Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Vertrauenswürdige Identitätsverbreitung mit AWS Glue ETL
Mit IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IdPs) herstellen und den Zugriff für Benutzer und Gruppen über Analysedienste hinweg zentral verwalten. AWS Sie können Identitätsanbieter wie Okta, Ping und Microsoft Entra ID (früher Azure Active Directory) in IAM Identity Center integrieren, damit Benutzer in Ihrer Organisation über eine Single-Sign-On-Erfahrung auf Daten zugreifen können. IAM Identity Center unterstützt auch die Verbindung weiterer externer Identitätsanbieter.
Mit AWS Glue 5.0 und höher können Sie Benutzeridentitäten vom IAM Identity Center auf interaktive Sitzungen übertragen. AWS Glue AWS Glue Interactive Sessions wird die bereitgestellte Identität weiter an nachgelagerte Dienste wie Amazon S3 Access Grants und Amazon Redshift weitergeben und so einen sicheren Datenzugriff über Benutzeridentitäten in diesen nachgelagerten Diensten ermöglichen. AWS Lake Formation
## -Übersicht
[Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) ist der empfohlene Ansatz für die Authentifizierung und Autorisierung von Mitarbeitern AWS für Unternehmen jeder Größe und Art. Mit Identity Center können Sie Benutzeridentitäten in Ihrer vorhandenen Identitätsquelle AWS, einschließlich Microsoft Active Directory, Okta, Ping Identity, Google Workspace und Microsoft Entra ID (ehemals Azure AD) JumpCloud, erstellen und verwalten oder eine Verbindung zu Ihrer vorhandenen Identitätsquelle herstellen.
[Die Verbreitung vertrauenswürdiger Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) ist eine IAM Identity Center-Funktion, mit der Administratoren verbundener AWS Dienste Zugriff auf Servicedaten gewähren und prüfen können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Verbreitung vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren der verbundenen AWS Dienste und den IAM Identity Center-Administratoren.
## Features und Vorteile
Die Integration AWS Glue interaktiver Sitzungen mit IAM Identity Center [Trusted Identity Propagation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) bietet die folgenden Vorteile:
+ Die Möglichkeit, die Autorisierung auf Tabellenebene und eine detaillierte Zugriffskontrolle mit Identity-Center-Identitäten für von Lake Formation verwaltete AWS Glue -Datenkatalogtabellen zu erzwingen.
+ Die Möglichkeit, die Autorisierung mit Identity-Center-Identitäten auf Amazon-Redshift-Clustern zu erzwingen.
+ Die Möglichkeit der durchgängigen Nachverfolgung von Benutzeraktionen zu Prüfungszwecken.
+ Die Möglichkeit, die Amazon-S3-Autorisierung auf Präfixebene mit Identity-Center-Identitäten auf von Amazon S3 Access Grants verwalteten Amazon S3-Präfixen durchzusetzen.
## Anwendungsfälle
**Interaktive Datenexploration und -analyse**
Dateningenieure verwenden ihre Unternehmensidentitäten, um nahtlos auf Daten mehrerer AWS Konten zuzugreifen und diese zu analysieren. Über SageMaker Studio starten sie interaktive Spark-Sitzungen über AWS Glue ETL und stellen eine Verbindung zu verschiedenen Datenquellen her, darunter Amazon S3 und dem AWS Glue Datenkatalog. Während Dateningenieure Datensätze untersuchen, setzt Spark detaillierte Zugriffskontrollen durch, die in Lake Formation basierend auf ihren Identitäten definiert wurden. So wird sichergestellt, dass sie nur autorisierte Daten einsehen können. Alle Abfragen und Datentransformationen werden mit der Identität des Benutzers protokolliert, wodurch ein klarer Audit Trail entsteht. Dieser optimierte Ansatz ermöglicht die schnelle Prototypenentwicklung neuer Analyseprodukte bei gleichzeitiger Einhaltung einer strengen Daten-Governance in allen Clientumgebungen.
**Datenaufbereitung und Feature Engineering**
Datenwissenschaftler aus mehreren Forschungsteams können dank einer einheitlichen Datenplattform an komplexen Projekten zusammenarbeiten. Sie melden sich mit ihren Unternehmensanmeldedaten bei SageMaker Studio an und greifen sofort auf einen riesigen, gemeinsam genutzten Data Lake zu, der sich über mehrere AWS Konten erstreckt. Während sie mit der Feature-Entwicklung für neue Modelle des maschinellen Lernens beginnen, setzen die über AWS Glue ETL gestarteten Spark-Sitzungen die Sicherheitsrichtlinien von Lake Formation auf Spalten- und Zeilenebene auf der Grundlage ihrer weitergegebenen Identitäten durch. Wissenschaftler können mit vertrauten Tools Daten effizient aufbereiten und Features entwickeln, während die Compliance-Teams die Gewissheit haben, dass jede Dateninteraktion automatisch nachverfolgt und geprüft wird. Diese sichere, kollaborative Umgebung beschleunigt die Forschungspipelines und hält gleichzeitig die strengen Datenschutzstandards aufrecht, die in regulierten Branchen notwendig sind.
## Funktionsweise
![\[Architekturdiagramm, das den Arbeitsablauf interaktiver Sitzungen zeigt AWS Glue . Ein Benutzer meldet sich über IAM Identity Center bei clientseitigen Anwendungen (SageMaker Unified Studio oder benutzerdefinierte Anwendungen) an. Die Identität des Benutzers wird an AWS Glue Interactive Sessions weitergegeben, die eine Verbindung zu Zugriffskontrolldiensten wie IAM Identity Center AWS Lake Formation, AWS Glue Data Catalog und Amazon S3 Access Grant herstellen, bevor sie schließlich auf S3 Storage zugreifen.\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/images/GlueISSMAI.png)
Ein Benutzer meldet sich mit seiner Unternehmensidentität über IAM Identity Center bei kundenorientierten Anwendungen (SageMaker KI oder benutzerdefinierte Anwendungen) an. Diese Identität wird dann über die gesamte Datenzugriffspipeline weitergegeben.
Der authentifizierte Benutzer startet AWS AWS Glue interaktive Sitzungen, die als Compute-Engine für die Datenverarbeitung dienen. In diesen Sitzungen wird der Identitätskontext des Benutzers während des gesamten Workflows beibehalten.
AWS Lake Formation und der AWS Glue Datenkatalog arbeiten zusammen, um detaillierte Zugriffskontrollen durchzusetzen. Lake Formation wendet Sicherheitsrichtlinien an, die auf der weitergegebenen Identität des Benutzers basieren, während Amazon S3 Access Grant zusätzliche Berechtigungsebenen bietet, sodass Benutzer nur auf Daten zugreifen können, zu deren Anzeige sie berechtigt sind.
Schließlich stellt das System eine Verbindung zu Amazon S3 Storage her, wo sich die eigentlichen Daten befinden. Der gesamte Zugriff unterliegt den kombinierten Sicherheitsrichtlinien, wodurch die Datenverwaltung gewahrt bleibt und gleichzeitig eine interaktive Datenexploration und -analyse ermöglicht wird. Diese Architektur ermöglicht einen sicheren, identitätsbasierten Datenzugriff über mehrere AWS Dienste hinweg und gewährleistet gleichzeitig eine nahtlose Benutzererfahrung für Datenwissenschaftler und Ingenieure, die mit großen Datensätzen arbeiten.
## Integrationen
### AWS verwaltete Entwicklungsumgebung
Die folgenden AWS verwalteten clientseitigen Anwendungen unterstützen die Verbreitung vertrauenswürdiger Identitäten mit AWS Glue interaktiven Sitzungen:
+ [Sagemaker Unified Studio](https://aws.amazon.com/sagemaker/unified-studio/)
+ [Amazon SageMaker KI](https://aws.amazon.com/sagemaker-ai/)
**Sagemaker Unified Studio**
So verwenden Sie die Weitergabe vertrauenswürdiger Identitäten mit Sagemaker Unified Studio:
1. Richten Sie das Sagemaker-Unified-Studio-Projekt mit aktivierter Verbreitung vertrauenswürdiger Identitäten als clientseitige Entwicklungsumgebung ein.
1. Richten Sie [Lake Formation](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-lf.html) ein, um eine differenzierte Zugriffskontrolle für AWS Glue Tabellen zu ermöglichen, die auf dem Benutzer oder der Gruppe in IAM Identity Center basieren.
1. [Richten Sie Amazon S3 Access Grants](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-s3.html) ein, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.
1. Öffnen Sie den JupyterLab IDE-Bereich von Sagemaker Unified Studio und wählen Sie AWS Glue als Compute für die Notebook-Ausführung aus.
### Vom Kunden verwaltete, selbst gehostete Notebook-Umgebung
Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von kundenspezifisch entwickelten Anwendungen finden Sie unter [Programmgesteuerter Zugriff auf AWS Dienste mithilfe vertrauenswürdiger Identitätsverbreitung](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) im Sicherheitsblog. AWS
# Erste Schritte mit der Verbreitung vertrauenswürdiger Identitäten in AWS Glue ETL
In diesem Abschnitt erfahren Sie, wie Sie eine AWS Glue Anwendung mit interaktiven Sitzungen konfigurieren, um sie in IAM Identity Center zu integrieren und die [Verbreitung vertrauenswürdiger Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) zu aktivieren.
## Voraussetzungen
+ Eine Identity Center-Instanz in der AWS Region, in der Sie AWS Glue interaktive Sitzungen mit aktivierter Trusted Identity Propagation erstellen möchten. Eine Identity Center-Instanz kann für ein AWS Konto nur in einer einzigen Region existieren. Weitere Informationen finden Sie unter [Aktivieren von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) und [Bereitstellen von Benutzern und Gruppen aus Ihrer Identitätsquelle in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ Aktivieren Sie die Weitergabe vertrauenswürdiger Identitäten für nachgelagerte Services wie Lake Formation oder Amazon S3 Access Grants oder Amazon-Redshift-Cluster, mit denen interaktive Workloads interagieren, um auf Daten zuzugreifen.
## Für die Verbindung von AWS Glue ETL mit IAM Identity Center sind Berechtigungen erforderlich
**Erstellen einer IAM-Rolle**
Die Rolle, die die IAM-Identity-Center-Verbindung herstellt, erfordert Berechtigungen zum Erstellen und Ändern der Anwendungskonfiguration in AWS Glue und IAM Identity Center, wie in den folgenden Inline-Richtlinien beschrieben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateGlueIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:ListInstances"
],
"Resource": [
"*"
]
}
]
}
```
------
Die folgenden Inline-Richtlinien enthalten spezifische Berechtigungen, die zum Anzeigen, Aktualisieren und Löschen der Eigenschaften der AWS Glue -Integration in IAM Identity Center erforderlich sind.
Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle eine AWS Glue Integration mit IAM Identity Center einsehen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetGlueIdentityCenterConfiguration"
],
"Resource": [
"*"
]
}
]
}
```
------
Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle die AWS Glue Integration mit IAM Identity Center aktualisieren kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:UpdateGlueIdentityCenterConfiguration",
"sso:PutApplicationAccessScope",
"sso:DeleteApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Verwenden Sie die folgende Inline-Richtlinie, um einer IAM-Rolle das Löschen einer AWS Glue Integration mit IAM Identity Center zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:DeleteGlueIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
### Beschreibung von Zugriffsberechtigungen
+ `glue:CreateGlueIdentityCenterConfiguration`— Erteilt die Berechtigung zum Erstellen der AWS Glue IdC-Konfiguration.
+ `glue:GetGlueIdentityCenterConfiguration` – Gewährt die Berechtigung zum Abrufen einer vorhandenen IdC-Konfiguration.
+ `glue:DeleteGlueIdentityCenterConfiguration`— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu löschen.
+ `glue:UpdateGlueIdentityCenterConfiguration`— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu aktualisieren.
+ `sso:CreateApplication`— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu erstellen.
+ `sso:DescribeApplication`— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu beschreiben.
+ `sso:DeleteApplication`— Erteilt die Berechtigung zum Löschen einer AWS Glue verwalteten IAM Identity Center-Anwendung.
+ `sso:UpdateApplication`— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu aktualisieren.
+ `sso:PutApplicationGrant`— Erteilt die Erlaubnis, Token-Exchange, IntrospectToken, RefreshToken und Grants auf IdC-Anwendungen anzuwenden. RevokeToken
+ `sso:PutApplicationAuthenticationMethod`— Erteilt die Erlaubnis, AuthenticationMethod auf eine AWS Glue verwaltete IdC-Anwendung anzuwenden, sodass der Dienstprinzipal mit der IdC-Anwendung interagieren kann. AWS Glue
+ `sso:PutApplicationAccessScope`— Erteilt die Berechtigung, die Liste der autorisierten Downstream-Servicebereiche in der verwalteten IdC-Anwendung hinzuzufügen oder zu aktualisieren. AWS Glue
+ `sso:DeleteApplicationAccessScope`- Erteilt die Erlaubnis, Downstream-Bereiche zu löschen, wenn ein Bereich für die AWS Glue verwaltete IdC-Anwendung entfernt wird.
+ `sso:PutApplicationAssignmentConfiguration`— Erteilt die Berechtigung, die Einstellung „User-assignment-not-required“ in der IdC-Anwendung festzulegen.
+ `sso:ListInstances`— Erteilt die Berechtigung, Instanzen aufzulisten und den IDc zu validieren InstanceArn , den Sie im identity-center-configuration Parameter angeben.
## Verbindung AWS Glue mit IAM Identity Center herstellen
Wenn AWS Glue eine Verbindung mit dem IAM Identity Center hergestellt ist, wird pro Konto eine einzige verwaltete IdC-Anwendung erstellt. Das folgende Beispiel zeigt, wie Sie eine Verbindung AWS Glue mit IAM Identity Center herstellen können:
```
aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Um die Bereiche der verwalteten Anwendung zu aktualisieren (normalerweise für die Weitergabe an weitere nachgelagerte Services), können Sie Folgendes verwenden:
```
aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Der Scopes-Parameter für Bereiche ist optional und alle Bereiche werden hinzugefügt, wenn sie nicht angegeben werden. Die unterstützten Werte sind `s3:access_grants:read_write`, `redshift:connect` und `lakeformation:query`.
Zum Abrufen der Details der Konfiguration können Sie Folgendes verwenden:
```
aws glue get-glue-identity-center-configuration
```
Sie können die Verbindung zwischen AWS Glue und IAM Identity Center mit dem folgenden Befehl löschen:
```
aws glue delete-glue-identity-center-configuration
```
**Anmerkung**
AWS Glue erstellt in Ihrem Konto eine vom Dienst verwaltete Identity Center-Anwendung, die der Dienst für Identitätsprüfungen und die Weitergabe von Identitäten an nachgelagerte Dienste nutzt. AWS Glue Die erstellte verwaltete Identity Center-Anwendung wird von allen trusted-identity-propagation Sitzungen in Ihrem Konto gemeinsam genutzt.
**Warnung:** Ändern Sie die Einstellungen der verwalteten Identity-Center-Anwendung nicht manuell. Jede Änderung könnte sich auf alle trusted-identity-propagation aktivierten AWS Glue interaktiven Sitzungen in Ihrem Konto auswirken.
## Eine AWS Glue interaktive Sitzung mit aktivierter Trusted Identity Propagation erstellen
Nachdem Sie eine Verbindung AWS Glue mit IAM Identity Center hergestellt haben, können Sie [identitätserweiterte Rollenanmeldedaten](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) verwenden, um eine AWS Glue interaktive Sitzung zu erstellen. Sie müssen keine zusätzlichen Parameter übergeben, wenn Sie eine 5.0-Sitzung erstellen. AWS Glue Da es mit dem IAM Identity Center verbunden AWS Glue ist, leitet es bei AWS Glue Erkennung identity-enhanced-role-credentials die Identitätsinformationen automatisch an nachgelagerte Dienste weiter, die im Rahmen Ihrer Kontoauszüge aufgerufen werden. Die Laufzeitrolle für die Sitzung benötigt jedoch die unten dargestellte `sts:SetContext`-Berechtigung.
**Laufzeitrollenberechtigungen zur Weitergabe der Identität**
Da AWS Glue Sitzungen [identitätserweiterte Anmeldeinformationen](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) nutzen, um Identität an nachgelagerte AWS Dienste weiterzugeben, muss die Vertrauensrichtlinie ihrer Laufzeitrolle über zusätzliche Berechtigungen `sts:SetContext` verfügen, um die Identitätsweitergabe an nachgelagerte Dienste (Amazon S3 Access-Grant, Lake Formation, Amazon Redshift) zu ermöglichen. Weitere Informationen zum Erstellen einer Laufzeitrolle finden Sie unter [Einrichten einer Laufzeitrolle](https://docs.aws.amazon.com/glue/latest/dg/create-service-role.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
Darüber hinaus würde die Runtime-Rolle Berechtigungen für nachgelagerte AWS Dienste benötigen, die Job-Run aufrufen würde, um Daten mithilfe der Benutzeridentität abzurufen. Unter den folgenden Links finden Sie Informationen zum Konfigurieren von Amazon S3 Access Grants und Lake Formation:
+ [Verwenden von Lake Formation mit AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-lake-formation-fgac.html)
+ [Verwenden von Amazon S3 Access Grants mit AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-s3-access-grants.html)
# Überlegungen und Einschränkungen für die Integration von AWS Glue ETL Trusted Identity Propagation
**Wichtig**
Standardmäßig sind Sitzungen nicht privat. Das bedeutet, dass ein IdC-Benutzer auf die Sitzung eines anderen IdC-Benutzers zugreifen kann. Sie können [tagOnCreate](https://docs.aws.amazon.com/glue/latest/dg/glue-is-security.html#glue-is-tagoncreate)es verwenden, um Ihre Sitzungen privat zu machen. Beispielsweise kann die Sitzung mit einem Besitzer-Tag und dessen Wert als IDC-Benutzer-ID gekennzeichnet werden. Anschließend können Sie in der Richtlinie einen globalen Bedingungsschlüssel verwenden, z. B. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id)um den Besitzer-Tag in der principal/runtime Client-Rollenrichtlinie für alle Session-API-Operationen zu validieren, um sicherzustellen, dass ein IdC-Benutzer nicht auf die Sitzung eines anderen IdC-Benutzers zugreifen kann.
Beachten Sie die folgenden Punkte, wenn Sie IAM Identity Center Trusted Identity Propagation with Application verwenden: AWS Glue
+ Trusted Identity Propagation über Identity Center wird auf AWS Glue Version 5.0 und höher und nur mit AWS Glue interaktiven Sitzungen unterstützt.
+ AWS Glue Der Datenkatalog wird unter Lake Formation Identity Center Integration behandelt.
+ Trusted Identity Propagation ist auf interaktive Sitzungen beschränkt AWS Glue, ausgenommen andere Datenverarbeitungseinheiten wie Jobs, Trigger, Workflows und ML-Aufgaben. Alle zeichnen AWS Glue APIs jedoch Benutzeridentitäten AWS CloudTrail zur Prüfung auf.
+ AWS Glue unterstützt derzeit die Integration mit IAM Identity Center ausschließlich über API- und CLI-Schnittstellen, nicht über die Konsole.
+ Sobald eine Anwendung vor Ort aktiviert ist, AWS Glue stellen Sie sicher, dass Sie 5.0-Sitzungen mit IdC-Anmeldeinformationen erstellen, aber keine 4.0-Sitzung mit IdC-Anmeldeinformationen.
+ Trusted Identity Propagation with AWS Glue wird in den folgenden AWS Regionen unterstützt:
+ af-south-1 – Afrika (Kapstadt)
+ ap-east-1 – Asien-Pazifik (Hongkong)
+ ap-northeast-1 – Asien-Pazifik (Tokio)
+ ap-northeast-2 – Asien-Pazifik (Seoul)
+ ap-northeast-3 – Asien-Pazifik (Osaka)
+ ap-south-1 – Asien-Pazifik (Mumbai)
+ ap-southeast-1 – Asien-Pazifik (Singapur)
+ ap-southeast-2 – Asien-Pazifik (Sydney)
+ ap-southeast-3 – Asien-Pazifik (Jakarta)
+ ca-central-1 – Kanada (Zentral)
+ eu-central-1 – EU (Frankfurt)
+ eu-north-1 – Europa (Stockholm)
+ eu-south-1 – Europa (Mailand)
+ eu-west-1 – EU (Irland)
+ eu-west-2 – Europa (London)
+ eu-west-3 – Europa (Paris)
+ me-south-1 – Naher Osten (Bahrain)
+ sa-east-1 – Südamerika (São Paulo)
+ us-east-1 – USA Ost (Nord-Virginia)
+ us-east-2 – USA Ost (Ohio)
+ us-west-1 – US West (Nordkalifornien)
+ us-west-2 – USA West (Oregon)
# Benutzerhintergrundsitzungen für AWS Glue ETL
Mithilfe von Benutzerhintergrundsitzungen können lang andauernde Analyse- und Machine-Learning-Workloads auch dann fortgesetzt werden, wenn sich der Benutzer von seiner Notebook-Oberfläche abgemeldet hat. Diese Funktion wird über AWS Glue die Funktion zur Weitergabe vertrauenswürdiger Identitäten implementiert. Auf der folgenden Seite werden die Konfigurationsoptionen und das Verhalten für Benutzersitzungen im Hintergrund erläutert.
**Anmerkung**
Benutzerhintergrundsitzungen gelten für AWS Glue interaktive Sitzungen, die über Notebook-Benutzeroberflächen wie SageMaker Unified Studio initiiert werden. Die Aktivierung oder Deaktivierung dieser Funktion wirkt sich nur auf neue interaktive Sitzungen aus; bestehende aktive Sitzungen sind davon nicht betroffen.
## Konfigurieren Sie Benutzersitzungen im Hintergrund
Benutzerhintergrundsitzungen müssen auf zwei Ebenen aktiviert werden, damit sie ordnungsgemäß funktionieren:
1. IAM Identity Center-Instanzebene (von IdC-Administratoren konfiguriert)
1. AWS Glue Identity Center-Konfigurationsebene (von AWS Glue Administratoren konfiguriert)
### Aktivieren Sie Benutzerhintergrundsitzungen für AWS Glue
Um Benutzerhintergrundsitzungen für zu aktivieren AWS Glue, müssen Sie den `userBackgroundSessionsEnabled` Parameter `true` in der Identity Center-Konfiguration bei der Erstellung oder Aktualisierung der Konfiguration auf setzen.
Voraussetzungen
+ Ihre IAM-Rolle, die für create/update die AWS Glue Identity Center-Konfiguration verwendet wird, muss über die `sso:PutApplicationSessionConfiguration` entsprechende Berechtigung verfügen. Diese Berechtigung ermöglicht AWS Glue die Aktivierung von Benutzerhintergrundsitzungen auf der Ebene der von AWS Glue-verwalteten IdC-Anwendungen.
+ Ihre AWS Glue interaktiven Sitzungen müssen AWS Glue Version 5.0 oder höher verwenden und Trusted Identity Propagation muss aktiviert sein.
Um Benutzerhintergrundsitzungen zu aktivieren, verwenden Sie AWS CLI:
```
aws glue create-glue-identity-center-configuration \
--instance-arn "arn:aws:sso:::instance/ssoins-1234567890abcdef" \
--user-background-sessions-enabled
```
Um eine bestehende Konfiguration zu aktualisieren:
```
aws glue update-glue-identity-center-configuration \
--user-background-sessions-enabled
```
#### Konfigurationsmatrix
Die effektive Konfiguration der Benutzerhintergrundsitzung hängt sowohl von der AWS Glue Konfigurationseinstellung als auch von den Einstellungen auf Instanzebene von IAM Identity Center ab:
| IAM Identity Center aktiviert? userBackgroundSession | AWS Glue userBackgroundSessionsAktiviert | Behavior |
| --- | --- | --- |
| Ja | TRUE | Hintergrundsitzungen für Benutzer aktiviert |
| Ja | FALSE | Die Sitzung läuft ab, wenn sich der Benutzer abmeldet |
| Nein | TRUE | Die Sitzungserstellung schlägt mit Exception fehl |
| Nein | FALSE | Die Sitzung läuft mit der Benutzerabmeldung ab |
## Standarddauer für Benutzersitzungen im Hintergrund
Standardmäßig haben alle Benutzer-Hintergrundsitzungen in IAM Identity Center ein Zeitlimit von 7 Tagen. Administratoren können diese Dauer in der Konsole von IAM Identity Center ändern. Diese Einstellung gilt für die IAM Identity Center-Instanzebene und wirkt sich auf alle unterstützten IAM Identity Center-Anwendungen innerhalb dieser Instanz aus.
+ Die Dauer kann auf einen beliebigen Wert zwischen 15 Minuten und 90 Tagen festgelegt werden
+ Diese Einstellung wird in der IAM Identity Center-Konsole unter Einstellungen → Authentifizierung → Konfigurieren (Abschnitt „Nicht interaktive Jobs“) konfiguriert
**Anmerkung**
AWS Glue Für interaktive Sitzungen gilt standardmäßig ein separates Timeout-Limit von 48 Stunden. Sitzungen werden beendet, wenn entweder das Zeitlimit für den Leerlauf der AWS Glue Sitzung oder die Dauer der Benutzerhintergrundsitzung erreicht ist, je nachdem, was zuerst eintritt.
## Auswirkungen der Deaktivierung von Benutzersitzungen im Hintergrund
Wenn Benutzerhintergrundsitzungen auf AWS Glue Konfigurationsebene deaktiviert sind:
+ **Bestehende interaktive Sitzungen:** Laufen ohne Unterbrechung weiter, wenn sie mit aktivierten Benutzerhintergrundsitzungen gestartet wurden. Diese Sitzungen verwenden weiterhin ihre vorhandenen Sitzungs-Tokens im Hintergrund, bis sie auf natürliche Weise beendet werden oder explizit beendet werden.
+ **Neue interaktive Sitzungen:** Verwenden den standardmäßigen Übertragungsfluss für vertrauenswürdige Identitäten und werden beendet, wenn sich der Benutzer abmeldet oder seine interaktive Sitzung abläuft (z. B. beim Schließen eines SageMaker Unified JupyterLab Studio-Notebooks).
### Dauer der Benutzerhintergrundsitzungen ändern
Wenn die Einstellung für die Dauer von Benutzerhintergrundsitzungen in IAM Identity Center geändert wird:
+ **Bestehende interaktive Sitzungen:** Werden weiterhin mit derselben Dauer der Hintergrundsitzung ausgeführt, mit der sie gestartet wurden
+ **Neue interaktive Sitzungen:** Die neue Sitzungsdauer wird für Hintergrundsitzungen verwendet
## Überlegungen zur Laufzeit
### Bedingungen für die Beendigung der Sitzung
Wenn Sie Benutzersitzungen im Hintergrund verwenden, wird eine AWS Glue interaktive Sitzung so lange ausgeführt, bis einer der folgenden Fälle eintritt:
+ Die Benutzerhintergrundsitzung läuft ab (je nach IdC-Konfiguration, bis zu 90 Tage)
+ die Benutzersitzung im Hintergrund manuell von einem Administrator gesperrt wird
+ Die AWS Glue interaktive Sitzung erreicht ihr Leerlauf-Timeout (Standard: 48 Stunden nach der letzten ausgeführten Anweisung)
+ Der Benutzer stoppt den Notebook-Kernel explizit oder startet ihn neu
### Datenpersistenz
Bei der Verwendung von Benutzersitzungen im Hintergrund:
+ Benutzer können sich nach dem Abmelden nicht wieder mit ihrer Notebook-Oberfläche verbinden, um die Ergebnisse zu sehen
+ Konfigurieren Sie Ihre Spark-Anweisungen so, dass Ergebnisse vor Abschluss der Ausführung in einen persistenten Speicher (z. B. Amazon S3) geschrieben werden
### Auswirkungen auf die Kosten
+ Jobs werden auch dann bis zum Ende ausgeführt, wenn Benutzer ihre SageMaker Unified JupyterLab Studio-Sitzung beendet haben, und es fallen Gebühren für die gesamte Dauer der abgeschlossenen Ausführung an
+ Überwachen Sie Ihre aktiven Hintergrundsitzungen, um unnötige Kosten durch vergessene oder abgebrochene Sitzungen zu vermeiden
### Verfügbarkeit von Features
Benutzersitzungen im Hintergrund für AWS Glue sind verfügbar für:
+ AWS Glue Nur interaktive Sitzungen (AWS Glue Jobs und Streaming-Jobs werden nicht unterstützt)
+ AWS Glue Version 5.0 und höher
+ Nur Konfigurationen mit aktivierter Trusted Identity Propagation