翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 信頼できる ID の伝播
Amazon EMR リリース 7.8.0 以降では、Apache Livy Endpoint を介して EMR Serverless を使用して AWS 、IAM Identity Center からインタラクティブなワークロードにユーザー ID を伝達できます。Apache Livy インタラクティブワークロードは、提供された ID をさらに Amazon S3、Lake Formation、Amazon Redshift などのダウンストリームサービスに伝播し、これらのダウンストリームでユーザー ID を介した安全なデータアクセスを可能にします。以下のセクションでは、Apache Livy Endpoint を介して EMR Serverless で ID を起動してインタラクティブワークロードに伝達するために必要な概念的な概要、前提条件、および手順について説明します。
## 概要:
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) は、あらゆる規模とタイプの組織に でのワークフォース認証と認可 AWS に推奨されるアプローチです。Identity Center では、 でユーザー ID を作成および管理するか AWS、Microsoft Active Directory、Okta、Ping Identity、JumpCloud、Google Workspace、Microsoft Entra ID (旧 Azure AD) などの既存の ID ソースを接続します。
[信頼できる ID の伝播](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)は、接続された AWS サービスの管理者がサービスデータへのアクセスを許可および監査するために使用できる AWS IAM アイデンティティセンターの機能です。このデータへのアクセスは、グループの関連付けなどのユーザー属性に基づいています。信頼できる ID の伝播を設定するには、接続された AWS サービスの管理者と IAM Identity Center 管理者間のコラボレーションが必要です。詳細については、「*IAM Identity Center ユーザーガイド*」の「[Prerequisites and considerations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)」を参照してください。
## 機能と利点
EMR Serverless Apache Livy Endpoint と IAM Identity Center の統合による[信頼された ID の伝播](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)には、次の利点があります。
+ AWS Lake Formation マネージド Glue データカタログテーブルで Identity Center ID AWS を使用してテーブルレベルの認可を強制する機能。
+ Amazon Redshift クラスターでアイデンティセンター ID による認可を適用する能力。
+ 監査用のユーザーアクションのエンドツーエンドの追跡の有効化。
+ S3 Access Grants が管理する S3 プレフィックスの Identity Center ID を使用して Amazon S3 プレフィックスレベルの認可を執行できます。
## 仕組み
![\[EMR Serverless フローチャート。\]](http://docs.aws.amazon.com/ja_jp/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### ユースケースの例
#### データの準備と特徴量エンジニアリング
複数の研究チームのデータサイエンティストが、統合されたデータプラットフォームを使用して複雑なプロジェクトで共同作業を行います。会社の認証情報を使用して SageMaker AI にログインし、複数の AWS アカウントにまたがる膨大な共有データレイクにすぐにアクセスできます。新しい機械学習モデルの特徴量エンジニアリングを開始することにより、EMR Serverless を通じて起動された Spark セッションは、伝播された ID に基づいて Lake Formation の列および行レベルのセキュリティポリシーを適用します。サイエンティストは使い慣れたツールを使用してデータやエンジニアリング機能を効率的に準備でき、コンプライアンスチームはすべてのデータインタラクションが確実に自動的に追跡および監査される体制が得られます。この安全で協調的な環境は、規制の厳しい業界で必要とされる厳格なデータ保護標準を維持しながら、研究パイプラインを加速します。
# Trusted-Identity の伝播の開始方法
このセクションでは、Apache Livy Endpoint で EMR-Serverless アプリケーションを設定して AWS IAM Identity Center と統合し、[信頼できる ID の伝播](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)を有効にする方法について説明します。
## 前提条件
+ Trusted Identity 伝達が有効な EMR Serverless Apache Livy Endpoint を作成する AWS リージョンの Identity Center インスタンス。Identity Center インスタンスは、 AWS アカウントの 1 つのリージョンにのみ存在できます。[「IAM Identity Center を有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)」および[「ID のソースから IAM Identity Center にユーザーとグループをプロビジョニングする](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)」を参照してください。
+ Lake Formation、S3 Access Grants、Amazon Redshift クラスターなど、インタラクティブなワークロードがデータにアクセスするためにやり取りするダウンストリームサービスに対して、信頼された ID 伝播を有効にします。
## 信頼できる ID の伝播が有効な EMR Serverless Application を作成するアクセス許可
[EMR Serverless へのアクセスに必要な基本的なアクセス許可](setting-up.html#setting-up-iam)に加えて、信頼された ID の伝播が有効な EMR Serverless アプリケーションの作成に使用する IAM ID またはロールに追加のアクセス許可を設定する必要があります。信頼された ID の伝播のために、EMR Serverless は、ID の検証とダウンストリームへの ID の伝播にサービスが活用する 1 つのサービスマネージド Identity Center アプリケーションをアカウントに作成/ブートストラップします。
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance` – インスタンスを説明し、identity-center-configuration パラメータで指定した IAM Identity Center instanceArn を検証するアクセス許可を付与します。
+ `sso:CreateApplication` – trusted-identity-propatgion アクションに使用される EMR Serverless マネージド IAM Identity Center アプリケーションを作成するアクセス許可を付与します。
+ `sso:DeleteApplication` – EMR Serverless のマネージド IAM Identity Center アプリケーションを更新するためのアクセス許可を付与します
+ `sso:PutApplicationAuthenticationMethod` – EMR Serverless マネージド IAM Identity Center アプリケーションに authenticationMethod を配置するアクセス許可を付与し、emr-serverless サービスプリンシパルが IAM Identity Center アプリケーションとやり取りできるようにします。
+ `sso:PutApplicationAssignmentConfiguration` – IAM Identity Center アプリケーションに「User-assignment-not-required」設定を設定するアクセス許可を付与します。
+ `sso:PutApplicationGrant` – IAM Identity Center アプリケーションに token-exchange、introspectToken、refreshToken、revokeToken 許可を適用するアクセス許可を付与します。
+ `sso:PutApplicationAccessScope` – 信頼されたアイデンティティの伝播が有効なダウンストリームスコープを IAM Identity Center アプリケーションに適用するアクセス許可を付与します。「redshift:connect」、「lakeformation:query」、および「s3:read\$1write」スコープを適用して、これらのサービスに trusted-identity-propagation を有効にします。
## 信頼された ID の伝播が有効な EMR Serverless アプリケーションを作成する
アプリケーションで信頼された ID の伝播を有効にする`identityCenterInstanceArn`には、 で `—identity-center-configuration`フィールドを指定する必要があります。次のコマンド例を使用して、信頼された ID の伝播が有効になっている EMR Serverless アプリケーションを作成します。
**注記**
また、Apache Livy エンドポイントでのみ信頼された ID の伝播が有効になっているため、`--interactive-configuration '{"livyEndpointEnabled":true}'` を指定する必要があります。
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration` – (オプション) 指定した場合、Identity Center の信頼された ID の伝播を有効にします。
+ `identityCenterInstanceArn` - (必須) Identify Center インスタンスの ARN。
必要な Identity Center アクセス許可 (前述の) がない場合は、まず信頼された ID の伝播なしで EMR Serverless アプリケーションを作成し (例えば、`—identity-center-configuration` パラメータを指定しない)、後で Identity Center 管理者に update-application API を呼び出して信頼された ID の伝播を有効にするように依頼します。以下の例を参照してください。
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR Serverless は、サービスが ID 検証とダウンストリームサービスへの ID 伝達に活用するサービスマネージド Identity Center アプリケーションをアカウントに作成します。EMR Serverless が作成したマネージド Identity Center アプリケーションは、アカウント内の trusted-identity-propagation が有効なすべての EMR Serverless アプリケーション間で共有されます。
**注記**
マネージドアイデンティセンターアプリケーションの設定を変更しないでください。変更は、アカウントで信頼された ID 伝播が有効なすべての インタラクティブセッションに影響を与える可能性があります。
## ID を伝播するためのジョブ実行ロールのアクセス許可
EMR-Serverless は Identity 拡張の job-execution-role 認証情報を活用して ID をダウンストリーム AWS サービスに伝達するため、ジョブ実行ロールの信頼ポリシーには、ID を使用してジョブ実行ロール認証情報`sts:SetContext`を強化し、S3 access-grant、Lake Formation、Amazon Redshift などのダウンストリームサービスへのtrusted-identity-propagationを許可する追加のアクセス許可が必要です。ロールの作成方法の詳細については、「[Create a job runtime role](getting-started.html#gs-runtime-role)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
さらに、JobExecutionRole には、ジョブ実行がユーザー ID を使用してデータを取得するために呼び出すダウンストリーム AWS サービスのアクセス許可が必要です。S3 Access Grant、Lake Formation を設定するには、以下のリンクを参照してください。
+ [EMR Serverless での Lake Formation の使用](lake-formation-section.html)
+ [EMR Serverless での Amazon S3 Access Grants の使用](access-grants.html)
# インタラクティブワークロードの信頼できる ID の伝播
Apache Livy エンドポイントを介してインタラクティブワークロードにアイデンティティを伝達するステップは、ユーザーが などのマネージド開発環境と AWS やり取りするか Amazon SageMaker AI 、クライアント向けアプリケーションとして独自のセルフホスト型ノートブック環境とやり取りするかによって異なります。
![\[EMR Serverless フローチャート。\]](http://docs.aws.amazon.com/ja_jp/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS マネージド開発環境
次の AWS マネージドクライアント向けアプリケーションは、EMR-Serverless Apache Livy エンドポイントによる信頼できる ID 伝達をサポートしています。
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## カスタマーマネージドセルフホスト型ノートブック環境
カスタム開発アプリケーションのユーザーに対して信頼できる ID 伝達を有効にするには、 *AWS セキュリティブログ*の[「」を参照して、信頼できる ID 伝達を使用してプログラムで AWS サービスにアクセスします](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/)。
# ユーザーバックグラウンドセッション
ユーザーバックグラウンドセッションを使用すると、ユーザーがノートブックインターフェイスからログオフした後でも、長時間実行される分析と機械学習フローを続行できます。この機能は、IAM アイデンティティセンターの信頼できる ID 伝達機能と EMR Serverless の統合を通じて実装されます。このセクションでは、ユーザーバックグラウンドセッションの設定オプションと動作について説明します。
**注記**
ユーザーバックグラウンドセッションは、Amazon SageMaker Unified Studio などのノートブックインターフェイスを介して開始された Spark ワークロードに適用されます。この機能の有効化または無効化は、新しい Livy セッションにのみ影響します。既存のアクティブな Livy セッションには影響しません。
## ユーザーバックグラウンドセッションを設定する
適切に機能させるには、ユーザーバックグラウンドセッションを 2 つのレベルで有効にする必要があります。
1. **IAM Identity Center インスタンスレベル** – 通常、IdC 管理者が設定します
1. **EMR Serverless アプリケーションレベル** – EMR Serverless アプリケーション管理者が設定
### EMR Serverless アプリケーションのユーザーバックグラウンドセッションを有効にする
EMR Serverless アプリケーションのユーザーバックグラウンドセッションを有効にするには、アプリケーションを作成または更新`identityCenterConfiguration`するときに、 `true`で `userBackgroundSessionsEnabled`パラメータを に設定する必要があります。
**前提条件**
+ EMR Serverless アプリケーションの作成/更新に使用される IAM ロールには、 アクセス`sso:PutApplicationSessionConfiguration`許可が必要です。このアクセス許可により、EMR Serverless は EMR Serverless マネージド IdC アプリケーションレベルでユーザーバックグラウンドセッションを有効にすることができます。
+ EMR Serverless アプリケーションはリリースラベル 7.8 以降を使用し、Trusted-Identity Propagation が有効になっている必要があります。
**を使用してユーザー背景セッションを有効にするには AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**既存のアプリケーションを更新するには:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### 設定マトリックス
有効なユーザーバックグラウンドセッション設定は、EMR Serverless アプリケーション設定と IAM Identity Center インスタンスレベルの設定の両方によって異なります。
**ユーザーバックグラウンドセッション設定マトリックス**
| IAM アイデンティティセンター userBackgroundSession 有効 | EMR Serverless userBackgroundSessionsEnabled | 行動 |
| --- | --- | --- |
| はい | TRUE | ユーザーバックグラウンドセッションが有効 |
| はい | FALSE | ユーザーログアウトでセッションの有効期限が切れる |
| なし | TRUE | アプリケーションの作成/更新が例外で失敗する |
| いいえ | FALSE | ユーザーログアウトでセッションの有効期限が切れる |
## デフォルトのユーザーバックグラウンドセッション期間
デフォルトでは、IAM Identity Center のすべてのユーザーバックグラウンドセッションの期間制限は 7 日間です。管理者は、IAM Identity Center コンソールでこの期間を変更できます。この設定は IAM Identity Center インスタンスレベルで適用され、そのインスタンス内でサポートされているすべての IAM Identity Center アプリケーションに影響します。
+ 期間は 15 分から 90 日までの任意の値に設定できます。
+ この設定は、IAM Identity Center コンソール**の設定** → **認証** → ****設定 (非インタラクティブジョブセクション) で設定されます。
**注記**
EMR Serverless Livy セッションの最大期間は 24 時間です。セッションは、Livy セッションの制限またはユーザーバックグラウンドセッション期間のいずれか早い方に達したときに終了します。
## ユーザーのバックグラウンドセッションを無効にした場合の影響
IAM Identity Center でユーザー背景セッションが無効になっている場合:
既存の Livy セッション
ユーザーバックグラウンドセッションを有効にして開始した場合は、中断することなく実行を続行します。これらのセッションは、自然に終了するか明示的に停止されるまで、既存のバックグラウンドセッショントークンを使用し続けます。
新しい Livy セッション
標準の信頼できる ID 伝達フローを使用し、ユーザーがログアウトするか、インタラクティブセッションの有効期限が切れると (Amazon SageMaker Unified Studio JupyterLab ノートブックを閉じる場合など) 終了します。
## ユーザーバックグラウンドセッションの期間の変更
IAM Identity Center でユーザーバックグラウンドセッションの期間設定が変更された場合:
既存の Livy セッション
開始したのと同じバックグラウンドセッション期間で実行を続行します。
新しい Livy セッション
バックグラウンドセッションに新しいセッション期間を使用します。
## 考慮事項
### セッション終了条件
ユーザーバックグラウンドセッションを使用する場合、Livy セッションは次のいずれかが発生するまで実行され続けます。
+ ユーザーバックグラウンドセッションの有効期限が切れる (IdC 設定に基づく、最大 90 日間)
+ ユーザーバックグラウンドセッションが管理者によって手動で取り消される
+ Livy セッションがアイドルタイムアウトに達する (デフォルト: 最後に実行されたステートメントから 1 時間後)
+ Livy セッションが最大期間 (24 時間) に達する
+ ユーザーが、ノートブックカーネルを明示的に停止または再起動する
### データの永続性
ユーザーバックグラウンドセッションを使用する場合:
+ ユーザーはログアウトすると、ノートブックのインターフェースに再接続して結果を表示することはできません
+ 実行が完了する前に結果を永続ストレージ(Amazon S3 など)に書き込むように Spark ステートメントを設定します
### コストへの影響
+ ジョブは、ユーザーが Amazon SageMaker Unified Studio JupyterLab セッションを終了した後も完了まで実行され続け、完了した実行の全期間に対して料金が発生します。
+ アクティブなバックグラウンドセッションをモニタリングして、セッションを忘れたり中止したりする不要なコストを回避します。
### 機能を利用できるリージョン
EMR Serverless のユーザーバックグラウンドセッションは、以下に使用できます。
+ Spark エンジンのみ (Hive エンジンはサポートされていません)
+ Livy インタラクティブセッションのみ (バッチジョブとストリーミングジョブはサポートされていません)
+ EMR Serverless リリースラベル 7.8 以降
# EMR Serverless Trusted-Identity-Propagation 統合に関する考慮事項
EMR Serverelss アプリケーションで IAM Identity Center Trusted-Identity-Propagation を使用する場合は、次の点を考慮してください。
+ Identity Center が提供する信頼された ID 伝達は、Amazon EMR 7.8.0 以上でサポートされており、Apache Spark でのみ動作します。
+ Trusted Identity Propagation は、[Apache Livy エンドポイントを介して EMR Serverless を使用するインタラクティブなワークロード](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html)にのみ使用できます。EMR Studio を介したインタラクティブなワークロードは、信頼された ID の伝播をサポートしていません
+ バッチジョブとストリーミングワークロードは、信頼できる ID の伝播をサポートしていません
+ Trusted Identity Propagation を使用する AWS Lake Formation を使用したきめ細かなアクセスコントロールは、[Apache Livy エンドポイントを介して EMR Serverless を使用するインタラクティブなワークロード](interactive-workloads-livy-endpoints.html)で使用できます。
+ Amazon EMR による信頼できる ID の伝播は、次の AWS リージョンでサポートされています。
+ af-south-1 – アフリカ (ケープタウン)
+ ap-east-1 – アジアパシフィック (香港)
+ ap-northeast-1 – アジアパシフィック (東京)
+ ap-northeast-2 – アジアパシフィック (ソウル)
+ ap-northeast-3 – アジアパシフィック (大阪)
+ ap-south-1 – アジアパシフィック (ムンバイ)
+ ap-southeast-1 – アジアパシフィック (シンガポール)
+ ap-southeast-2 – アジアパシフィック (シドニー)
+ ap-southeast-3 – アジアパシフィック (ジャカルタ)
+ ca-central-1 – カナダ (中部)
+ ca-west-1 – カナダ (カルガリー)
+ eu-central-1 – 欧州 (フランクフルト)
+ eu-north-1 – 欧州 (ストックホルム)
+ eu-south-1 – 欧州 (ミラノ)
+ eu-south-2 - 欧州 (スペイン)
+ eu-west-1 – 欧州 (アイルランド)
+ eu-west-2 – 欧州 (ロンドン)
+ eu-west-3 – 欧州 (パリ)
+ me-central-1 – 中東 (UAE)
+ me-south-1 – 中東 (バーレーン)
+ sa-east-1 – 南米 (サンパウロ)
+ us-east-1 – 米国東部 (バージニア北部)
+ us-east-2 – 米国東部 (オハイオ)
+ us-west-1 – 米国西部 (北カリフォルニア)
+ us-west-2 – 米国西部 (オレゴン)