Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Elija un modo de autenticación para Amazon EMR Studio
<a name="emr-studio-authentication"></a>

EMR Studio admite dos modos de autenticación: el modo de autenticación de IAM y el modo de autenticación de IAM Identity Center. El modo IAM usa AWS Identity and Access Management (IAM), mientras que el modo IAM Identity Center usa. AWS IAM Identity Center Cuando crea un EMR Studio, debe elegir el modo de autenticación para todos los usuarios de ese estudio. Para obtener más información sobre los distintos modos de autenticación, consulte [Autenticación e inicio de sesión de los usuarios](how-emr-studio-works.md#emr-studio-login).

Utilice la siguiente tabla para elegir un modo de autenticación para EMR Studio.


****  

| En caso de que... | Recomendamos... | 
| --- | --- | 
| Ya esté familiarizado con la autenticación o la federación de IAM o la haya configurado anteriormente |  [Modo de autenticación de IAM](#emr-studio-iam-authentication), que ofrece los siguientes beneficios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 
|  AWS ¿Es nuevo en Amazon EMR? |  [Modo de autenticación de IAM Identity Center](#emr-studio-enable-sso), que ofrece las siguientes características: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-authentication.html)  | 

## Configuración del modo de autenticación de IAM para Amazon EMR Studio
<a name="emr-studio-iam-authentication"></a>

Con el modo de autenticación de IAM, puede utilizar la autenticación de IAM o la federación de IAM. La *autenticación* de IAM le permite administrar las identidades de IAM, como los usuarios, los grupos y los roles de IAM. Concede acceso a los usuarios a un estudio con políticas de permisos de IAM y el [control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html). La *federación* de IAM le permite establecer la confianza entre un proveedor de identidades (IdP) externo AWS y, de este modo, puede administrar las identidades de los usuarios a través de su IdP.

**nota**  
Si ya utiliza IAM para controlar el acceso a AWS los recursos, o si ya ha configurado su proveedor de identidad (IdP) para IAM, [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization) consulte para establecer los permisos de usuario cuando utilice el modo de autenticación de IAM para EMR Studio.

### Uso de la federación de IAM para Amazon EMR Studio
<a name="emr-studio-iam-federation"></a>

Para utilizar la federación de IAM para EMR Studio, debe crear una relación de confianza entre usted y Cuenta de AWS su proveedor de identidad (IdP) y permitir que los usuarios federados accedan a. Consola de administración de AWS Los pasos que debe seguir para crear esta relación de confianza varían según el estándar de federación de su IdP.

En general, debe completar las siguientes tareas para configurar la federación con un IdP externo. Para obtener instrucciones completas, consulte [Habilitar usuarios federados de SAML 2.0 para acceder a la Consola de administración de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) y [Habilitar el acceso de un agente de identidades personalizado a la Consola de administración de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html) en la *Guía del usuario de AWS Identity and Access Management *.

1. Recopile información de su IdP. Por lo general, esto implica generar un documento de metadatos para validar las solicitudes de autenticación SAML de su IdP.

1. Cree una entidad de IAM del proveedor de identidades para almacenar información sobre su IdP. Para obtener instrucciones, consulte [Creación de proveedores de identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create.html).

1. Cree uno o varios roles de IAM para su IdP. EMR Studio asigna un rol a un usuario federado al iniciar sesión. El rol permite al proveedor de identidades solicitar credenciales de seguridad temporales para obtener acceso a AWS. Para obtener instrucciones, consulte [Creación de un rol para un proveedor de identidades de terceros (federación)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html). Las políticas de permisos que se asignan al rol determinan lo que los usuarios federados pueden hacer en un estudio de EMR AWS y dentro de él. Para obtener más información, consulte [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization).

1. (Para los proveedores de SAML) Complete la confianza de SAML configurando su IdP con la información AWS y las funciones que desea que asuman los usuarios federados. Este proceso de configuración crea confianza entre *la parte de confianza* entre su IdP y. AWS Para obtener más información, consulte [Configuración de una relación de confianza para usuario autenticado y agregación de notificaciones en el proveedor de identidades SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html).

**Para configurar un EMR Studio como una aplicación SAML en el portal de su IdP**

Puede configurar un EMR Studio concreto como aplicación SAML mediante un enlace directo al estudio. Esto permite que los usuarios inicien sesión en su portal de IdP y lancen un estudio específico en lugar de tener que navegar por la consola de Amazon EMR.
+ Utilice el siguiente formato para configurar un enlace directo a su EMR Studio como URL de destino tras la verificación de la aserción de SAML. 

  ```
  https://console.aws.amazon.com/emr/home?region=<aws-region>#studio/<your-studio-id>/start
  ```

## Configuración del modo de autenticación de IAM Identity Center para Amazon EMR Studio
<a name="emr-studio-enable-sso"></a>

Para prepararse AWS IAM Identity Center para EMR Studio, debe configurar su fuente de identidad y aprovisionar usuarios y grupos. El aprovisionamiento es el proceso de poner la información de usuarios y grupos a disposición de IAM Identity Center y de las aplicaciones que utilizan IAM Identity Center. Para obtener más información, consulte [Aprovisionamiento de usuarios y grupos](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision). 

EMR Studio admite el uso de los siguientes proveedores de identidades para IAM Identity Center:
+ **AWS Managed Microsoft AD y Active Directory autoadministrado**: para obtener más información, consulte [Conectarse al directorio de Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html).
+ **Proveedores basados en SAML**: para ver una lista completa, consulte [Proveedores de identidades compatibles](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **El directorio de IAM Identity Center**: para obtener más información, consulte [Administrar identidades en IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).

**Para configurar IAM Identity Center para EMR Studio**

1. Para configurar IAM Identity Center para EMR Studio, necesita lo siguiente:
   + Una cuenta de administración en su AWS organización si usa varias cuentas en su organización. 
**nota**  
Solo debe usar su cuenta de administración para habilitar IAM Identity Center y *aprovisionar* usuarios y grupos. Tras configurar IAM Identity Center, utilice una cuenta de miembro para crear un EMR Studio y *asignar* usuarios y grupos. Para obtener más información sobre AWS la terminología, consulte [AWS Organizations Terminología y conceptos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html). 
   + Si activó el Centro de identidad de IAM antes del 25 de noviembre de 2019, es posible que deba habilitar las aplicaciones que utilizan el Centro de identidad de IAM para las cuentas de su AWS organización. Para obtener más información, consulte [Habilitar las aplicaciones integradas en el IAM Identity Center en las cuentas](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement). AWS 
   + Asegúrese de que los requisitos previos figuren en la página [Requisitos previos de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).

1. Siga las instrucciones de [Activar el centro de identidad de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) para activar el centro de identidad de IAM en el Región de AWS lugar donde desee crear el EMR Studio.

1. Conecte IAM Identity Center con su proveedor de identidades y aprovisione los usuarios y grupos que desee asignar al estudio.   
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-authentication.html)

Ahora puede asignar usuarios y grupos de su almacén de identidades a un EMR Studio. Para obtener instrucciones, consulte [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).