Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Propagasi Identitas Tepercaya
Dengan Amazon EMR rilis 7.8.0 dan yang lebih tinggi, Anda dapat menyebarkan identitas pengguna dari AWS IAM Identity Center ke beban kerja interaktif dengan EMR Serverless melalui Apache Livy Endpoint. Beban kerja interaktif Apache Livy selanjutnya akan menyebarkan identitas yang disediakan ke layanan hilir seperti Amazon S3, Lake Formation, dan Amazon Redshift, memungkinkan akses data yang aman melalui identitas pengguna di hilir ini. Bagian berikut memberikan gambaran konseptual, prasyarat, dan langkah-langkah yang diperlukan untuk meluncurkan dan menyebarkan identitas ke beban kerja interaktif dengan EMR Tanpa Server melalui Apache Livy Endpoint.
## Ikhtisar
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) adalah pendekatan yang direkomendasikan untuk otentikasi dan otorisasi tenaga kerja AWS untuk organisasi dari berbagai ukuran dan jenis. Dengan Identity Center, buat dan kelola identitas pengguna di AWS, atau sambungkan sumber identitas yang ada, termasuk Microsoft Active Directory, Okta, Ping Identity, Google Workspace JumpCloud, dan Microsoft Entra ID (sebelumnya Azure AD).
[Propagasi identitas tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) adalah fitur Pusat AWS Identitas IAM yang dapat digunakan oleh administrator AWS layanan terhubung untuk memberikan dan mengaudit akses ke data layanan. Akses ke data ini didasarkan pada atribut pengguna seperti asosiasi grup. Menyiapkan propagasi identitas tepercaya memerlukan kolaborasi antara administrator AWS layanan yang terhubung dan administrator Pusat Identitas IAM. Untuk informasi lebih lanjut, lihat [Prasyarat dan pertimbangan](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) dalam Panduan Pengguna Pusat Identitas *IAM*.
## Fitur dan manfaat
[Integrasi EMR Serverless Apache Livy Endpoint dengan IAM Identity Center Penyebaran identitas tepercaya memberikan manfaat berikut:](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
+ Kemampuan untuk menegakkan otorisasi tingkat tabel dengan identitas Pusat Identitas pada tabel katalog data AWS Glue yang dikelola AWS Lake Formation.
+ Kemampuan untuk menegakkan otorisasi dengan identitas Pusat Identitas di kluster Amazon Redshift.
+ Memungkinkan pelacakan ujung ke ujung tindakan pengguna untuk audit.
+ Kemampuan untuk menerapkan otorisasi tingkat awalan Amazon S3 dengan identitas Pusat Identitas pada awalan S3 yang dikelola S3 S3 Access Grants.
## Cara kerjanya
![\[EMR Bagan alur tanpa server.\]](http://docs.aws.amazon.com/id_id/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### Contoh kasus penggunaan
#### Persiapan Data dan Rekayasa Fitur
Ilmuwan data dari beberapa tim peneliti berkolaborasi dalam proyek kompleks menggunakan platform data terpadu. Mereka masuk ke SageMaker AI menggunakan kredensi perusahaan mereka, segera mendapatkan akses ke danau data bersama yang luas yang mencakup beberapa akun. AWS Saat mereka memulai rekayasa fitur untuk model pembelajaran mesin baru, sesi Spark diluncurkan melalui EMR Tanpa Server menegakkan kolom Lake Formation dan kebijakan keamanan tingkat baris berdasarkan identitas mereka yang disebarkan. Para ilmuwan dapat secara efisien menyiapkan data dan fitur insinyur menggunakan alat yang sudah dikenal, sementara tim kepatuhan yakin bahwa setiap interaksi data dilacak dan diaudit secara otomatis. Lingkungan yang aman dan kolaboratif ini mempercepat jalur penelitian sambil mempertahankan standar perlindungan data yang ketat yang diperlukan dalam industri yang diatur.
# Memulai dengan Propagasi Identitas Terpercaya
[Bagian ini membantu Anda mengonfigurasi aplikasi EMR-Serverless dengan Apache Livy Endpoint untuk berintegrasi dengan AWS IAM Identity Center dan mengaktifkan propagasi identitas Tepercaya.](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
## Prasyarat
+ Instance Pusat Identitas di AWS Wilayah tempat Anda ingin membuat propagasi identitas Tepercaya mengaktifkan EMR Serverless Apache Livy Endpoint. Instance Pusat Identitas hanya dapat ada di satu Wilayah untuk sebuah AWS akun. lihat [Aktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) dan [Berikan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ Aktifkan propagasi identitas Tepercaya untuk layanan hilir seperti Lake Formation atau S3 Access Grants atau klaster Amazon Redshift yang berinteraksi dengan beban kerja interaktif untuk mengakses data.
## Izin untuk membuat propagasi identitas tepercaya mengaktifkan EMR Aplikasi Tanpa Server
Selain [izin dasar yang diperlukan untuk mengakses EMR Tanpa Server, Anda harus mengonfigurasi izin tambahan untuk identitas atau peran IAM Anda yang digunakan](setting-up.html#setting-up-iam) untuk membuat propagasi identitas terpercaya yang diaktifkan EMR Aplikasi Tanpa Server. Untuk propagasi identitas terpercaya, EMR creates/bootstraps Serverless satu layanan mengelola Aplikasi Pusat Identitas di akun Anda yang dimanfaatkan layanan untuk validasi identitas dan propagasi identitas ke hilir.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance`— Memberikan izin untuk mendeskripsikan dan memvalidasi InstanCearn Pusat Identitas IAM yang Anda tentukan dalam parameter. identity-center-configuration
+ `sso:CreateApplication`— Memberikan izin untuk membuat Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server yang digunakan untuk tindakan. trusted-identity-propatgion
+ `sso:DeleteApplication`— memberikan izin untuk membersihkan Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server
+ `sso:PutApplicationAuthenticationMethod`— Memberikan izin untuk menempatkan AuthenticationMethod pada Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server yang memungkinkan prinsipal layanan emr-serverless untuk berinteraksi dengan Aplikasi Pusat Identitas IAM.
+ `sso:PutApplicationAssignmentConfiguration`— Memberikan izin untuk mengatur pengaturan “User-assignment-not-required” pada Aplikasi Pusat Identitas IAM.
+ `sso:PutApplicationGrant`— Memberikan izin untuk menerapkan hibah token-exchange, IntroSpectToken, RefreshToken, dan RevokeToken pada Aplikasi Pusat Identitas IAM.
+ `sso:PutApplicationAccessScope`— Memberikan izin untuk menerapkan propagasi identitas tepercaya yang diaktifkan cakupan hilir ke Aplikasi Pusat Identitas IAM. Kami menerapkan cakupan “redshift:connect”, “lakeformation:query” dan “s3:read\$1write” untuk mengaktifkan layanan ini. trusted-identity-propagation
## Buat propagasi identitas terpercaya yang diaktifkan EMR Aplikasi Tanpa Server
Anda harus menentukan `—identity-center-configuration` bidang dengan `identityCenterInstanceArn` untuk mengaktifkan propagasi identitas terpercaya dalam aplikasi. Gunakan perintah contoh berikut untuk membuat Aplikasi EMR Tanpa Server yang mengaktifkan propagasi identitas terpercaya.
**catatan**
Anda juga harus menentukan `--interactive-configuration '{"livyEndpointEnabled":true}'` bahwa propagasi identitas terpercaya diaktifkan hanya untuk Apache Livy Endpoint.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration`— (opsional) Mengaktifkan propagasi identitas tepercaya Pusat Identitas jika ditentukan.
+ `identityCenterInstanceArn`— (wajib) Pusat Identitas misalnya ARN.
Jika Anda tidak memiliki izin Pusat Identitas yang diperlukan (disebutkan sebelumnya), pertama-tama buat Aplikasi EMR Tanpa Server tanpa propagasi identitas tepercaya (misalnya, jangan `—identity-center-configuration` tentukan parameter) dan kemudian minta Admin Pusat Identitas Anda untuk mengaktifkan propagasi identitas terpercaya dengan menjalankan API update-application, lihat contoh di bawah ini:
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR Tanpa Server membuat Aplikasi Pusat Identitas terkelola layanan di akun Anda yang memanfaatkan layanan untuk validasi identitas dan propagasi identitas ke layanan hilir. EMR Aplikasi Pusat Identitas terkelola yang dibuat tanpa server dibagikan di semua aplikasi trusted-identity-propagation EMR Tanpa Server yang diaktifkan di akun Anda.
**catatan**
Jangan mengubah pengaturan secara manual pada Aplikasi Pusat Identitas yang dikelola. Perubahan apa pun dapat memengaruhi semua aplikasi EMR Tanpa Server yang trusted-identity-propagation diaktifkan di akun Anda.
## Izin Peran Eksekusi Job untuk menyebarkan identitas
Karena EMR-Serverless memanfaatkan job-execution-role kredensi yang ditingkatkan Identitas untuk menyebarkan identitas ke layanan hilir AWS , kebijakan kepercayaan Job Execution Role harus memiliki izin tambahan untuk meningkatkan kredensi peran eksekusi pekerjaan dengan identitas `sts:SetContext` untuk memungkinkan layanan hilir trusted-identity-propagation, seperti hibah akses S3, Lake Formation, atau Amazon Redshift. Untuk mempelajari lebih lanjut tentang cara membuat peran, lihat [Membuat peran runtime pekerjaan](getting-started.html#gs-runtime-role).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
Selain itu, JobExecutionRole memerlukan izin untuk AWS layanan hilir yang akan dijalankan oleh pekerjaan untuk mengambil data menggunakan identitas pengguna. Silakan lihat tautan di bawah ini untuk mengonfigurasi S3 Access Grant, Lake Formation.
+ [Menggunakan Lake Formation dengan EMR Serverless](lake-formation-section.html)
+ [Menggunakan Hibah Akses Amazon S3 dengan EMR Tanpa Server](access-grants.html)
# Propagasi Identitas Tepercaya untuk beban kerja interaktif
Langkah-langkah untuk menyebarkan identitas ke beban kerja interaktif melalui titik akhir Apache Livy bergantung pada apakah pengguna Anda berinteraksi dengan lingkungan pengembangan AWS terkelola seperti Amazon SageMaker AI atau lingkungan Notebook yang dihosting sendiri sebagai aplikasi yang menghadap klien.
![\[EMR Bagan alur tanpa server.\]](http://docs.aws.amazon.com/id_id/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS lingkungan pengembangan terkelola
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya dengan titik akhir Apache Livy tanpa server EMR:
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## Lingkungan Notebook yang dihosting sendiri yang dikelola pelanggan
*Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna aplikasi yang dikembangkan khusus, lihat [Akses AWS layanan secara terprogram menggunakan propagasi identitas tepercaya](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) di Blog Keamanan.AWS *
# Sesi latar belakang pengguna
Sesi latar belakang pengguna memungkinkan analitik yang berjalan lama dan alur pembelajaran mesin untuk melanjutkan bahkan setelah pengguna keluar dari antarmuka notebook mereka. Kemampuan ini diimplementasikan melalui integrasi EMR Tanpa Server dengan fitur propagasi identitas terpercaya IAM Identity Center. Bagian ini menjelaskan opsi konfigurasi dan perilaku untuk sesi latar belakang pengguna.
**catatan**
Sesi latar belakang pengguna berlaku untuk beban kerja Spark yang dimulai melalui antarmuka notebook seperti Amazon SageMaker Unified Studio. Mengaktifkan atau menonaktifkan fitur ini hanya memengaruhi sesi Livy baru; sesi Livy aktif yang ada tidak terpengaruh.
## Konfigurasikan sesi latar belakang pengguna
Sesi latar belakang pengguna harus diaktifkan pada dua tingkat untuk fungsionalitas yang tepat:
1. **Tingkat instans Pusat Identitas IAM** - biasanya dikonfigurasi oleh administrator IDC
1. **Tingkat aplikasi EMR Tanpa Server - dikonfigurasi oleh administrator aplikasi** EMR Tanpa Server
### Aktifkan sesi latar belakang pengguna untuk aplikasi EMR Tanpa Server
Untuk mengaktifkan sesi latar belakang pengguna untuk aplikasi EMR Tanpa Server, Anda harus mengatur `userBackgroundSessionsEnabled` parameter ke `true` dalam `identityCenterConfiguration` saat membuat atau memperbarui aplikasi.
**Prasyarat**
+ Peran IAM Anda yang digunakan untuk create/update aplikasi EMR Tanpa Server harus memiliki izin. `sso:PutApplicationSessionConfiguration` Izin ini memungkinkan EMR Tanpa Server untuk mengaktifkan sesi latar belakang Pengguna di tingkat aplikasi IDC terkelola EMR Tanpa Server.
+ Aplikasi EMR Tanpa Server Anda harus menggunakan label rilis 7.8 atau yang lebih baru dan harus diaktifkan Trusted-Identity Propagation.
**Untuk mengaktifkan sesi latar belakang pengguna menggunakan AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**Untuk memperbarui aplikasi yang ada:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### Matriks Konfigurasi
Konfigurasi sesi latar belakang pengguna yang efektif bergantung pada pengaturan aplikasi EMR Tanpa Server dan pengaturan tingkat instans Pusat Identitas IAM:
**Matriks Konfigurasi Sesi Latar Belakang Pengguna**
| Pusat Identitas IAM Diaktifkan userBackgroundSession | EMR Tanpa Server Diaktifkan userBackgroundSessions | Perilaku |
| --- | --- | --- |
| Ya | BETUL | Sesi latar belakang pengguna diaktifkan |
| Ya | SALAH | Sesi berakhir dengan logout pengguna |
| Tidak | BETUL | Aplikasi creation/update gagal dengan Pengecualian |
| Tidak | SALAH | Sesi berakhir dengan logout pengguna |
## Durasi sesi latar belakang pengguna default
Secara default, semua sesi latar belakang pengguna memiliki batas durasi 7 hari di IAM Identity Center. Administrator dapat mengubah durasi ini di konsol Pusat Identitas IAM. Pengaturan ini berlaku pada tingkat instans Pusat Identitas IAM, yang memengaruhi semua aplikasi Pusat Identitas IAM yang didukung dalam instance tersebut.
+ Durasi dapat diatur ke nilai apa pun dari 15 menit hingga 90 hari.
+ Pengaturan ini dikonfigurasi di konsol Pusat Identitas IAM di bawah **Pengaturan** → **Otentikasi** → **Konfigurasi** (bagian Pekerjaan Non-Interaktif)
**catatan**
Sesi EMR Serverless Livy memiliki batas durasi maksimum terpisah 24 jam. Sesi akan berakhir ketika batas sesi Livy atau durasi sesi latar belakang pengguna tercapai, mana yang lebih dulu.
## Dampak menonaktifkan sesi latar belakang pengguna
Saat sesi latar belakang pengguna dinonaktifkan di Pusat Identitas IAM:
Sesi Livy yang ada
Terus berjalan tanpa gangguan jika dimulai dengan sesi latar belakang pengguna diaktifkan. Sesi ini akan terus menggunakan token sesi latar belakang yang ada sampai mereka berakhir secara alami atau secara eksplisit dihentikan.
Sesi Livy baru
Akan menggunakan alur propagasi identitas tepercaya standar dan akan berakhir ketika pengguna log out atau sesi interaktif mereka kedaluwarsa (seperti saat menutup notebook Amazon SageMaker Unified Studio). JupyterLab
## Mengubah durasi sesi latar belakang pengguna
Saat pengaturan durasi untuk sesi latar belakang pengguna diubah di Pusat Identitas IAM:
Sesi Livy yang ada
Lanjutkan untuk menjalankan dengan durasi sesi latar belakang yang sama dengan yang mereka mulai.
Sesi Livy baru
Akan menggunakan durasi sesi baru untuk sesi latar belakang.
## Pertimbangan-pertimbangan
### Ketentuan Pengakhiran Sesi
Saat menggunakan sesi latar belakang pengguna, sesi Livy akan terus berjalan hingga salah satu hal berikut terjadi:
+ Sesi latar belakang pengguna kedaluwarsa (berdasarkan konfigurasi IDC, hingga 90 hari)
+ Sesi latar belakang pengguna dicabut secara manual oleh administrator
+ Sesi Livy mencapai batas waktu idle (default: 1 jam setelah pernyataan terakhir yang dieksekusi)
+ Sesi Livy mencapai durasi maksimumnya (24 jam)
+ Pengguna secara eksplisit menghentikan atau memulai ulang kernel notebook
### Persistensi Data
Saat menggunakan sesi latar belakang pengguna:
+ Pengguna tidak dapat menyambung kembali ke antarmuka notebook mereka untuk melihat hasil setelah mereka keluar
+ Konfigurasikan pernyataan Spark Anda untuk menulis hasil ke penyimpanan persisten (seperti Amazon S3) sebelum eksekusi selesai
### Implikasi Biaya
+ Pekerjaan akan terus berjalan hingga selesai bahkan setelah pengguna mengakhiri JupyterLab sesi Amazon SageMaker Unified Studio mereka dan akan dikenakan biaya untuk seluruh durasi proses yang diselesaikan.
+ Pantau sesi latar belakang aktif Anda untuk menghindari biaya yang tidak perlu dari sesi yang terlupakan atau ditinggalkan.
### Ketersediaan Fitur
Sesi latar belakang pengguna untuk EMR Tanpa Server tersedia untuk:
+ Hanya mesin percikan (Mesin sarang tidak didukung)
+ Sesi interaktif Livy saja (pekerjaan batch dan pekerjaan streaming tidak didukung)
+ Label rilis EMR Tanpa Server 7.8 dan yang lebih baru
# Pertimbangan untuk integrasi EMR Tanpa Server Trusted-Identity-Propagation
Pertimbangkan hal berikut ketika Anda menggunakan IAM Identity Center Trusted-Identity-Propagation dengan Aplikasi EMR Serverelss:
+ Propagasi Identitas Tepercaya melalui Identity Center didukung di Amazon EMR 7.8.0 dan lebih tinggi, dan hanya dengan Apache Spark.
+ Propagasi Identitas Tepercaya hanya dapat digunakan untuk [beban kerja interaktif dengan EMR Tanpa Server](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html) melalui titik akhir Apache Livy. Beban kerja interaktif melalui EMR Studio tidak mendukung Propagasi Identitas Tepercaya
+ Pekerjaan batch dan beban kerja streaming tidak mendukung propagasi identitas Tepercaya
+ Kontrol akses berbutir halus menggunakan AWS Lake Formation yang menggunakan Trusted Identity Propagation tersedia untuk [beban kerja interaktif dengan EMR](interactive-workloads-livy-endpoints.html) Tanpa Server melalui titik akhir Apache Livy.
+ Propagasi Identitas Tepercaya dengan Amazon EMR didukung di Wilayah berikut AWS :
+ af-south-1 — Afrika (Cape Town)
+ ap-east-1 - Asia Pasifik (Hong Kong)
+ ap-northeast-1 – Asia Pacific (Tokyo)
+ ap-northeast-2 - Asia Pasifik (Seoul)
+ ap-northeast-3 - Asia Pasifik (Osaka)
+ ap-south-1 — Asia Pasifik (Mumbai)
+ ap-southeast-1 – Asia Pacific (Singapore)
+ ap-southeast-2 – Asia Pacific (Sydney)
+ ap-southeast-3 - Asia Pasifik (Jakarta)
+ ca-central-1 — Kanada (Tengah)
+ ca-west-1 — Kanada (Calgary)
+ eu-central-1 – Europe (Frankfurt)
+ eu-north-1 - Eropa (Stockholm)
+ eu-south-1 — Eropa (Milan)
+ eu-south-2 — Eropa (Spanyol)
+ eu-west-1 – Europe (Ireland)
+ eu-west-2 - Eropa (London)
+ eu-west-3 - Eropa (Paris)
+ me-central-1 - Timur Tengah (UEA)
+ me-south-1 - Timur Tengah (Bahrain)
+ sa-east-1 — Amerika Selatan (Sao Paulo)
+ us-east-1 – US East (N. Virginia)
+ us-east-2 – US East (Ohio)
+ us-west-1 - AS Barat (California Utara)
+ us-west-2 – US West (Oregon)