sử dụng Okta, bạn có thể đăng ký dùng thử miễn phí hoặc một tài khoản nhà phát triển.

Để biết hướng dẫn định cấu hình Okta với Trung tâm nhận dạng IAM, hãy tham khảo Định cấu hình SAML và SCIM với Trung tâm nhận dạng Okta và IAM.

Tích hợp Okta với IAM Identity Center để đồng bộ hóa người dùng và nhóm

Sau khi đã đồng bộ hóa thành công người dùng hoặc nhóm từ Okta sang Trung tâm nhận dạng IAM, bạn có thể thấy họ trên bảng điều khiển của Trung tâm nhận dạng IAM, như minh họa trong ảnh chụp màn hình sau. Đối với bài đăng này, chúng tôi đã tạo và đồng bộ hóa hai nhóm người dùng:

• Kỹ sư dữ liệu
• Nhà khoa học dữ liệu

Tiếp theo, tạo nhà phát hành mã thông báo đáng tin cậy trong Trung tâm nhận dạng IAM:

1. Trên bảng điều khiển IAM Identity Center, hãy chọn Cài đặt trong khung điều hướng.
2. Chọn Tạo nhà phát hành mã thông báo đáng tin cậy.
3. Trong URL của nhà phát hành, hãy nhập URL của nhà phát hành mã thông báo đáng tin cậy.
4. Trong Tên nhà phát hành mã thông báo đáng tin cậy, nhập Okta.
5. Trong Thuộc tính bản đồ¸ ánh xạ thuộc tính IdP E-mail tới Email thuộc tính của Trung tâm nhận dạng IAM.
6. Chọn Tạo nhà phát hành mã thông báo đáng tin cậy.
   

Ảnh chụp màn hình sau đây hiển thị nhà phát hành mã thông báo đáng tin cậy mới của bạn trên bảng điều khiển Trung tâm nhận dạng IAM.

Tích hợp Trung tâm nhận dạng IAM với EMR Studio

Chúng tôi bắt đầu bằng việc tạo tính năng lan truyền danh tính đáng tin cậy được kích hoạt trong EMR Studio.

Quản trị viên EMR Studio phải thực hiện các bước để đặt cấu hình EMR Studio làm ứng dụng hỗ trợ Trung tâm nhận dạng IAM. Điều này cho phép EMR Studio tự động khám phá và kết nối với Trung tâm nhận dạng IAM để nhận các dịch vụ đăng nhập và thư mục người dùng.

Mục đích của việc bật EMR Studio làm ứng dụng do Trung tâm nhận dạng IAM quản lý là để bạn có thể kiểm soát quyền của người dùng và nhóm từ bên trong Trung tâm nhận dạng IAM hoặc từ IdP nguồn của bên thứ ba được tích hợp với nó (Okta trong trường hợp này). Ví dụ: khi người dùng của bạn đăng nhập vào EMR Studio kỹ sư dữ liệu or nhà khoa học dữ liệu, nó sẽ kiểm tra các nhóm của họ trong Trung tâm nhận dạng IAM và những nhóm này được ánh xạ tới các vai trò và quyền lợi trong Lake Formation. Theo cách này, một nhóm có thể ánh xạ tới vai trò cơ sở dữ liệu Lake Formation cho phép quyền truy cập đọc vào một tập hợp các bảng hoặc cột.

Các bước sau đây cho biết cách tạo EMR Studio dưới dạng ứng dụng do AWS quản lý với Trung tâm nhận dạng IAM, sau đó chúng ta xem cách các ứng dụng hạ nguồn như Lake Formation và Athena phổ biến các vai trò và quyền này bằng thông tin xác thực hiện có của công ty.

1. Trên bảng điều khiển Amazon EMR, hãy điều hướng đến EMR Studio.
2. Chọn Tạo một Studio.
3. Trong Thành lập tùy chọn, chọn Tuỳ chỉnh.
4. Trong Tên studio, nhập tên.
5. Trong Vị trí S3 để lưu trữ Workspace, lựa chọn Chọn vị trí hiện có và nhập vị trí Amazon S3.

6. Định cấu hình chi tiết quyền cho EMR Studio.

Lưu ý rằng khi bạn chọn Xem chi tiết quyền Dưới Vai trò dịch vụ, một cửa sổ bật lên mới sẽ mở ra. Bạn cần tạo vai trò IAM với các chính sách tương tự như được hiển thị trong cửa sổ bật lên. Bạn có thể sử dụng tương tự cho vai trò dịch vụ và Vai trò IAM.

7. trên Tạo một Studio trang, cho Xác thực, lựa chọn Trung tâm nhận dạng AWS IAM.
8. Trong Vai trò người dùng, chọn vai trò người dùng của bạn.
9. Theo Tuyên truyền danh tính đáng tin cậy, lựa chọn Cho phép truyền bá danh tính đáng tin cậy.
10. Theo Quyền truy cập ứng dụng, lựa chọn Chỉ những người dùng và nhóm được chỉ định.
11. Trong VPC, nhập VPC của bạn.
12. Trong Mạng con, nhập mạng con của bạn.
13. Trong Bảo mật và quyền truy cập, lựa chọn Nhóm bảo mật mặc định.
14. Chọn Tạo Studio.

Bây giờ, bạn sẽ thấy EMR Studio hỗ trợ Trung tâm nhận dạng IAM trên Bảng điều khiển Amazon EMR.

Sau khi quản trị viên EMR Studio hoàn tất việc tạo EMR Studio hỗ trợ truyền nhận dạng đáng tin cậy và lưu cấu hình, phiên bản của EMR Studio sẽ xuất hiện dưới dạng ứng dụng hỗ trợ Trung tâm nhận dạng IAM trên Bảng điều khiển Trung tâm nhận dạng IAM.

Chỉ định người dùng hoặc nhóm từ Trung tâm nhận dạng IAM cho EMR Studio

Bạn có thể chỉ định người dùng và nhóm từ thư mục Trung tâm nhận dạng IAM của mình cho ứng dụng EMR Studio sau khi đồng bộ hóa với IAM. Quản trị viên EMR Studio quyết định người dùng hoặc nhóm nào của Trung tâm nhận dạng IAM sẽ đưa vào ứng dụng. Ví dụ: nếu bạn có tổng cộng 10 nhóm trong Trung tâm nhận dạng IAM nhưng không muốn tất cả các nhóm đó truy cập vào phiên bản EMR Studio này, thì bạn có thể chọn nhóm nào sẽ đưa vào ứng dụng IAM hỗ trợ EMR Studio.

Các bước sau đây chỉ định các nhóm cho ứng dụng IAM Identity Center hỗ trợ EMR Studio:

1. Trên bảng điều khiển EMR Studio, hãy điều hướng đến phiên bản EMR Studio mới.
2. trên Nhóm được chỉ định tab, chọn Chỉ định nhóm.
3. Chọn nhóm Trung tâm nhận dạng IAM mà bạn muốn đưa vào ứng dụng. Ví dụ, bạn có thể chọn Nhà khoa học dữ liệu và Nhóm kỹ sư dữ liệu.
4. Chọn Thực hiện.

Điều này cho phép quản trị viên EMR Studio chọn các nhóm Trung tâm nhận dạng IAM cụ thể để được chỉ định quyền truy cập vào phiên bản cụ thể này được tích hợp với Trung tâm nhận dạng IAM. Chỉ những nhóm đã chọn mới được đồng bộ hóa và cấp quyền truy cập, không phải tất cả các nhóm từ thư mục Trung tâm nhận dạng IAM.

Thiết lập Lake Formation với Trung tâm nhận dạng IAM

Để thiết lập Lake Formation với Trung tâm nhận dạng IAM, hãy đảm bảo rằng bạn đã đặt cấu hình Okta làm IdP cho Trung tâm nhận dạng IAM, đồng thời xác nhận rằng người dùng và nhóm của Okta hiện có sẵn trong Trung tâm nhận dạng IAM. Sau đó hoàn tất các bước sau:

1. Trên bảng điều khiển Lake Formation, hãy chọn Tích hợp trung tâm nhận dạng IAM Dưới Quản trị trong khung điều hướng.

Bạn sẽ thấy thông báo “IAM Identity Center đã bật” cùng với ARN cho ứng dụng IAM Identity Center.

2. Chọn Tạo.

Sau vài phút, bạn sẽ thấy thông báo cho biết Lake Formation đã được tích hợp thành công với danh tính IAM tập trung của bạn từ Trung tâm nhận dạng Okta. Cụ thể, thông báo sẽ cho biết “Đã tạo thành công tích hợp trung tâm nhận dạng với ứng dụng ARN”, biểu thị quá trình tích hợp hiện đã được thực hiện giữa Lake Formation và các danh tính được quản lý ở Okta.

Đặt cấu hình các quyền lợi chi tiết dựa trên vai trò bằng cách sử dụng Lake Formation trên danh tính công ty được phổ biến

Bây giờ chúng tôi sẽ thiết lập các quyền chi tiết để truy cập dữ liệu của chúng tôi trong Lake Formation. Đối với bài đăng này, chúng tôi tóm tắt các bước cần thiết để sử dụng danh tính công ty hiện có trên bảng điều khiển Lake Formation nhằm cung cấp các biện pháp kiểm soát và quản trị có liên quan đối với dữ liệu mà sau này chúng tôi sẽ truy vấn thông qua trình chỉnh sửa truy vấn Athena. Để tìm hiểu về cách thiết lập cơ sở dữ liệu và bảng trong Lake Formation, hãy tham khảo Bắt đầu với AWS Lake Formation

Bài đăng này sẽ không đi sâu vào chi tiết đầy đủ về Lake Formation. Thay vào đó, chúng tôi sẽ tập trung vào một khả năng mới đã được giới thiệu trong Lake Formation—khả năng thiết lập các quyền dựa trên danh tính công ty hiện có của bạn được đồng bộ hóa với Trung tâm nhận dạng IAM.

Việc tích hợp này cho phép Lake Formation sử dụng các chính sách quản lý quyền truy cập và IdP của tổ chức bạn để kiểm soát quyền đối với các hồ dữ liệu. Thay vì xác định quyền từ đầu cụ thể cho Lake Formation, giờ đây bạn có thể dựa vào người dùng, nhóm và biện pháp kiểm soát quyền truy cập hiện có của mình để xác định ai có thể truy cập danh mục dữ liệu và nguồn dữ liệu cơ bản. Nhìn chung, sự tích hợp mới này với Trung tâm nhận dạng IAM giúp bạn dễ dàng quản lý các quyền đối với khối lượng công việc hồ dữ liệu bằng cách sử dụng danh tính công ty của mình. Nó làm giảm chi phí quản trị trong việc giữ các quyền được căn chỉnh trên các hệ thống riêng biệt. Khi AWS tiếp tục nâng cao Lake Formation, các tính năng như thế này sẽ cải thiện hơn nữa khả năng tồn tại của nó như một môi trường quản lý hồ dữ liệu đầy đủ tính năng.

Trong bài đăng này, chúng tôi đã tạo một cơ sở dữ liệu có tên zipcode-db-tip và cấp toàn quyền truy cập vào nhóm người dùng Data-Engineer để truy vấn bảng cơ bản trong cơ sở dữ liệu. Hoàn thành các bước sau:

1. Trên bảng điều khiển Lake Formation, hãy chọn Cấp quyền hồ dữ liệu.
2. Đối với Hiệu trưởng, chọn Trung tâm nhận dạng IAM.
3. Trong Người dùng và nhóm, chọn Kỹ sư dữ liệu.
4. Trong Thẻ LF hoặc tài nguyên danh mục, lựa chọn Tài nguyên danh mục dữ liệu được đặt tên.
5. Trong Cơ sở dữ liệu, chọn zipcode-db-tip.
6. Trong Bàn, chọn tip-zipcode.
   

Tương tự, chúng tôi cần cung cấp quyền truy cập có liên quan trên các bảng cơ bản cho người dùng và nhóm để họ có thể truy vấn dữ liệu.

7. Lặp lại các bước trước để cung cấp quyền truy cập vào nhóm Kỹ sư dữ liệu để có thể truy vấn dữ liệu.
8. Trong Quyền bảng, lựa chọn Chọn, Mô tảvà lớn.
9. Trong Quyền dữ liệu, lựa chọn Tất cả quyền truy cập dữ liệu.

Bạn có thể cấp quyền truy cập có chọn lọc trên các hàng và nhận xét theo yêu cầu cụ thể của mình.

Thiết lập nhóm làm việc trong Athena

Nhóm làm việc Athena là một tính năng của AWS cho phép bạn tách biệt dữ liệu và truy vấn trong tài khoản AWS. Nó cung cấp một cách để tách biệt dữ liệu và kiểm soát quyền truy cập để mỗi nhóm chỉ có thể truy cập dữ liệu có liên quan đến họ. Nhóm làm việc của Athena rất hữu ích cho các tổ chức muốn hạn chế quyền truy cập vào các tập dữ liệu nhạy cảm hoặc giúp ngăn chặn các truy vấn ảnh hưởng lẫn nhau. Khi tạo một nhóm làm việc, bạn có thể chỉ định người dùng và vai trò cho nhóm đó. Các truy vấn được khởi chạy trong một nhóm làm việc sẽ chạy với các điều khiển truy cập và cài đặt được định cấu hình cho nhóm làm việc đó. Chúng cho phép quản trị, bảo mật và kiểm soát tài nguyên ở cấp độ chi tiết. Nhóm làm việc của Athena là một tính năng quan trọng để quản lý và tối ưu hóa việc sử dụng Athena trong các tổ chức lớn.

Trong bài đăng này, chúng tôi tạo một nhóm làm việc dành riêng cho các thành viên trong nhóm Kỹ thuật dữ liệu của chúng tôi. Sau đó, khi đăng nhập vào hồ sơ người dùng Data Engineer, chúng tôi chạy các truy vấn từ trong nhóm làm việc này để minh họa cách hạn chế quyền truy cập vào nhóm làm việc Athena dựa trên hồ sơ người dùng. Điều này cho phép thực thi các chính sách quản trị, đảm bảo người dùng chỉ có thể truy cập các tập dữ liệu và truy vấn được phép dựa trên vai trò của họ.

1. Trên bảng điều khiển Athena, chọn Nhóm làm việc Dưới Quản trị trong khung điều hướng.
2. Chọn Tạo nhóm làm việc.
3. Trong Xác thực, lựa chọn Trung tâm nhận dạng AWS.
4. Trong Vai trò dịch vụ ủy quyền cho Athena, lựa chọn Tạo và sử dụng vai trò dịch vụ mới.
5. Trong Tên vai trò dịch vụ, hãy nhập tên cho vai trò của bạn.
   
6. Trong Vị trí của kết quả truy vấn, nhập vị trí Amazon S3 để lưu kết quả truy vấn Athena của bạn.

Đây là trường bắt buộc khi bạn chỉ định Trung tâm nhận dạng IAM để xác thực.

Sau khi tạo nhóm làm việc, bạn cần chỉ định người dùng và nhóm cho nhóm đó. Đối với bài đăng này, chúng tôi tạo một nhóm làm việc có tên là kỹ sư dữ liệu và chỉ định nhóm Kỹ sư dữ liệu (được truyền bá thông qua việc truyền bá danh tính đáng tin cậy từ Trung tâm nhận dạng IAM).

7. trên Du lịch Nhóm trên trang chi tiết kỹ sư dữ liệu, chọn nhóm người dùng để chỉ định và chọn Chỉ định nhóm.
   

Thiết lập cấp quyền truy cập Amazon S3 để phân tách kết quả truy vấn cho từng danh tính lực lượng lao động

Tiếp theo, chúng tôi thiết lập trợ cấp Amazon S3.

Bạn có thể xem video sau để thiết lập các khoản tài trợ hoặc tham khảo Sử dụng Amazon EMR với S3 Access Grants để mở rộng quy mô truy cập Spark Amazon S3 để được hướng dẫn.

Bắt đầu đăng nhập thông qua quyền truy cập liên kết AWS bằng cổng truy cập Trung tâm nhận dạng IAM

Bây giờ chúng ta đã sẵn sàng kết nối với EMR Studio và đăng nhập liên kết bằng xác thực Trung tâm nhận dạng IAM:

1. Trên bảng điều khiển Trung tâm nhận dạng IAM, điều hướng đến bảng thông tin và chọn URL cổng truy cập AWS.
2. Một cửa sổ bật lên của trình duyệt sẽ hướng bạn đến trang đăng nhập Okta, nơi bạn nhập thông tin đăng nhập Okta của mình.
3. Sau khi xác thực thành công, bạn sẽ đăng nhập vào bảng điều khiển AWS với tư cách là người dùng liên kết.
4. Chọn ứng dụng EMR Studio.
5. Sau khi bạn liên kết với EMR Studio, hãy chọn Trình soạn thảo truy vấn trong ngăn điều hướng để mở tab mới bằng trình soạn thảo truy vấn Athena.

Video sau đây trình bày cảnh người dùng liên kết sử dụng URL cổng truy cập AWS để truy cập EMR Studio bằng xác thực Trung tâm nhận dạng IAM.

Chạy truy vấn với quyền truy cập chi tiết trên trình chỉnh sửa

Trên EMR Studio, người dùng có thể mở trình chỉnh sửa truy vấn Athena, sau đó chỉ định nhóm làm việc chính xác trong trình chỉnh sửa truy vấn để chạy truy vấn.

Kỹ sư dữ liệu chỉ có thể truy vấn các bảng mà người dùng có quyền truy cập. Các kết quả truy vấn sẽ xuất hiện dưới tiền tố S3, tiền tố này riêng biệt cho từng danh tính lực lượng lao động.

Xem lại quy trình kiểm tra từ đầu đến cuối về danh tính lực lượng lao động

Quản trị viên Trung tâm nhận dạng IAM có thể xem xét các ứng dụng hạ nguồn đáng tin cậy để truyền nhận dạng, như minh họa trong ảnh chụp màn hình sau đây của bảng điều khiển Trung tâm nhận dạng IAM.

Trên bảng điều khiển CloudTrail, lịch sử sự kiện hiển thị tên sự kiện và tài nguyên được truy cập bởi danh tính lực lượng lao động cụ thể.

Khi bạn chọn một sự kiện trong CloudTrail, người kiểm tra có thể thấy ID người dùng duy nhất đã truy cập vào các dịch vụ AWS Analytics cơ bản.

Làm sạch

Hoàn thành các bước sau để dọn sạch tài nguyên của bạn:

1. Xóa các ứng dụng Okta mà bạn đã tạo để tích hợp với IAM Identity Center.
2. Xóa cấu hình Trung tâm nhận dạng IAM.
3. Xóa EMR Studio mà bạn đã tạo để thử nghiệm.
4. Xóa vai trò IAM mà bạn đã tạo cho việc tích hợp IAM Identity Center và EMR Studio.

Kết luận

Trong bài đăng này, chúng tôi đã giới thiệu cho bạn hướng dẫn chi tiết để đưa danh tính lực lượng lao động của bạn đến EMR Studio và phổ biến danh tính đến các ứng dụng AWS được kết nối như Athena và Lake Formation. Giải pháp này cung cấp cho lực lượng lao động của bạn trải nghiệm đăng nhập quen thuộc mà không cần phải nhớ thông tin xác thực bổ sung hoặc duy trì ánh xạ vai trò phức tạp trên các hệ thống phân tích khác nhau. Ngoài ra, nó còn cung cấp cho kiểm toán viên khả năng hiển thị toàn diện về danh tính lực lượng lao động và quyền truy cập của họ vào các dịch vụ phân tích.

Để tìm hiểu thêm về việc truyền bá danh tính đáng tin cậy và EMR Studio, hãy tham khảo Tích hợp Amazon EMR với Trung tâm nhận dạng AWS IAM.

Giới thiệu về tác giả

Chakraborty Manjit là Kiến trúc sư giải pháp cấp cao tại AWS. Ông là một chuyên gia dày dạn kinh nghiệm và hướng tới kết quả với kinh nghiệm sâu rộng trong lĩnh vực Tài chính, từng làm việc với khách hàng về tư vấn, thiết kế, lãnh đạo và triển khai các giải pháp doanh nghiệp kinh doanh cốt lõi trên toàn cầu. Khi rảnh rỗi, Manjit thích câu cá, luyện tập võ thuật và chơi với con gái.

Neeraj Roy là Kiến trúc sư giải pháp chính tại AWS có trụ sở ở London. Anh ấy làm việc với các khách hàng của Dịch vụ Tài chính Toàn cầu để đẩy nhanh hành trình AWS của họ. Trong thời gian rảnh rỗi, anh thích đọc sách và dành thời gian cho gia đình.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://aws.amazon.com/blogs/big-data/bring-your-workforce-identity-to-amazon-emr-studio-and-athena/