Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Propagation d’identité fiable
Avec les versions 7.8.0 et supérieures d'Amazon EMR, vous pouvez propager les identités des utilisateurs depuis AWS IAM Identity Center vers des charges de travail interactives avec EMR Serverless via Apache Livy Endpoint. Les charges de travail interactives Apache Livy propageront davantage l'identité fournie aux services en aval tels qu'Amazon S3, Lake Formation et Amazon Redshift, permettant ainsi un accès sécurisé aux données via l'identité de l'utilisateur dans ces services en aval. Les sections suivantes fournissent une présentation conceptuelle, les prérequis et les étapes nécessaires pour lancer et propager l'identité aux charges de travail interactives avec EMR Serverless via Apache Livy Endpoint.
## Présentation de
[L'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) est l'approche recommandée pour l'authentification et l'autorisation du personnel AWS pour les organisations de toutes tailles et de tous types. Avec Identity Center, créez et gérez les identités des utilisateurs dans AWS ou connectez votre source d'identité existante, notamment Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace et Microsoft Entra ID (anciennement Azure AD).
[La propagation fiable des identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) est une fonctionnalité du centre d'identité AWS IAM que les administrateurs des AWS services connectés peuvent utiliser pour accorder et auditer l'accès aux données de service. L’accès à ces données est basé sur les attributs utilisateur tels que les associations de groupe. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs des AWS services connectés et les administrateurs de l'IAM Identity Center. Pour plus d'informations, reportez-vous à la section [Conditions préalables et considérations du Guide](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) de l'*utilisateur d'IAM Identity Center*.
## Fonctionnalités et avantages
L'intégration du point de terminaison Apache Livy sans serveur EMR à IAM Identity Center [Trusted Identity Center offre les avantages suivants :](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
+ Possibilité d'appliquer l'autorisation au niveau des tables avec les identités d'Identity Center sur les tables du catalogue de données AWS Glue gérées par AWS Lake Formation.
+ Vous avez la possibilité d’appliquer des autorisations avec les identités Identity Center sur les clusters Amazon Redshift.
+ Permet le suivi de bout en bout des actions des utilisateurs à des fins d’audit.
+ Vous avez la possibilité d’appliquer l’autorisation au niveau du préfixe Amazon S3 avec les identités Identity Center aux préfixes S3 gérés par S3 Access Grants.
## Comment ça marche
![\[Organigramme EMR Serverless.\]](http://docs.aws.amazon.com/fr_fr/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### Exemple de cas d’utilisation
#### Préparation des données et ingénierie des fonctionnalités
Les scientifiques des données de plusieurs équipes de recherche collaborent sur des projets complexes en s’aidant d’une plateforme de données unifiée. Ils se connectent à l' SageMaker IA à l'aide de leurs identifiants professionnels et ont immédiatement accès à un vaste lac de données partagé couvrant plusieurs AWS comptes. Alors qu'ils commencent à concevoir des fonctionnalités pour de nouveaux modèles d'apprentissage automatique, les sessions Spark lancées via EMR Serverless appliquent les politiques de sécurité de Lake Formation au niveau des colonnes et des lignes en fonction de leurs identités propagées. Les scientifiques peuvent préparer efficacement les données et concevoir des fonctionnalités à l'aide d'outils familiers, tandis que les équipes chargées de la conformité ont l'assurance que chaque interaction avec les données est automatiquement suivie et auditée. Cet environnement sécurisé et collaboratif accélère les pipelines de recherche tout en maintenant les normes strictes de protection des données requises dans les secteurs réglementés.
# Commencer à utiliser Trusted-Identity Propagation
[Cette section vous aide à configurer une application sans serveur EMR avec Apache Livy Endpoint pour l'intégrer à AWS IAM Identity Center et permettre la propagation d'identités fiables.](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
## Conditions préalables
+ Une instance de centre d'identité située dans la AWS région où vous souhaitez créer une propagation d'identité sécurisée a activé EMR Serverless Apache Livy Endpoint. Une instance d'Identity Center ne peut exister que dans une seule région pour un AWS compte. Reportez-vous à [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) et à [fournir les utilisateurs et les groupes de votre source d'identités dans IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) Identity Center.
+ Activez la propagation fiable des identités pour les services en aval tels que Lake Formation ou S3 Access Grants ou le cluster Amazon Redshift avec lequel une charge de travail interactive interagit pour accéder aux données.
## Autorisations permettant de créer une application EMR sans serveur compatible avec la propagation d'identités fiables
Outre les [autorisations de base requises pour accéder à EMR sans serveur](setting-up.html#setting-up-iam), vous devez configurer des autorisations supplémentaires pour votre identité ou votre rôle IAM utilisé pour créer une application EMR sans serveur compatible avec la propagation d'identités fiables. Pour la propagation d'identités fiables, EMR Serverless est creates/bootstraps un service unique qui gère l'application Identity Center dans votre compte, que le service utilise pour la validation de l'identité et la propagation de l'identité vers l'aval.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance`— Accorde l'autorisation de décrire et de valider l'InstanceArn IAM Identity Center que vous spécifiez en paramètre. identity-center-configuration
+ `sso:CreateApplication`— Accorde l'autorisation de créer une application de centre d'identité IAM gérée sans serveur EMR qui est utilisée pour les actions. trusted-identity-propatgion
+ `sso:DeleteApplication`— autorise le nettoyage d'une application IAM Identity Center gérée sans serveur EMR
+ `sso:PutApplicationAuthenticationMethod`— Octroie l'autorisation d'installer AuthenticationMethod sur l'application IAM Identity Center gérée sans serveur EMR qui permet au principal du service sans serveur EMR d'interagir avec l'application IAM Identity Center.
+ `sso:PutApplicationAssignmentConfiguration`— Accorde l'autorisation de définir le paramètre « U ser-assignment-not-required » sur l'application IAM Identity Center.
+ `sso:PutApplicationGrant`— Autorise l'application des autorisations d'échange de jetons, IntrospectToken, RefreshToken et RevokeToken à une application IAM Identity Center.
+ `sso:PutApplicationAccessScope`— Accorde l'autorisation d'appliquer à l'application IAM Identity Center une étendue en aval activée par la propagation des identités fiables. Nous appliquons les champs d'application « redshift:connect », « lakeformation:query » et « s3:read\$1write » pour activer ces services. trusted-identity-propagation
## Création d'une application EMR sans serveur compatible avec la propagation d'identités fiables
Vous devez spécifier `—identity-center-configuration` le champ avec `identityCenterInstanceArn` pour activer la propagation des identités fiables dans l'application. Utilisez l'exemple de commande suivant pour créer une application EMR sans serveur sur laquelle la propagation des identités fiables est activée.
**Note**
Vous devez également indiquer `--interactive-configuration '{"livyEndpointEnabled":true}'` que la propagation des identités fiables est activée pour Apache Livy Endpoint uniquement.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration`— (facultatif) Active la propagation d'identités fiables par Identity Center si cela est spécifié.
+ `identityCenterInstanceArn` (obligatoire) : ARN de l’instance Identity Center
Si vous ne disposez pas des autorisations requises pour le centre d'identité (mentionnées précédemment), créez d'abord l'application EMR sans serveur sans propagation d'identité fiable (par exemple, ne spécifiez pas de `—identity-center-configuration` paramètre), puis demandez à votre administrateur du centre d'identité d'activer la propagation de l'identité sécurisée en invoquant l'API de mise à jour de l'application, voir l'exemple ci-dessous :
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR Serverless crée une application Identity Center gérée par service dans votre compte, que le service utilise pour les validations d'identité et la propagation des identités vers les services en aval. L'application Identity Center gérée créée par EMR Serverless est partagée entre toutes les applications trusted-identity-propagation EMR Serverless activées de votre compte.
**Note**
Ne modifiez pas manuellement les paramètres de l'application Identity Center gérée. Toute modification peut affecter toutes les applications EMR sans serveur trusted-identity-propagation activées dans votre compte.
## Autorisations du rôle d'exécution des tâches pour propager l'identité
Comme EMR-Serverless utilise les job-execution-role informations d'identification améliorées pour propager l'identité aux services en aval AWS , la politique de confiance de Job Execution Role doit comporter des autorisations supplémentaires `sts:SetContext` pour améliorer les informations d'identification du rôle d'exécution des tâches par une identité afin de les autoriser à accéder aux trusted-identity-propagation services en aval, tels que S3 access-grant, Lake Formation ou Amazon Redshift. Pour en savoir plus sur la création d'un rôle, reportez-vous à la section [Création d'un rôle d'exécution de tâches](getting-started.html#gs-runtime-role).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
En outre, JobExecutionRole nécessite des autorisations pour les AWS services en aval que job-run invoquerait pour récupérer des données en utilisant l'identité de l'utilisateur. Reportez-vous aux liens ci-dessous pour configurer S3 Access Grant, Lake Formation.
+ [Utilisation de Lake Formation avec EMR sans serveur](lake-formation-section.html)
+ [Utilisation des autorisations d'accès Amazon S3 avec EMR sans serveur](access-grants.html)
# Propagation d'identité fiable pour les charges de travail interactives
Les étapes à suivre pour propager l'identité aux charges de travail interactives via un point de terminaison Apache Livy varient selon que vos utilisateurs interagissent avec un environnement de développement AWS géré tel que Amazon SageMaker AI ou avec votre propre environnement Notebook auto-hébergé en tant qu'application orientée client.
![\[Organigramme EMR Serverless.\]](http://docs.aws.amazon.com/fr_fr/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS environnement de développement géré
L'application AWS gérée orientée client suivante prend en charge la propagation d'identités fiables avec le point de terminaison Apache Livy sans serveur EMR :
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## Environnement de bloc-notes auto-hébergé géré par le client
*Pour activer la propagation d'identité fiable pour les utilisateurs d'applications développées sur mesure, consultez la section [Accès aux AWS services par programmation à l'aide de la propagation d'identité fiable](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) dans le blog sur la AWS sécurité.*
# Sessions d’arrière-plan pour les utilisateurs
Les sessions d'arrière-plan des utilisateurs permettent aux flux d'analyse et d'apprentissage automatique de longue durée de se poursuivre même après que l'utilisateur se soit déconnecté de l'interface de son bloc-notes. Cette fonctionnalité est mise en œuvre via l'intégration EMR Serverless avec la fonction de propagation d'identité fiable d'IAM Identity Center. Cette section explique les options de configuration et les comportements pour les sessions d'arrière-plan des utilisateurs.
**Note**
Les sessions d'arrière-plan des utilisateurs s'appliquent aux charges de travail Spark initiées via des interfaces de bloc-notes telles qu'Amazon SageMaker Unified Studio. L'activation ou la désactivation de cette fonctionnalité n'affecte que les nouvelles sessions Livy ; les sessions Livy actives existantes ne sont pas affectées.
## Configurer les sessions d'arrière-plan des utilisateurs
Les sessions d'arrière-plan de l'utilisateur doivent être activées à deux niveaux pour fonctionner correctement :
1. **Niveau d'instance IAM Identity Center** : généralement configuré par les administrateurs iDC
1. **Niveau d'application EMR Serverless : configuré par les administrateurs d'applications** EMR Serverless
### Activer les sessions utilisateur en arrière-plan pour les applications EMR sans serveur
Pour activer les sessions utilisateur en arrière-plan pour une application EMR sans serveur, vous devez définir le `userBackgroundSessionsEnabled` paramètre sur in `identityCenterConfiguration` lors de la création ou de la mise `true` à jour d'une application.
**Conditions préalables**
+ Votre rôle IAM utilisé dans create/update l'application EMR Serverless doit disposer de cette autorisation. `sso:PutApplicationSessionConfiguration` Cette autorisation permet à EMR Serverless d'activer les sessions d'arrière-plan des utilisateurs au niveau de l'application iDC gérée par EMR Serverless.
+ Votre application EMR Serverless doit utiliser l'étiquette de version 7.8 ou ultérieure et doit être activée sur Trusted-Identity Propagation.
**Pour activer les sessions d'arrière-plan des utilisateurs à l'aide du AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**Pour mettre à jour une application existante :**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### Matrice de configuration
La configuration effective de la session utilisateur en arrière-plan dépend à la fois du paramètre de l'application EMR Serverless et des paramètres au niveau de l'instance d'IAM Identity Center :
**Matrice de configuration des sessions d'arrière-plan utilisateur**
| Centre userBackgroundSession d'identité IAM activé | EMR sans serveur activé userBackgroundSessions | Comportement |
| --- | --- | --- |
| Oui | TRUE | Sessions d'arrière-plan utilisateur activées |
| Oui | FALSE | La session expire avec la déconnexion de l'utilisateur |
| Non | TRUE | L'application creation/update échoue avec une exception |
| Non | FALSE | La session expire avec la déconnexion de l'utilisateur |
## Durée par défaut de la session d’arrière-plan pour les utilisateurs
Par défaut, toutes les sessions d'arrière-plan des utilisateurs ont une durée maximale de 7 jours dans IAM Identity Center. Les administrateurs peuvent modifier cette durée dans la console IAM Identity Center. Ce paramètre s'applique au niveau de l'instance IAM Identity Center, affectant toutes les applications IAM Identity Center prises en charge au sein de cette instance.
+ La durée peut être définie sur n'importe quelle valeur comprise entre 15 minutes et 90 jours.
+ Ce paramètre est configuré dans la console IAM Identity Center sous **Paramètres** → **Authentification** → **Configurer (section Tâches** non interactives)
**Note**
Les sessions EMR Serverless Livy ont une durée maximale distincte de 24 heures. Les sessions se termineront lorsque la limite de session Livy ou la durée de la session d'arrière-plan de l'utilisateur sera atteinte, selon la première éventualité.
## Impact de la désactivation des sessions d'arrière-plan des utilisateurs
Lorsque les sessions d'arrière-plan des utilisateurs sont désactivées dans IAM Identity Center :
Sessions Livy existantes
Continuez à fonctionner sans interruption s'ils ont été démarrés avec les sessions utilisateur en arrière-plan activées. Ces sessions continueront à utiliser leurs jetons de session d'arrière-plan existants jusqu'à ce qu'elles se terminent naturellement ou soient explicitement arrêtées.
Nouvelles sessions Livy
Utilisera le flux standard de propagation des identités fiables et s'arrêtera lorsque l'utilisateur se déconnectera ou que sa session interactive expirera (par exemple lors de la fermeture d'un JupyterLab bloc-notes Amazon SageMaker Unified Studio).
## Modification de la durée des sessions d'arrière-plan des utilisateurs
Lorsque le paramètre de durée des sessions d'arrière-plan des utilisateurs est modifié dans IAM Identity Center :
Sessions Livy existantes
Continuez à s'exécuter avec la même durée de session en arrière-plan que celle avec laquelle ils ont été démarrés.
Nouvelles sessions Livy
Utilisera la nouvelle durée de session pour les sessions en arrière-plan.
## Considérations
### Conditions de fin de session
Lorsque vous utilisez des sessions utilisateur en arrière-plan, une session Livy continue de fonctionner jusqu'à ce que l'un des événements suivants se produise :
+ La session d'arrière-plan de l'utilisateur expire (selon la configuration d'iDC, jusqu'à 90 jours)
+ la session d’arrière-plan pour les utilisateurs est révoquée manuellement par un administrateur.
+ La session Livy atteint son délai d'inactivité (par défaut : 1 heure après la dernière instruction exécutée)
+ La session Livy atteint sa durée maximale (24 heures)
+ L'utilisateur arrête ou redémarre explicitement le noyau du bloc-notes
### Persistance des données
Lorsque vous utilisez des sessions d'arrière-plan utilisateur :
+ Les utilisateurs ne peuvent pas se reconnecter à l'interface de leur bloc-notes pour voir les résultats une fois déconnectés
+ Configurez vos instructions Spark pour écrire les résultats dans un stockage persistant (tel qu'Amazon S3) avant la fin de l'exécution
### Incidences financières
+ Les tâches continueront à être exécutées jusqu'à leur fin même une fois que les utilisateurs auront mis fin à leur JupyterLab session Amazon SageMaker Unified Studio et des frais seront facturés pendant toute la durée de l'exécution terminée.
+ Surveillez vos sessions d'arrière-plan actives pour éviter les coûts inutiles liés à des sessions oubliées ou abandonnées.
### Disponibilité des fonctions
Les sessions d'arrière-plan utilisateur pour EMR Serverless sont disponibles pour :
+ Moteur Spark uniquement (le moteur Hive n'est pas pris en charge)
+ Sessions interactives Livy uniquement (les tâches par lots et les tâches de streaming ne sont pas prises en charge)
+ Libellés de version 7.8 et versions ultérieures d'EMR Serverless
# Considérations relatives à l'intégration EMR sans serveur Trusted-Identity-Propagation
Tenez compte des points suivants lorsque vous utilisez IAM Identity Center Trusted-Identity-Propagation avec une application EMR Serverless :
+ La propagation d'identités fiables via Identity Center est prise en charge sur Amazon EMR 7.8.0 et versions ultérieures, et uniquement avec Apache Spark.
+ La propagation d'identité sécurisée ne peut être utilisée que pour les [charges de travail interactives avec EMR Serverless via un](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html) point de terminaison Apache Livy. Les charges de travail interactives via EMR Studio ne prennent pas en charge la propagation d'identités fiables
+ Les tâches par lots et les charges de travail en streaming ne prennent pas en charge la propagation fiable des identités
+ Des contrôles d'accès précis utilisant AWS Lake Formation et utilisant Trusted Identity Propagation sont disponibles pour les charges de [travail interactives avec EMR Serverless](interactive-workloads-livy-endpoints.html) via un point de terminaison Apache Livy.
+ La propagation d'identités fiables avec Amazon EMR est prise en charge dans les régions suivantes : AWS
+ af-south-1 – Afrique (Le Cap)
+ ap-east-1 – Asie-Pacifique (Hong Kong)
+ ap-northeast-1 – Asie-Pacifique (Tokyo)
+ ap-northeast-2, Asie-Pacifique (Séoul)
+ ap-northeast-3 – Asie-Pacifique (Osaka)
+ ap-south-1, Asie-Pacifique (Mumbai)
+ ap-southeast-1 – Asie-Pacifique (Singapour)
+ ap-southeast-2 – Asie-Pacifique (Sydney)
+ ap-southeast-3 – Asie-Pacifique (Jakarta)
+ ca-central-1, Canada (Centre)
+ ca-west-1 — Canada (Calgary)
+ eu-central-1 – Europe (Francfort)
+ eu-north-1, Europe (Stockholm)
+ eu-south-1 – Europe (Milan)
+ eu-south-2 — Europe (Espagne)
+ eu-west-1 – Europe (Irlande)
+ eu-west-2, Europe (Londres)
+ eu-west-3, Europe (Paris)
+ me-central-1 — Moyen-Orient (Émirats arabes unis)
+ me-south-1 – Moyen-Orient (Bahreïn)
+ sa-east-1, Amérique du Sud (São Paulo)
+ us-east-1 – USA Est (Virginie du Nord)
+ us-east-2 – USA Est (Ohio)
+ us-west-1, USA Ouest (Californie du Nord)
+ us-west-2 – USA Ouest (Oregon)