Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Propagation d'identité fiable avec AWS Glue ETL
Avec IAM Identity Center, vous pouvez vous connecter à des fournisseurs d'identité (IdPs) et gérer de manière centralisée l'accès des utilisateurs et des groupes à travers les services AWS d'analyse. Vous pouvez intégrer des fournisseurs d’identité tels qu’Okta, Ping et Microsoft Entra ID (anciennement Azure Active Directory) à IAM Identity Center pour que les utilisateurs de votre organisation puissent accéder aux données via une expérience d’authentification unique. IAM Identity Center prend également en charge la connexion à d’autres fournisseurs d’identité tiers.
Avec la AWS Glue version 5.0 et les versions ultérieures, vous pouvez propager les identités des utilisateurs depuis IAM Identity Center vers AWS Glue des sessions interactives. AWS Glue Les sessions interactives propageront davantage l'identité fournie aux services en aval tels qu'Amazon S3 Access Grants et Amazon Redshift AWS Lake Formation, permettant ainsi un accès sécurisé aux données via l'identité des utilisateurs dans ces services en aval.
## Présentation de
[Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) est l'approche recommandée pour l'authentification et l'autorisation du personnel AWS pour les organisations de toutes tailles et de tous types. Avec Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans AWS ou connecter votre source d'identité existante, notamment Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace et Microsoft Entra ID (anciennement Azure AD).
[La propagation fiable des identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) est une fonctionnalité du centre d'identité IAM que les administrateurs de AWS services connectés peuvent utiliser pour accorder et auditer l'accès aux données de service. L’accès à ces données est basé sur les attributs utilisateur tels que les associations de groupe. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs des AWS services connectés et les administrateurs de l'IAM Identity Center.
## Fonctionnalités et avantages
L'intégration des sessions AWS Glue interactives à IAM Identity Center [Trusted Identity Propagation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) offre les avantages suivants :
+ Vous avez la possibilité d’appliquer des autorisations au niveau des tables et un contrôle d’accès précis avec les identités Identity Center sur les tables du catalogue de données AWS Glue gérées par Lake Formation.
+ Vous avez la possibilité d’appliquer des autorisations avec les identités Identity Center sur les clusters Amazon Redshift.
+ Permet le suivi de bout en bout des actions des utilisateurs à des fins d’audit.
+ Vous avez la possibilité d’appliquer l’autorisation au niveau du préfixe Amazon S3 avec les identités Identity Center aux préfixes Amazon S3 gérés par les autorisations d’accès Amazon S3.
## Cas d’utilisation
**Exploration et analyse interactives des données**
Les ingénieurs de données utilisent leur identité d'entreprise pour accéder et analyser facilement les données de plusieurs AWS comptes. Grâce à SageMaker Studio, ils lancent des sessions Spark interactives via AWS Glue ETL, en se connectant à diverses sources de données, notamment Amazon S3 et le catalogue de AWS Glue données. Lorsque les ingénieurs explorent les jeux de données, Spark applique des contrôle précis des accès définis dans Lake Formation en fonction de leur identité, garantissant ainsi qu’ils ne peuvent consulter que les données autorisées. Toutes les requêtes et transformations de données sont enregistrées avec l’identité de l’utilisateur, ce qui crée une piste d’audit claire. Cette approche rationalisée permet le prototypage rapide de nouveaux produits d’analytique tout en maintenant une gouvernance des données stricte dans les environnements client.
**Préparation des données et ingénierie des fonctionnalités**
Les scientifiques des données de plusieurs équipes de recherche collaborent sur des projets complexes en s’aidant d’une plateforme de données unifiée. Ils se connectent à SageMaker Studio avec leurs identifiants professionnels et accèdent immédiatement à un vaste lac de données partagé qui couvre plusieurs AWS comptes. Alors qu'ils commencent à concevoir des fonctionnalités pour de nouveaux modèles d'apprentissage automatique, les sessions Spark lancées via AWS Glue ETL appliquent les politiques de sécurité au niveau des colonnes et des lignes de Lake Formation en fonction de leurs identités propagées. Les scientifiques peuvent préparer efficacement les données et concevoir des fonctionnalités à l’aide d’outils bien connus, tandis que les équipes de conformité ont l’assurance que chaque interaction avec les données est automatiquement suivie et auditée. Cet environnement sécurisé et collaboratif accélère les pipelines de recherche tout en respectant les normes strictes de protection des données requises dans les secteurs réglementés.
## Comment ça marche
![\[Schéma d'architecture illustrant le flux de travail des sessions AWS Glue interactives. Un utilisateur se connecte à des applications orientées client (SageMaker Unified Studio ou applications personnalisées) via IAM Identity Center. L'identité de l'utilisateur est transmise à AWS Glue Interactive Sessions, qui se connecte aux services de contrôle d'accès tels que IAM Identity Center AWS Lake Formation, AWS Glue Data Catalog et Amazon S3 Access Grant, avant d'accéder enfin au stockage S3.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/GlueISSMAI.png)
Un utilisateur se connecte à des applications orientées client (SageMaker IA ou applications personnalisées) en utilisant son identité d'entreprise via IAM Identity Center. Cette identité est ensuite propagée via l’ensemble du pipeline d’accès aux données.
L'utilisateur authentifié lance des sessions AWS AWS Glue interactives, qui servent de moteur de calcul pour le traitement des données. Ces sessions conservent le contexte d’identité de l’utilisateur tout au long du flux de travail.
AWS Lake Formation et le catalogue de AWS Glue données fonctionnent ensemble pour appliquer des contrôles d'accès précis. Lake Formation applique des politiques de sécurité basées sur l’identité propagée de l’utilisateur, tandis que les autorisations d’accès Amazon S3 fournissent des couches d’autorisation supplémentaires, garantissant que les utilisateurs ne peuvent accéder qu’aux données qu’ils sont autorisés à consulter.
Enfin, le système se connecte au stockage Amazon S3 où résident les données réelles. Tous les accès sont régis par les politiques de sécurité combinées, ce qui permet d’assurer la gouvernance des données tout en permettant une exploration et une analyse interactives des données. Cette architecture permet un accès aux données sécurisé et basé sur l'identité à travers plusieurs AWS services tout en garantissant une expérience utilisateur fluide aux data scientists et aux ingénieurs travaillant avec de grands ensembles de données.
## Intégrations
### AWS environnement de développement géré
Les applications AWS gérées destinées aux clients suivantes prennent en charge la propagation d'identités fiables grâce à des sessions AWS Glue interactives :
+ [Sagemaker Unified Studio](https://aws.amazon.com/sagemaker/unified-studio/)
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker-ai/)
**Sagemaker Unified Studio**
Pour utiliser la propagation d’identité fiable avec Sagemaker Unified Studio :
1. Configurez le projet Sagemaker Unified Studio avec la propagation d’identité fiable activée en tant qu’environnement de développement orienté client.
1. Configurez [Lake Formation](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-lf.html) pour permettre un contrôle d'accès précis aux AWS Glue tables en fonction de l'utilisateur ou du groupe dans IAM Identity Center.
1. [Configurez les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-s3.html) pour permettre un accès temporaire aux emplacements de données sous-jacents dans Amazon S3.
1. Ouvrez l'espace JupyterLab IDE Sagemaker Unified Studio et sélectionnez AWS Glue comme calcul pour l'exécution du bloc-notes.
### Environnement de bloc-notes auto-hébergé géré par le client
Pour permettre la propagation d'identités fiables pour les utilisateurs d'applications développées sur mesure, consultez la section [Accès aux AWS services par programmation à l'aide de la propagation d'identité fiable](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) dans le blog sur la AWS sécurité.
# Commencer à utiliser la propagation fiable des identités dans l' AWS Glue ETL
Cette section vous aide à configurer AWS Glue l'application avec des sessions interactives afin de l'intégrer à IAM Identity Center et de permettre la [propagation d'identités fiables](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
## Conditions préalables
+ Une instance d'Identity Center située dans la AWS région où vous souhaitez créer des sessions AWS Glue interactives activées par la propagation d'identités fiables. Une instance d'Identity Center ne peut exister que dans une seule région pour un AWS compte. Pour plus d’informations, consultez [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) et [Provision the users and groups from your source of identities into IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ Activez la propagation d’identité fiable pour les services en aval tels que Lake Formation ou les autorisations d’accès Amazon S3 ou le cluster Amazon Redshift avec lequel une charge de travail interactive interagit pour accéder aux données.
## Autorisations nécessaires pour connecter l' AWS Glue ETL à IAM Identity Center
**Créer un rôle IAM**
Le rôle qui crée la connexion à IAM Identity Center nécessite des autorisations pour créer et modifier la configuration de l’application dans AWS Glue et IAM Identity Center, conformément à la politique en ligne suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateGlueIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:ListInstances"
],
"Resource": [
"*"
]
}
]
}
```
------
Les politiques en ligne suivantes contiennent des autorisations spécifiques requises pour afficher, mettre à jour et supprimer les propriétés d’intégration d’ AWS Glue avec IAM Identity Center.
Utilisez la politique intégrée suivante pour autoriser un rôle IAM à visualiser une AWS Glue intégration avec IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetGlueIdentityCenterConfiguration"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilisez la politique intégrée suivante pour autoriser un rôle IAM à mettre à jour AWS Glue l'intégration avec IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:UpdateGlueIdentityCenterConfiguration",
"sso:PutApplicationAccessScope",
"sso:DeleteApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilisez la politique intégrée suivante pour autoriser un rôle IAM à supprimer une AWS Glue intégration avec IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:DeleteGlueIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
### Description des autorisations
+ `glue:CreateGlueIdentityCenterConfiguration`— Accorde l'autorisation de créer la configuration AWS Glue iDC.
+ `glue:GetGlueIdentityCenterConfiguration` : octroie l’autorisation d’obtenir une configurations IdC existante.
+ `glue:DeleteGlueIdentityCenterConfiguration`— Accorde l'autorisation de supprimer une configuration AWS Glue iDC existante.
+ `glue:UpdateGlueIdentityCenterConfiguration`— Autorise la mise à jour d'une configuration AWS Glue iDC existante.
+ `sso:CreateApplication`— Accorde l'autorisation de créer une application IAM Identity Center AWS Glue gérée.
+ `sso:DescribeApplication`- Accorde l'autorisation de décrire une application IAM Identity Center AWS Glue gérée.
+ `sso:DeleteApplication`— Accorde l'autorisation de supprimer une application IAM Identity Center AWS Glue gérée.
+ `sso:UpdateApplication`— Autorise la mise à jour d'une application IAM Identity Center AWS Glue gérée.
+ `sso:PutApplicationGrant`— Accorde l'autorisation d'appliquer l'échange de jetons, IntrospectToken, RefreshToken et des subventions sur l'application iDC. RevokeToken
+ `sso:PutApplicationAuthenticationMethod`— Accorde l'autorisation de mettre AuthenticationMethod sur une application iDC AWS Glue gérée qui permet au principal de AWS Glue service d'interagir avec l'application iDC.
+ `sso:PutApplicationAccessScope`— Autorise l'ajout ou la mise à jour de la liste des étendues de service en aval autorisées sur l'application iDC AWS Glue gérée.
+ `sso:DeleteApplicationAccessScope`- Accorde l'autorisation de supprimer des étendues en aval si une étendue est supprimée pour l'application iDC AWS Glue gérée.
+ `sso:PutApplicationAssignmentConfiguration`— Accorde l'autorisation de définir le paramètre « U ser-assignment-not-required » sur l'application iDC.
+ `sso:ListInstances`— Accorde l'autorisation de répertorier les instances et de valider l'IDC InstanceArn que vous spécifiez en identity-center-configuration paramètre.
## Connexion AWS Glue à IAM Identity Center
Lorsqu'il AWS Glue est connecté à IAM Identity Center, il crée une application iDC gérée par un singleton par compte. L'exemple suivant montre comment vous connecter AWS Glue à IAM Identity Center :
```
aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Pour mettre à jour les portées de l’application gérée (généralement pour se propager à un plus grand nombre de services en aval), vous pouvez utiliser :
```
aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Le paramètre Portées est facultatif et toutes les portées seront ajoutées s’il n’est pas fourni. Les valeurs prises en charge sont `s3:access_grants:read_write`, `redshift:connect` et `lakeformation:query`.
Pour obtenir les détails de la configuration, vous pouvez utiliser :
```
aws glue get-glue-identity-center-configuration
```
Vous pouvez supprimer la connexion entre AWS Glue IAM Identity Center à l'aide de la commande suivante :
```
aws glue delete-glue-identity-center-configuration
```
**Note**
AWS Glue crée une application Identity Center gérée par un service dans votre compte que le service utilise pour les validations d'identité et la propagation des identités vers les services en aval. AWS Glue L'application Identity Center gérée créée est partagée entre toutes les trusted-identity-propagation sessions de votre compte.
**Avertissement :** ne modifiez pas manuellement les paramètres de l’application Identity Center gérée. Toute modification peut affecter toutes les sessions AWS Glue interactives trusted-identity-propagation activées dans votre compte.
## Création d'une session AWS Glue interactive avec activation de la propagation d'identité sécurisée
Une fois connecté AWS Glue à IAM Identity Center, vous pouvez utiliser les [informations d'identification de rôle améliorées](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) pour créer une AWS Glue session interactive. Il n'est pas nécessaire de transmettre des paramètres supplémentaires lors de la création d'une AWS Glue session 5.0. Comme il AWS Glue est connecté au centre d'identité IAM, s'il est AWS Glue détecté identity-enhanced-role-credentials, il propagera automatiquement les informations d'identité aux services en aval appelés dans le cadre de vos déclarations. Cependant, le rôle d’exécution de la session doit disposer de l’autorisation `sts:SetContext`, comme décrit ci-dessous.
**Autorisations du rôle d’exécution pour propager l’identité**
Comme les AWS Glue sessions utilisent les [informations d'identification améliorées par Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) pour propager l'identité aux AWS services en aval, la politique de confiance associée à son rôle d'exécution doit disposer d'une autorisation supplémentaire pour permettre la propagation de l'identité `sts:SetContext` vers les services en aval (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Pour en savoir plus sur la création d’un rôle d’exécution, consultez [Setting up a runtime role](https://docs.aws.amazon.com/glue/latest/dg/create-service-role.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
De plus, le rôle Runtime aurait besoin d'autorisations pour les AWS services en aval que job-run invoquerait pour récupérer des données en utilisant l'identité de l'utilisateur. Veuillez consulter les liens suivants pour configurer les autorisations d’accès Amazon S3 et Lake Formation :
+ [Utilisation de Lake Formation avec AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-lake-formation-fgac.html)
+ [Utilisation d'Amazon S3 Access Grants avec AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-s3-access-grants.html)
# Considérations et limites relatives à l'intégration d' AWS Glue ETL Trusted Identity Propagation
**Important**
Par défaut, les sessions ne sont pas privées, ce qui signifie qu’un utilisateur IdC peut accéder à la session d’un autre utilisateur IdC. Vous pouvez l'utiliser [tagOnCreate](https://docs.aws.amazon.com/glue/latest/dg/glue-is-security.html#glue-is-tagoncreate)pour rendre vos sessions privées. Par exemple, la session peut être étiquetée avec une balise de propriétaire et sa valeur en tant qu'ID utilisateur IDC, puis dans la politique, vous pouvez utiliser une clé de condition globale, telle que pour valider par rapport [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id)à la balise propriétaire dans la politique de principal/runtime rôle du client pour toutes les opérations d'API de session afin de garantir qu'un utilisateur IdC ne puisse pas accéder à la session d'un autre utilisateur IdC.
Tenez compte des points suivants lorsque vous utilisez IAM Identity Center Trusted Identity Propagation avec une AWS Glue application :
+ La propagation d'identités fiables via Identity Center est prise en charge sur les AWS Glue versions 5.0 et supérieures, et uniquement avec les sessions AWS Glue interactives.
+ AWS Glue le catalogue de données est couvert par l'intégration du centre d'identité de Lake Formation.
+ Trusted Identity Propagation est limitée aux sessions interactives dans AWS Glue, à l'exclusion d'autres entités de traitement de données telles que les tâches, les déclencheurs, les flux de travail et les tâches ML. Cependant AWS Glue APIs, tous enregistrent l'identité des utilisateurs à des AWS CloudTrail fins d'audit.
+ AWS Glue prend actuellement en charge l'intégration avec IAM Identity Center exclusivement via les interfaces API et CLI, et non via la console.
+ Une fois qu'une application est activée sur le AWS Glue site, assurez-vous de créer des sessions 5.0 avec des informations d'identification iDC, mais ne créez pas de session 4.0 avec des informations d'identification iDC.
+ La propagation d'identités fiables avec AWS Glue est prise en charge dans les AWS régions suivantes :
+ af-south-1 – Afrique (Le Cap)
+ ap-east-1 – Asie-Pacifique (Hong Kong)
+ ap-northeast-1 – Asie-Pacifique (Tokyo)
+ ap-northeast-2, Asie-Pacifique (Séoul)
+ ap-northeast-3 – Asie-Pacifique (Osaka)
+ ap-south-1, Asie-Pacifique (Mumbai)
+ ap-southeast-1 – Asie-Pacifique (Singapour)
+ ap-southeast-2 – Asie-Pacifique (Sydney)
+ ap-southeast-3 – Asie-Pacifique (Jakarta)
+ ca-central-1, Canada (Centre)
+ eu-central-1 – Europe (Francfort)
+ eu-north-1, Europe (Stockholm)
+ eu-south-1 – Europe (Milan)
+ eu-west-1 – Europe (Irlande)
+ eu-west-2, Europe (Londres)
+ eu-west-3, Europe (Paris)
+ me-south-1 – Moyen-Orient (Bahreïn)
+ sa-east-1, Amérique du Sud (São Paulo)
+ us-east-1 – USA Est (Virginie du Nord)
+ us-east-2 – USA Est (Ohio)
+ us-west-1, USA Ouest (Californie du Nord)
+ us-west-2 – USA Ouest (Oregon)
# Sessions d'arrière-plan utilisateur pour AWS Glue ETL
Les sessions d'arrière-plan des utilisateurs permettent de poursuivre les tâches d'analyse et d'apprentissage automatique de longue durée même après que l'utilisateur se soit déconnecté de l'interface de son bloc-notes. Cette fonctionnalité est mise en œuvre par le biais AWS Glue de la fonctionnalité de propagation d'identité sécurisée. La page suivante explique les options de configuration et les comportements des sessions d’arrière-plan pour les utilisateurs.
**Note**
Les sessions d'arrière-plan utilisateur s'appliquent aux sessions AWS Glue interactives initiées via des interfaces de bloc-notes telles que SageMaker Unified Studio. L'activation ou la désactivation de cette fonctionnalité n'affecte que les nouvelles sessions interactives ; les sessions actives existantes ne sont pas affectées.
## Configurer les sessions d'arrière-plan des utilisateurs
Les sessions d'arrière-plan de l'utilisateur doivent être activées à deux niveaux pour fonctionner correctement :
1. Niveau d'instance IAM Identity Center (configuré par les administrateurs iDC)
1. AWS Glue Niveau de configuration d'Identity Center (configuré par AWS Glue les administrateurs)
### Activez les sessions d'arrière-plan des utilisateurs pour AWS Glue
Pour activer les sessions utilisateur en arrière-plan pour AWS Glue, vous devez définir le `userBackgroundSessionsEnabled` paramètre sur `true` dans la configuration Identity Center lors de la création ou de la mise à jour de la configuration.
Conditions préalables
+ Votre rôle IAM utilisé pour create/update la configuration de l' AWS Glue Identity Center doit disposer de cette `sso:PutApplicationSessionConfiguration` autorisation. Cette autorisation permet d' AWS Glue activer les sessions d'arrière-plan des utilisateurs au niveau de l'application iDC AWS Glue gérée.
+ Vos sessions AWS Glue interactives doivent utiliser AWS Glue la version 5.0 ou ultérieure et la propagation sécurisée des identités doit être activée.
Pour activer les sessions d'arrière-plan des utilisateurs à l'aide de AWS CLI :
```
aws glue create-glue-identity-center-configuration \
--instance-arn "arn:aws:sso:::instance/ssoins-1234567890abcdef" \
--user-background-sessions-enabled
```
Pour mettre à jour une configuration existante :
```
aws glue update-glue-identity-center-configuration \
--user-background-sessions-enabled
```
#### Matrice de configuration
La configuration effective de la session utilisateur en arrière-plan dépend à la fois du paramètre de AWS Glue configuration et des paramètres au niveau de l'instance d'IAM Identity Center :
| Le centre d'identité IAM est-il userBackgroundSession activé ? | AWS Glue userBackgroundSessionsActivé | Comportement |
| --- | --- | --- |
| Oui | TRUE | Sessions d'arrière-plan utilisateur activées |
| Oui | FALSE | La session expire avec la déconnexion de l'utilisateur |
| Non | TRUE | La création de session échoue avec une exception |
| Non | FALSE | La session expire avec la déconnexion de l'utilisateur |
## Durée par défaut de la session d’arrière-plan pour les utilisateurs
Par défaut, toutes les sessions d'arrière-plan des utilisateurs ont une durée maximale de 7 jours dans IAM Identity Center. Les administrateurs peuvent modifier cette durée dans la console IAM Identity Center. Ce paramètre s'applique au niveau de l'instance IAM Identity Center, affectant toutes les applications IAM Identity Center prises en charge au sein de cette instance.
+ La durée peut être réglée sur n'importe quelle valeur comprise entre 15 minutes et 90 jours
+ Ce paramètre est configuré dans la console IAM Identity Center sous Paramètres → Authentification → Configurer (section Tâches non interactives)
**Note**
AWS Glue les sessions interactives ont un délai d'inactivité distinct de 48 heures par défaut. Les sessions se terminent lorsque le délai d'inactivité de la AWS Glue session ou que la durée de la session d'arrière-plan de l'utilisateur est atteinte, selon la première éventualité.
## Impact de la désactivation des sessions d'arrière-plan des utilisateurs
Lorsque les sessions d'arrière-plan des utilisateurs sont désactivées au niveau AWS Glue de la configuration :
+ **Sessions interactives existantes :** continuez à fonctionner sans interruption si elles ont été démarrées avec les sessions utilisateur en arrière-plan activées. Ces sessions continueront à utiliser leurs jetons de session d'arrière-plan existants jusqu'à ce qu'elles se terminent naturellement ou soient explicitement arrêtées.
+ **Nouvelles sessions interactives :** utiliseront le flux standard de propagation des identités fiables et s'arrêteront lorsque l'utilisateur se déconnectera ou que sa session interactive expirera (par exemple lors de la fermeture d'un JupyterLab bloc-notes SageMaker Unified Studio).
### Modification de la durée des sessions d'arrière-plan des utilisateurs
Lorsque le paramètre de durée des sessions d'arrière-plan des utilisateurs est modifié dans IAM Identity Center :
+ **Sessions interactives existantes :** continuez à fonctionner avec la même durée de session en arrière-plan que celle avec laquelle elles ont été démarrées
+ **Nouvelles sessions interactives :** utilisera la nouvelle durée de session pour les sessions d'arrière-plan
## Considérations relatives à l’exécution
### Conditions de fin de session
Lorsque vous utilisez des sessions utilisateur en arrière-plan, une session AWS Glue interactive continue de fonctionner jusqu'à ce que l'un des événements suivants se produise :
+ La session d'arrière-plan de l'utilisateur expire (selon la configuration iDC, jusqu'à 90 jours)
+ la session d’arrière-plan pour les utilisateurs est révoquée manuellement par un administrateur.
+ La session AWS Glue interactive atteint son délai d'inactivité (par défaut : 48 heures après la dernière instruction exécutée)
+ L'utilisateur arrête ou redémarre explicitement le noyau du bloc-notes
### Persistance des données
Lorsque vous utilisez des sessions d'arrière-plan utilisateur :
+ Les utilisateurs ne peuvent pas se reconnecter à l'interface de leur bloc-notes pour voir les résultats une fois déconnectés
+ Configurez vos instructions Spark pour écrire les résultats dans un stockage persistant (tel qu'Amazon S3) avant la fin de l'exécution
### Implication financière
+ Les tâches continueront de s'exécuter jusqu'à leur fin même une fois que les utilisateurs auront mis fin à leur JupyterLab session SageMaker Unified Studio et seront facturées pendant toute la durée de l'exécution terminée.
+ Surveillez vos sessions d'arrière-plan actives pour éviter les coûts inutiles liés à des sessions oubliées ou abandonnées
### Disponibilité des fonctions
Les sessions d'arrière-plan des utilisateurs pour AWS Glue sont disponibles pour :
+ AWS Glue sessions interactives uniquement (les AWS Glue jobs et les jobs de streaming ne sont pas pris en charge)
+ AWS Glue version 5.0 et versions ultérieures
+ Configurations activées pour la propagation des identités fiables uniquement