Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Propagazione affidabile delle identità con ETL AWS Glue
Con IAM Identity Center, puoi connetterti ai provider di identità (IdPs) e gestire centralmente l'accesso per utenti e gruppi attraverso AWS i servizi di analisi. È possibile integrare gestori di identità digitali come Okta, Ping e Microsoft Entra ID (in precedenza Azure Active Directory) con il Centro identità IAM per consentire agli utenti nell'organizzazione di accedere ai dati utilizzando un'esperienza di accesso singolo. Il Centro identità IAM supporta anche la connessione con altri gestori dell'identità digitali di terze parti.
Con la AWS Glue versione 5.0 e versioni successive, puoi propagare le identità degli utenti da IAM Identity Center a AWS Glue sessioni interattive. AWS Glue Le sessioni interattive propagheranno ulteriormente l'identità fornita a servizi downstream come Amazon S3 Access Grants AWS Lake Formation e Amazon Redshift, consentendo l'accesso sicuro ai dati tramite l'identità utente in questi servizi downstream.
## Panoramica di
[Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) è l'approccio consigliato per l'autenticazione e l'autorizzazione della forza lavoro per organizzazioni di qualsiasi dimensione e tipo. AWS Con Identity Center, puoi creare e gestire le identità degli utenti o connettere la tua fonte di identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace e Microsoft Entra ID (precedentemente Azure AD). AWS
[La propagazione affidabile delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) è una funzionalità di IAM Identity Center che gli amministratori dei AWS servizi connessi possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L’accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori dei AWS servizi connessi e gli amministratori di IAM Identity Center.
## Funzionalità e vantaggi
L'integrazione delle sessioni AWS Glue interattive con IAM Identity Center [Trusted Identity Propagation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) offre i seguenti vantaggi:
+ La capacità di applicare l'autorizzazione a livello di tabella e il controllo granulare degli accessi con le identità del Centro identità sulle tabelle del catalogo dati gestite da AWS Glue di Lake Formation.
+ La capacità di applicare l'autorizzazione con le identità del Centro identità sui cluster Amazon Redshift.
+ Consente il monitoraggio completo delle azioni degli utenti per il controllo.
+ La capacità di applicare l'autorizzazione a livello di prefisso di Amazon S3 con le identità del Centro identità sui prefissi Amazon S3 gestiti da Amazon S3 Access Grants.
## Casi d’uso
**Esplorazione e analisi interattive dei dati**
I data engineer utilizzano le proprie identità aziendali per accedere e analizzare senza problemi i dati su più account. AWS Tramite SageMaker Studio, lanciano sessioni Spark interattive tramite AWS Glue ETL, collegandosi a varie fonti di dati tra cui Amazon S3 e AWS Glue Data Catalog. Mentre gli ingegneri esplorano i set di dati, Spark applica controlli granulari degli accessi definiti in Lake Formation in base alle loro identità, assicurando che possano visualizzare solo i dati autorizzati. Tutte le query e le trasformazioni dei dati vengono registrate con l'identità dell'utente, creando un audit trail chiaro. Questo approccio semplificato consente la prototipazione rapida di nuovi prodotti di analisi, mantenendo al contempo una rigorosa governance dei dati in tutti gli ambienti client.
**Preparazione dei dati e ingegneria delle caratteristiche**
Gli scienziati dei dati di diversi team di ricerca collaborano su progetti complessi utilizzando una piattaforma di dati unificata. Accedono a SageMaker Studio con le proprie credenziali aziendali, accedendo immediatamente a un vasto data lake condiviso che si estende su più account. AWS Quando iniziano a progettare funzionalità per nuovi modelli di apprendimento automatico, le sessioni Spark lanciate tramite AWS Glue ETL applicano le politiche di sicurezza a livello di colonne e righe di Lake Formation basate sulle loro identità diffuse. Gli scienziati possono preparare in modo efficiente i dati e progettare le funzionalità utilizzando strumenti familiari, mentre i team addetti alla conformità hanno la certezza che ogni interazione con i dati venga tracciata e verificata automaticamente. Questo ambiente sicuro e collaborativo accelera le pipeline di ricerca mantenendo al contempo i rigorosi standard di protezione dei dati richiesti nei settori regolamentati.
## Come funziona
![\[Diagramma di architettura che mostra il flusso di lavoro delle sessioni interattive. AWS Glue Un utente accede alle applicazioni rivolte al client (SageMaker Unified Studio o applicazioni personalizzate) tramite IAM Identity Center. L'identità dell'utente viene propagata a AWS Glue Interactive Sessions, che si connette ai servizi di controllo degli accessi tra cui IAM Identity Center AWS Lake Formation, AWS Glue Data Catalog e Amazon S3 Access Grant, prima di accedere finalmente a S3 Storage.\]](http://docs.aws.amazon.com/it_it/glue/latest/dg/images/GlueISSMAI.png)
Un utente accede alle applicazioni rivolte ai clienti (SageMaker AI o applicazioni personalizzate) utilizzando la propria identità aziendale tramite IAM Identity Center. Questa identità viene quindi propagata attraverso l'intera pipeline di accesso ai dati.
L'utente autenticato avvia le sessioni AWS AWS Glue interattive, che fungono da motore di calcolo per l'elaborazione dei dati. Queste sessioni mantengono il contesto dell'identità dell'utente durante tutto il flusso di lavoro.
AWS Lake Formation e AWS Glue Data Catalog collaborano per applicare controlli di accesso granulari. Lake Formation applica policy di sicurezza basate sull'identità propagata dell'utente, mentre Amazon S3 Access Grants fornisce livelli di autorizzazione aggiuntivi, garantendo agli utenti di accedere solo ai dati che sono autorizzati a visualizzare.
Infine, il sistema si connette ad Amazon S3 Storage dove risiedono i dati effettivi. Tutti gli accessi sono regolati dalle policy di sicurezza combinate, che mantengono la governance dei dati e consentono l'esplorazione e l'analisi interattive dei dati. Questa architettura consente un accesso sicuro e basato sull'identità ai dati attraverso più AWS servizi, mantenendo al contempo un'esperienza utente senza interruzioni per i data scientist e gli ingegneri che lavorano con set di dati di grandi dimensioni.
## Integrazioni
### AWS ambiente di sviluppo gestito
Le seguenti applicazioni AWS gestite rivolte ai client supportano la propagazione affidabile delle identità con AWS Glue sessioni interattive:
+ [Sagemaker Unified Studio](https://aws.amazon.com/sagemaker/unified-studio/)
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker-ai/)
**Sagemaker Unified Studio**
Per utilizzare la propagazione attendibile delle identità con Sagemaker Unified Studio:
1. Configurare il progetto Sagemaker Unified Studio con la propagazione attendibile delle identità abilitata come ambiente di sviluppo rivolto al cliente.
1. Configura [Lake Formation](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-lf.html) per abilitare il controllo granulare degli accessi per le AWS Glue tabelle in base all'utente o al gruppo in IAM Identity Center.
1. [Configurare Amazon S3 Access Grants](https://docs.aws.amazon.com/en_us/singlesignon/latest/userguide/tip-tutorial-s3.html) per consentire l'accesso temporaneo alle posizioni dei dati sottostanti in Amazon S3.
1. Apri lo spazio JupyterLab IDE di Sagemaker Unified Studio e AWS Glue selezionalo come elaborazione per l'esecuzione su notebook.
### Ambiente del notebook ospitato autonomamente e gestito dal cliente
Per abilitare la propagazione affidabile delle identità per gli utenti di applicazioni sviluppate su misura, consultate [Access AWS services using trusted identity propagation nel Security Blog.](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) AWS
# Guida introduttiva alla propagazione affidabile delle identità in ETL AWS Glue
Questa sezione aiuta a configurare AWS Glue l'applicazione con sessioni interattive per l'integrazione con IAM Identity Center e abilitare la propagazione delle [identità affidabili](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
## Prerequisiti
+ Un'istanza di Identity Center nella AWS regione in cui si desidera creare sessioni AWS Glue interattive abilitate alla propagazione dell'identità affidabile. Un'istanza di Identity Center può esistere solo in una singola regione per un AWS account. Per ulteriori informazioni, consultare [Abilita Centro identità IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) ed [effettuare il provisioning di utenti e gruppi dall'origine delle identità nel Centro identità IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ Abilitare la propagazione attendibile delle identità per servizi downstream come Lake Formation o Amazon S3 Access Grants o il cluster Amazon Redshift con cui il carico di lavoro interattivo interagisce per accedere ai dati.
## Autorizzazioni necessarie per connettere AWS Glue ETL con IAM Identity Center
**Creazione di un ruolo IAM**
Il ruolo che crea la connessione al Centro identità IAM richiede le autorizzazioni per creare e modificare la configurazione dell'applicazione in AWS Glue e nel Centro identità IAM, come indicato nella seguente policy in linea.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateGlueIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:ListInstances"
],
"Resource": [
"*"
]
}
]
}
```
------
Le seguenti policy in linea contengono autorizzazioni specifiche necessarie per visualizzare, aggiornare ed eliminare le proprietà di integrazione AWS Glue con il Centro identità IAM.
Utilizza la seguente policy in linea per consentire a un ruolo IAM di visualizzare un' AWS Glue integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetGlueIdentityCenterConfiguration"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilizza la seguente policy in linea per consentire a un ruolo IAM di aggiornare AWS Glue l'integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:UpdateGlueIdentityCenterConfiguration",
"sso:PutApplicationAccessScope",
"sso:DeleteApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilizza la seguente policy in linea per consentire a un ruolo IAM di eliminare un' AWS Glue integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:DeleteGlueIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
### Descrizione delle autorizzazioni
+ `glue:CreateGlueIdentityCenterConfiguration`— Concede l'autorizzazione a creare la configurazione AWS Glue iDC.
+ `glue:GetGlueIdentityCenterConfiguration`: concede l'autorizzazione per ottenere una configurazione IdC esistente.
+ `glue:DeleteGlueIdentityCenterConfiguration`— Concede il permesso di eliminare una configurazione IdC esistente AWS Glue .
+ `glue:UpdateGlueIdentityCenterConfiguration`— Concede il permesso di aggiornare una configurazione IdC esistente AWS Glue .
+ `sso:CreateApplication`— Concede l'autorizzazione a creare un'applicazione IAM Identity AWS Glue Center gestita.
+ `sso:DescribeApplication`- Concede l'autorizzazione a descrivere un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:DeleteApplication`— Concede l'autorizzazione a eliminare un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:UpdateApplication`— Concede l'autorizzazione ad aggiornare un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:PutApplicationGrant`— Concede l'autorizzazione ad applicare token-exchange, IntrospectToken, RefreshToken e concessioni sull'applicazione iDC. RevokeToken
+ `sso:PutApplicationAuthenticationMethod`— Concede l'autorizzazione a inserire AuthenticationMethod sull'applicazione iDC AWS Glue gestita che consente al responsabile del servizio di interagire con l'applicazione iDC. AWS Glue
+ `sso:PutApplicationAccessScope`— Concede l'autorizzazione ad aggiungere o aggiornare l'elenco degli ambiti di servizio downstream autorizzati sull'applicazione iDC gestita. AWS Glue
+ `sso:DeleteApplicationAccessScope`- Concede l'autorizzazione a eliminare gli ambiti a valle se viene rimosso un ambito per l'applicazione iDC gestita. AWS Glue
+ `sso:PutApplicationAssignmentConfiguration`— Concede l'autorizzazione a impostare l'impostazione «User-assignment-not-required» sull'applicazione iDC.
+ `sso:ListInstances`— Concede il permesso di elencare le istanze e convalidare l'iDC InstanceArn specificato nel parametro. identity-center-configuration
## Connessione con AWS Glue IAM Identity Center
Quando AWS Glue è connesso a IAM Identity Center, crea un'applicazione iDC gestita singleton per account. L'esempio seguente mostra come è possibile connettersi a IAM Identity AWS Glue Center:
```
aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Per aggiornare gli ambiti dell'applicazione gestita (in genere eseguita per propagarsi a più servizi downstream), è possibile utilizzare:
```
aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Il parametro Ambiti è facoltativo e tutti gli ambiti verranno aggiunti se non vengono forniti. I valori supportati sono `s3:access_grants:read_write`, `redshift:connect` e `lakeformation:query`.
Per ottenere i dettagli della configurazione, è possibile usare:
```
aws glue get-glue-identity-center-configuration
```
Puoi eliminare la connessione tra AWS Glue e IAM Identity Center utilizzando il seguente comando:
```
aws glue delete-glue-identity-center-configuration
```
**Nota**
AWS Glue crea un'applicazione Identity Center gestita dal servizio nel tuo account che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità ai servizi downstream. AWS Glue l'applicazione Identity Center gestita creata viene condivisa tra tutte le trusted-identity-propagation sessioni dell'account.
**Avviso:** non modificare manualmente le impostazioni sull'applicazione gestita del Centro identità. Qualsiasi modifica potrebbe influire su tutte le sessioni AWS Glue interattive trusted-identity-propagation abilitate nel tuo account.
## Creazione di una sessione AWS Glue interattiva con Trusted Identity Propagation abilitata
Dopo esserti connesso a IAM Identity Center, puoi utilizzare le [credenziali di ruolo AWS Glue con identità avanzata](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) per creare una sessione interattiva. AWS Glue Non è necessario passare parametri aggiuntivi durante la creazione di una sessione 5.0. AWS Glue Poiché AWS Glue è connesso a IAM Identity Center, se viene AWS Glue rilevato identity-enhanced-role-credentials, propagherà automaticamente le informazioni sull'identità ai servizi a valle che vengono richiamati come parte delle istruzioni. Tuttavia, il ruolo di runtime per la sessione deve disporre dell'autorizzazione `sts:SetContext`, come illustrato di seguito.
**Autorizzazioni di ruolo di runtime per propagare l'identità**
Poiché AWS Glue le sessioni sfruttano [le credenziali potenziate dall'identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) per propagare l'identità ai AWS servizi downstream, la policy di fiducia del ruolo di runtime deve disporre di autorizzazioni `sts:SetContext` aggiuntive per consentire la propagazione dell'identità ai servizi downstream (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Per ulteriori informazioni su come creare un ruolo di runtime, consulta [Configurazione di un ruolo di runtime](https://docs.aws.amazon.com/glue/latest/dg/create-service-role.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
Inoltre, il ruolo Runtime richiederebbe le autorizzazioni per i servizi downstream che job-run richiamerebbe per recuperare i dati utilizzando l'identità dell'utente. AWS Fare riferimento ai seguenti link per configurare Amazon S3 Access Grants e Lake Formation:
+ [Usare Lake Formation con AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-lake-formation-fgac.html)
+ [Utilizzo di Amazon S3 Access Grants con AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-s3-access-grants.html)
# Considerazioni e limitazioni per l'integrazione di AWS Glue ETL Trusted Identity Propagation
**Importante**
Per impostazione predefinita, le sessioni non sono private, il che significa che un utente iDC può accedere alla sessione di un altro utente iDC. Puoi usarla [tagOnCreate](https://docs.aws.amazon.com/glue/latest/dg/glue-is-security.html#glue-is-tagoncreate)per rendere private le tue sessioni. Ad esempio, la sessione può essere etichettata con un tag owner e il relativo valore come ID utente IDC e quindi sulla policy, è possibile utilizzare una chiave di condizione globale per [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-identity-store-user-id)eseguire la convalida confrontandola con il tag owner nella politica del principal/runtime ruolo client per tutte le operazioni API di sessione per garantire che un utente iDC non sia in grado di accedere alla sessione di un altro utente IDC.
Considera i seguenti punti quando utilizzi IAM Identity Center Trusted Identity Identity Propagation with Application: AWS Glue
+ La propagazione affidabile dell'identità tramite Identity Center è supportata nella AWS Glue versione 5.0 e versioni successive e solo con sessioni AWS Glue interattive.
+ AWS Glue il catalogo dati è coperto dall'integrazione del centro di identità di Lake Formation.
+ Trusted Identity Propagation è limitata alle sessioni interattive in AWS Glue, ad esclusione di altre entità di elaborazione dati come job, trigger, flussi di lavoro e attività di machine learning. Tutte AWS Glue APIs, tuttavia, registrano le identità degli utenti per il controllo. AWS CloudTrail
+ AWS Glue attualmente supporta l'integrazione con IAM Identity Center esclusivamente tramite interfacce API e CLI, non tramite la console.
+ Una volta abilitata un'applicazione sul AWS Glue lato, assicurati di creare 5.0 sessioni con credenziali iDC ma non creare una sessione 4.0 con credenziali iDC.
+ Trusted Identity Propagation con AWS Glue è supportato nelle seguenti regioni: AWS
+ Africa (Città del Capo) – af-south-1
+ Asia Pacifico (Hong Kong) – ap-east-1
+ Asia Pacifico (Tokyo) – ap-northeast-1
+ Asia Pacifico (Seoul) – ap-northeast-2
+ Asia Pacifico (Osaka) – ap-northeast-3
+ Asia Pacifico (Mumbai) – ap-south-1
+ Asia Pacifico (Singapore) – ap-southeast-1
+ Asia Pacifico (Sydney) – ap-southeast-2
+ Asia Pacifico (Giacarta) – ap-southeast-3
+ Canada (Centrale) – ca-central-1
+ Europa (Francoforte) – eu-central-1
+ Europa (Stoccolma) – eu-nord-1
+ Europa (Milano) – eu-south-1
+ Europa (Irlanda) – eu-west-1
+ Europa (Londra) – eu-west-2
+ Europa (Parigi) – eu-ovest-3
+ Medio Oriente (Bahrein) – me-south-1
+ Sud America (San Paolo) – sa-east-1
+ Stati Uniti orientali (Virginia settentrionale) – us-est-1
+ Stati Uniti orientali (Ohio) – us-est-2
+ Stati Uniti occidentali (California settentrionale) – us-west-1
+ Stati Uniti occidentali (Oregon) – us-west-2
# Sessioni utente in background per AWS Glue ETL
Le sessioni utente in background consentono ai carichi di lavoro di analisi e machine learning di lunga durata di continuare anche dopo che l'utente si è disconnesso dall'interfaccia del notebook. Questa funzionalità è implementata tramite la funzionalità affidabile AWS Glue di propagazione delle identità. La pagina seguente spiega le opzioni e i comportamenti di configurazione per le sessioni in background degli utenti.
**Nota**
Le sessioni utente in background si applicano alle sessioni AWS Glue interattive avviate tramite interfacce di notebook come SageMaker Unified Studio. L'attivazione o la disabilitazione di questa funzionalità ha effetto solo sulle nuove sessioni interattive; le sessioni attive esistenti non ne risentono.
## Configura le sessioni utente in background
Le sessioni utente in background devono essere abilitate a due livelli per una corretta funzionalità:
1. Livello di istanza IAM Identity Center (configurato dagli amministratori iDC)
1. AWS Glue Livello di configurazione di Identity Center (configurato dagli amministratori AWS Glue )
### Abilita le sessioni utente in background per AWS Glue
Per abilitare le sessioni utente in background per AWS Glue, è necessario impostare il `userBackgroundSessionsEnabled` parametro su `true` nella configurazione di Identity Center durante la creazione o l'aggiornamento della configurazione.
Prerequisiti
+ Il ruolo IAM utilizzato per create/update la configurazione di AWS Glue Identity Center deve disporre dell'`sso:PutApplicationSessionConfiguration`autorizzazione. Questa autorizzazione consente di AWS Glue abilitare le sessioni utente in background a livello AWS Glue di applicazione iDC gestita.
+ Le sessioni AWS Glue interattive devono utilizzare la AWS Glue versione 5.0 o successiva e devono essere abilitate la Trusted Identity Propagation.
Per abilitare le sessioni utente in background utilizzando: AWS CLI
```
aws glue create-glue-identity-center-configuration \
--instance-arn "arn:aws:sso:::instance/ssoins-1234567890abcdef" \
--user-background-sessions-enabled
```
Per aggiornare una configurazione esistente:
```
aws glue update-glue-identity-center-configuration \
--user-background-sessions-enabled
```
#### Matrice di configurazione
L'effettiva configurazione della sessione utente in background dipende sia dall'impostazione di AWS Glue configurazione che dalle impostazioni a livello di istanza di IAM Identity Center:
| IAM Identity Center è abilitato? userBackgroundSession | AWS Glue userBackgroundSessionsAbilitato | Comportamento |
| --- | --- | --- |
| Sì | TRUE | Sessioni utente in background abilitate |
| Sì | FALSE | La sessione scade con il logout dell'utente |
| No | TRUE | La creazione della sessione fallisce con Exception |
| No | FALSE | La sessione scade con il logout dell'utente |
## Durata predefinita della sessione in background dell’utente
Per impostazione predefinita, tutte le sessioni utente in background hanno un limite di durata di 7 giorni in IAM Identity Center. Gli amministratori possono modificare questa durata nella console del Centro identità IAM. Questa impostazione si applica a livello di istanza IAM Identity Center e interessa tutte le applicazioni IAM Identity Center supportate all'interno di quell'istanza.
+ La durata può essere impostata su qualsiasi valore, da 15 minuti a 90 giorni
+ Questa impostazione è configurata nella console IAM Identity Center in Impostazioni → Autenticazione → Configura (sezione Lavori non interattivi)
**Nota**
AWS Glue per impostazione predefinita, le sessioni interattive hanno un limite di timeout di inattività separato di 48 ore. Le sessioni termineranno quando viene raggiunto il timeout di inattività della AWS Glue sessione o la durata della sessione in background dell'utente, a seconda dell'evento che si verifica per primo.
## Impatto della disabilitazione delle sessioni utente in background
Quando le sessioni utente in background sono disabilitate a livello di AWS Glue configurazione:
+ **Sessioni interattive esistenti:** continuano a funzionare senza interruzioni se sono state avviate con le sessioni utente in background abilitate. Queste sessioni continueranno a utilizzare i token di sessione in background esistenti fino a quando non termineranno naturalmente o non verranno interrotte esplicitamente.
+ **Nuove sessioni interattive:** utilizzeranno il flusso standard di propagazione delle identità affidabili e termineranno quando l'utente si disconnette o scade la sessione interattiva (ad esempio quando chiude un notebook Unified Studio). SageMaker JupyterLab
### Modifica della durata delle sessioni utente in background
Quando l'impostazione della durata per le sessioni utente in background viene modificata in IAM Identity Center:
+ **Sessioni interattive esistenti:** continua a funzionare con la stessa durata della sessione in background con cui sono state avviate
+ **Nuove sessioni interattive:** utilizzerà la nuova durata della sessione per le sessioni in background
## Considerazioni sul runtime
### Condizioni di terminazione della sessione
Quando si utilizzano sessioni utente in background, una sessione AWS Glue interattiva continuerà a funzionare fino a quando non si verifica una delle seguenti condizioni:
+ La sessione utente in background scade (in base alla configurazione iDC, fino a 90 giorni)
+ La sessione in background dell’utente viene revocata manualmente da un amministratore.
+ La sessione AWS Glue interattiva raggiunge il timeout di inattività (impostazione predefinita: 48 ore dopo l'ultima istruzione eseguita)
+ L'utente arresta o riavvia in modo esplicito il kernel del notebook
### Persistenza dei dati
Quando si utilizzano sessioni utente in background:
+ Gli utenti non possono riconnettersi all'interfaccia del notebook per visualizzare i risultati dopo essersi disconnessi
+ Configura le istruzioni Spark per scrivere i risultati sullo storage persistente (come Amazon S3) prima del completamento dell'esecuzione
### Implicazioni sui costi
+ I lavori continueranno a essere eseguiti fino al completamento anche dopo che gli utenti avranno terminato la JupyterLab sessione di SageMaker Unified Studio e verranno addebitati costi per l'intera durata dell'esecuzione completata
+ Monitora le sessioni attive in background per evitare costi inutili derivanti da sessioni dimenticate o abbandonate
### Disponibilità delle funzionalità
Le sessioni utente in background AWS Glue sono disponibili per:
+ AWS Glue solo sessioni interattive (i AWS Glue lavori e i lavori di streaming non sono supportati)
+ AWS Glue versione 5.0 e successive
+ Solo configurazioni abilitate per Trusted Identity Propagation