Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Propagación de identidades de confianza
Con las versiones 7.8.0 y posteriores de Amazon EMR, puede propagar las identidades de los usuarios desde el Centro de identidades de AWS IAM a cargas de trabajo interactivas con EMR Serverless a través de Apache Livy Endpoint. Las cargas de trabajo interactivas de Apache Livy propagan aún más la identidad proporcionada a los servicios posteriores, Amazon S3, Lake Formation y Amazon Redshift, lo que permite un acceso seguro a los datos mediante la identidad del usuario en los servicios posteriores. En las siguientes secciones, se proporciona la descripción general conceptual, los requisitos previos y los pasos necesarios para lanzar y propagar la identidad a cargas de trabajo interactivas con EMR sin servidor a través de un punto de conexión de Apache Livy.
## Descripción general de
[El IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) es el enfoque recomendado para la autenticación y autorización de los empleados en organizaciones de cualquier tamaño y tipo. AWS Con Identity Center, cree y administre identidades de usuario o conecte su fuente de identidad existente, que incluye Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace y Microsoft Entra ID (anteriormente Azure AD). AWS
[La propagación fiable de la identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) es una función del centro de identidades de AWS IAM que los administradores de los AWS servicios conectados pueden utilizar para conceder y auditar el acceso a los datos del servicio. El acceso a estos datos se basa en los atributos del usuario, como las asociaciones de grupo. La configuración de una propagación de identidad fiable requiere la colaboración entre los administradores de los AWS servicios conectados y los administradores del IAM Identity Center. Para obtener más información, consulte [Prerequisites and considerations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) de la *Guía del usuario del IAM Identity Center*.
## Características y ventajas
La integración del punto de conexión de Apache Livy de EMR sin servidor con la [propagación de identidades de confianza](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) del IAM Identity Center ofrece las siguientes ventajas:
+ La capacidad de hacer cumplir la autorización a nivel de tabla con las identidades de Identity Center en las tablas del catálogo de datos de AWS Glue gestionado por AWS Lake Formation.
+ La capacidad de imponer la autorización con las identidades de Identity Center en los clústeres de Amazon Redshift.
+ Permite el seguimiento integral de las acciones de los usuarios para la auditoría.
+ La capacidad de aplicar la autorización a nivel de prefijo de Amazon S3 con las identidades de Identity Center en los prefijos de S3 administrados por S3 Access Grants.
## Funcionamiento
![\[Diagrama de flujo de EMR sin servidor.\]](http://docs.aws.amazon.com/es_es/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### Ejemplo de casos de uso
#### Preparación de datos e ingeniería de características
Los científicos de datos de varios equipos de investigación colaboran en proyectos complejos mediante una plataforma de datos unificada. Se conectan a la SageMaker IA con sus credenciales corporativas y obtienen acceso inmediato a un vasto lago de datos compartido que abarca varias cuentas. AWS A medida que comienza la ingeniería de características para los nuevos modelos de machine learning, las sesiones de Spark ejecutadas a través de EMR sin servidor refuerzan las políticas de seguridad a nivel de columnas y filas de Lake Formation en función de sus identidades propagadas. Los científicos pueden preparar los datos y diseñar características de manera eficiente con herramientas conocidas, mientras que los equipos de cumplimiento tienen la seguridad de que cada interacción de datos se rastrea y audita automáticamente. Este entorno seguro y colaborativo acelera los procesos de investigación y, al mismo tiempo, mantiene los estándares de protección de datos estrictos que se exigen en los sectores regulados.
# Cómo empezar con Trusted-Identity Propagation
[Esta sección le ayuda a configurar la aplicación EMR sin servidor con Apache Livy Endpoint para que se integre con AWS IAM Identity Center y permita la propagación de identidades confiable.](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
## Requisitos previos
+ Una instancia de Identity Center en la AWS región en la que desea crear un punto final Apache Livy sin servidor EMR de propagación de identidad confiable. Una instancia de Identity Center solo puede existir en una sola región para una AWS cuenta. Consulte [Habilitar el Centro de Identidad de IAM y aprovisionar los usuarios y grupos de su fuente de identidades al Centro](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) [de Identidad de](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) IAM.
+ Habilite la propagación de identidades de confianza para los servicios posteriores como Lake Formation, S3 Access Grants o el clúster de Amazon Redshift con el que la carga de trabajo interactiva interactúa para acceder a los datos.
## Permisos para crear una aplicación EMR sin servidor habilitada para la propagación de identidades confiables
Además de los [permisos básicos necesarios para acceder a EMR sin servidor](setting-up.html#setting-up-iam), debe configurar permisos adicionales para la identidad o rol de IAM que utilice para crear una aplicación de EMR sin servidor para la propagación de identidades de confianza. Para la propagación de identidades confiables, EMR Serverless, una aplicación de centro de identidad gestionada por creates/bootstraps un solo servicio en su cuenta que el servicio aprovecha para la validación de identidad y la propagación de la identidad en sentido descendente.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance`— Otorga permiso para describir y validar la instancia ARN de IAM Identity Center que especifique en el parámetro. identity-center-configuration
+ `sso:CreateApplication`— Otorga permiso para crear una aplicación de centro de identidad de IAM gestionada sin servidor EMR que se utilice para realizar acciones. trusted-identity-propatgion
+ `sso:DeleteApplication`: otorga permiso para limpiar una aplicación de IAM Identity Center administrada por EMR sin servidor.
+ `sso:PutApplicationAuthenticationMethod`: otorga permiso para colocar authenticationMethod en la aplicación de IAM Identity Center administrada por EMR sin servidor, lo que le permite a la entidad principal de servicio de EMR sin servidor interactuar con la aplicación de IAM Identity Center.
+ `sso:PutApplicationAssignmentConfiguration`— Otorga permiso para establecer la configuración «User-assignment-not-required» en la aplicación IAM Identity Center.
+ `sso:PutApplicationGrant`: otorga permiso para aplicar el intercambio de tokens, introspectToken, refreshToken y revokeToken en la aplicación de IAM Identity Center.
+ `sso:PutApplicationAccessScope`: otorga permiso para aplicar un alcance posterior que permita la propagación de identidades de confianza a la aplicación IAM Identity Center. Aplicamos los ámbitos «redshift:connect», «lakeformation:query» y «s3:read\$1write» para habilitar estos servicios. trusted-identity-propagation
## Creación de una aplicación de EMR sin servidor para la propagación de identidades de confianza.
Se debe especificar el campo `—identity-center-configuration` con `identityCenterInstanceArn` para habilitar la propagación de identidades de confianza en la aplicación. Utilice el siguiente comando de ejemplo para crear una aplicación de EMR sin servidor que tenga habilitada la propagación de identidades de confianza.
**nota**
También debe especificar `--interactive-configuration '{"livyEndpointEnabled":true}'`, ya que la propagación de identidades de confianza está habilitada únicamente para el punto de conexión de Apache Livy.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration` (opcional): habilita la propagación de identidades de confianza de Identity Center si se especifica.
+ `identityCenterInstanceArn`: (obligatorio) el ARN de la instancia de Identity Center.
En caso de que no tenga los permisos de Identity Center necesarios (mencionados anteriormente), primero cree la aplicación de EMR sin servidor sin la propagación de identidades de confianza (por ejemplo, no especifique el parámetro `—identity-center-configuration`) y, luego, solicítele al administrador de Identity Center que habilite la propagación de identidades de confianza mediante la invocación de la API update-application. Vea un ejemplo a continuación:
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR sin servidor crea una aplicación de Identity Center administrada por un servicio en su cuenta que se utiliza para la validación y la propagación de identidades en los servicios posteriores. La aplicación de centro de identidad gestionada creada por EMR Serverless se comparte entre todas las aplicaciones trusted-identity-propagation EMR Serverless habilitadas de su cuenta.
**nota**
No modifique manualmente la configuración de la aplicación de Identity Center administrada. Cualquier cambio podría afectar a todas las aplicaciones EMR Serverless trusted-identity-propagation habilitadas en su cuenta.
## Permisos del rol de ejecución del trabajo para propagar identidades
Dado que EMR-Serverless aprovecha job-execution-role las credenciales de identidad mejorada para propagar la identidad a los servicios descendentes AWS , la política de confianza de Job Execution Role debe tener un permiso adicional `sts:SetContext` para mejorar la credencial del rol de ejecución de trabajos con identidad a fin de permitir el trusted-identity-propagation servicio descendente, como S3 access-grant, Lake Formation o Amazon Redshift. Para obtener más información acerca de cómo crear un rol, consulte [Create a job runtime role](getting-started.html#gs-runtime-role).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
Además, necesita permisos para los servicios descendentes que Job-Run utilizaría para obtener datos JobExecutionRole utilizando la identidad del usuario. AWS Consulte los siguientes enlaces para configurar S3 Access Grant y Lake Formation.
+ [Using Lake Formation with EMR Serverless](lake-formation-section.html)
+ [Uso de Amazon S3 Access Grants con EMR Serverless](access-grants.html)
# Propagación de identidad confiable para cargas de trabajo interactivas
Los pasos para propagar la identidad a las cargas de trabajo interactivas a través de un terminal Apache Livy dependen de si los usuarios interactúan con un entorno de desarrollo AWS gestionado Amazon SageMaker AI o con su propio entorno de Notebook autohospedado como aplicación orientada al cliente.
![\[Diagrama de flujo de EMR sin servidor.\]](http://docs.aws.amazon.com/es_es/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS entorno de desarrollo gestionado
La siguiente aplicación AWS gestionada orientada al cliente admite la propagación de identidades confiable con el punto final Apache Livy sin servidor EMR:
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## Entorno de cuaderno autoalojado administrado por el cliente
*Para permitir la propagación de identidades confiable para los usuarios de aplicaciones desarrolladas a medida, consulte Cómo [acceder a AWS los servicios mediante programación mediante la propagación de identidad confiable](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) en el blog de seguridad.AWS *
# Sesiones de usuario en segundo plano
Las sesiones de usuario en segundo plano permiten que los flujos de análisis y aprendizaje automático de larga duración continúen incluso después de que el usuario haya cerrado sesión en la interfaz de su portátil. Esta capacidad se implementa mediante la integración sin servidor de EMR con la función de propagación de identidad confiable de IAM Identity Center. En esta sección se explican las opciones de configuración y los comportamientos de las sesiones en segundo plano de los usuarios.
**nota**
Las sesiones de usuario en segundo plano se aplican a las cargas de trabajo de Spark iniciadas a través de interfaces de notebook como Amazon SageMaker Unified Studio. La activación o desactivación de esta función solo afecta a las nuevas sesiones de Livy; las sesiones de Livy activas existentes no se ven afectadas.
## Configuración de sesiones de usuario en segundo plano
Las sesiones de usuario en segundo plano deben estar habilitadas en dos niveles para que funcionen correctamente:
1. **Nivel de instancia del IAM Identity Center**: normalmente lo configuran los administradores de iDC
1. **Nivel de aplicación EMR Serverless: configurado por los administradores de aplicaciones** EMR Serverless
### Habilite las sesiones de usuario en segundo plano para las aplicaciones EMR Serverless
Para habilitar las sesiones de usuario en segundo plano para una aplicación EMR sin servidor, debe establecer el `userBackgroundSessionsEnabled` parámetro `true` en el `identityCenterConfiguration` al crear o actualizar una aplicación.
**Requisitos previos**
+ La función de IAM que se utiliza en create/update la aplicación EMR Serverless debe tener el permiso. `sso:PutApplicationSessionConfiguration` Este permiso permite a EMR Serverless habilitar las sesiones en segundo plano del usuario en el nivel de aplicación iDC gestionada por EMR Serverless.
+ Su aplicación EMR Serverless debe usar la etiqueta de versión 7.8 o posterior y debe estar habilitada para la propagación de identidad confiable.
**Para habilitar las sesiones en segundo plano de los usuarios mediante AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**Para actualizar una aplicación existente:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### Matriz de configuración
La configuración efectiva de la sesión en segundo plano del usuario depende tanto de la configuración de la aplicación EMR Serverless como de la configuración a nivel de instancia de IAM Identity Center:
**Matriz de configuración de sesiones de usuario en segundo plano**
| Centro userBackgroundSession de identidad de IAM activado | EMR sin servidor habilitado userBackgroundSessions | Comportamiento |
| --- | --- | --- |
| Sí | TRUE | Sesiones de usuario en segundo plano habilitadas |
| Sí | FALSO | La sesión caduca al cerrar sesión del usuario |
| No | TRUE | La aplicación creation/update falla con una excepción |
| No | FALSO | La sesión caduca al cerrar sesión del usuario |
## Duración predeterminada de la sesión de usuario en segundo plano
De forma predeterminada, todas las sesiones de usuario en segundo plano tienen un límite de duración de 7 días en IAM Identity Center. Los administradores pueden modificar esta duración en la consola de IAM Identity Center. Esta configuración se aplica a la instancia de IAM Identity Center y afecta a todas las aplicaciones de IAM Identity Center dentro de dicha instancia.
+ La duración se puede establecer en cualquier valor, desde 15 minutos hasta 90 días.
+ Este ajuste se configura en la consola del IAM Identity Center, en **Configuración** → **Autenticación** → **Configurar** (sección Trabajos no interactivos)
**nota**
Las sesiones de EMR Serverless Livy tienen un límite de duración máxima independiente de 24 horas. Las sesiones finalizarán cuando se alcance el límite de sesiones de Livy o la duración de la sesión en segundo plano del usuario, lo que ocurra primero.
## Impacto de la deshabilitación de las sesiones en segundo plano de los usuarios
Cuando las sesiones de usuario en segundo plano están deshabilitadas en el Centro de identidad de IAM:
Sesiones de Livy existentes
Continúan ejecutándose sin interrupción si se iniciaron con las sesiones de usuario en segundo plano habilitadas. Estas sesiones seguirán utilizando sus identificadores de sesión en segundo plano hasta que finalicen de forma natural o se detengan explícitamente.
Nuevas sesiones de Livy
Utilizará el flujo de propagación de identidad confiable estándar y finalizará cuando el usuario cierre la sesión o caduque su sesión interactiva (por ejemplo, al cerrar un JupyterLab bloc de notas de Amazon SageMaker Unified Studio).
## Cambio de la duración de las sesiones en segundo plano de los usuarios
Cuando se modifica la configuración de duración de las sesiones en segundo plano de los usuarios en IAM Identity Center:
Sesiones de Livy existentes
Continúe ejecutándose con la misma duración de sesión en segundo plano con la que se iniciaron.
Nuevas sesiones de Livy
Utilizará la nueva duración de la sesión para las sesiones en segundo plano.
## Consideraciones
### Condiciones de finalización de la sesión
Cuando se utilizan sesiones de usuario en segundo plano, las sesiones de Livy seguirán ejecutándose hasta que se produzca una de las siguientes situaciones:
+ La sesión en segundo plano de los usuarios caduque (según la configuración de IdC, hasta 90 días)
+ Un administrador revoque manualmente la sesión en segundo plano de los usuarios
+ La sesión de Livy alcanza su tiempo de espera de inactividad (predeterminado: 1 hora después de la última sentencia ejecutada)
+ La sesión de Livy alcanza su duración máxima (24 horas)
+ El usuario detiene o reinicia el núcleo del cuaderno de forma explícita
### Persistencia de datos
Cuando se utilizan sesiones de usuario en segundo plano:
+ Los usuarios no pueden volver a conectarse a la interfaz de su cuaderno para ver los resultados una vez que han cerrado sesión
+ Configure sus instrucciones de Spark para escribir los resultados en un almacenamiento persistente (como Amazon S3) antes de que se complete la ejecución
### Implicaciones de costos
+ Los trabajos seguirán ejecutándose hasta completarse incluso después de que los usuarios finalicen su JupyterLab sesión de Amazon SageMaker Unified Studio y se cobrarán durante toda la ejecución.
+ Supervise sus sesiones en segundo plano activas para evitar costes innecesarios derivados de sesiones olvidadas o abandonadas.
### Disponibilidad de características
Las sesiones de usuario en segundo plano para EMR Serverless están disponibles para:
+ Solo el motor Spark (el motor Hive no es compatible)
+ Solo sesiones interactivas de Livy (no se admiten los trabajos por lotes ni los trabajos de streaming)
+ Etiquetas de lanzamiento EMR Serverless 7.8 y versiones posteriores
# Consideraciones para la integración sin servidor de EMR Trusted-Identity-Propagation
Tenga en cuenta lo siguiente cuando utilice IAM Identity Center Trusted-Identity-Propagation con la aplicación EMR Serverless:
+ La propagación de identidades de confianza a través de Identity Center es compatible con Amazon EMR 7.8.0 y versiones posteriores, y solo con Apache Spark.
+ La propagación de identidades de confianza solo se puede utilizar para [cargas de trabajo interactivas con EMR sin servidor a través de un punto de conexión Apache Livy](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html). Las cargas de trabajo interactivas a través de EMR Studio no admiten la propagación de identidades de confianza
+ Los trabajos por lotes y las cargas de trabajo en streaming no admiten la propagación de identidades confiables
+ Los controles de acceso detallados que utilizan AWS Lake Formation que utilizan Trusted Identity Propagation están disponibles para [cargas de trabajo interactivas con EMR Serverless](interactive-workloads-livy-endpoints.html) a través de un punto final Apache Livy.
+ La propagación de identidad confiable con Amazon EMR se admite en las siguientes regiones: AWS
+ af-south-1: África (Ciudad del Cabo)
+ ap-east-1: Asia-Pacífico (Hong Kong)
+ ap-northeast-1 – Asia-Pacífico (Tokio)
+ ap-northeast-2: Asia Pacífico (Seúl)
+ ap-northeast-3: Asia-Pacífico (Osaka)
+ ap-south-1: Asia Pacífico (Mumbai)
+ ap-southeast-1 – Asia-Pacífico (Singapur)
+ ap-southeast-2 – Asia-Pacífico (Sídney)
+ ap-southeast-3: Asia-Pacífico (Yakarta)
+ ca-central-1: Canadá (Central)
+ ca-west-1: Canadá (Calgary)
+ eu-central-1 – Europa (Fráncfort)
+ eu-north-1: Europa (Estocolmo)
+ eu-south-1: Europa (Milán)
+ eu-south-2: Europa (España)
+ eu-west-1 – Europa (Irlanda)
+ eu-west-2: Europa (Londres)
+ eu-west-3: Europa (París)
+ me-central-1: Medio Oriente (EAU)
+ me-south-1: Medio Oriente (Baréin)
+ sa-east-1: América del Sur (São Paulo)
+ us-east-1 – EE. UU. Este (Norte de Virginia)
+ us-east-2 – EE. UU. Este (Ohio)
+ us-west-1: EE. UU. Oeste (Norte de California)
+ us-west-2 – EE. UU. Oeste (Oregón)