기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 신뢰할 수 있는 ID 전파
Amazon EMR 릴리스 7.8.0 이상을 사용하면 Apache Livy 엔드포인트를 통해 EMR Serverless를 사용하여 AWS IAM Identity Center에서 대화형 워크로드로 사용자 ID를 전파할 수 있습니다. Apache Livy 대화형 워크로드는 제공된 ID를 Amazon S3, Lake Formation 및 Amazon Redshift와 같은 다운스트림 서비스로 추가로 전파하여, 이러한 다운스트림 환경에서 사용자 ID를 통한 안전한 데이터 접근을 가능하게 합니다. 다음 섹션에서는 EMR Serverless를 사용하여 Apache Livy 엔드포인트를 통해 대화형 방식 워크로드를 시작하고 전파하는 데 필요한 개념 개요, 사전 조건 및 단계를 제공합니다.
## 개요
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)는 모든 크기 및 유형의 조직에 대한의 인력 인증 및 권한 부여 AWS 에 권장되는 접근 방식입니다. Identity Center를 사용하여에서 사용자 자격 증명을 생성 및 관리하거나 Microsoft Active Directory, Okta AWS, Ping Identity, JumpCloud, Google Workspace 및 Microsoft Entra ID(이전 Azure AD)를 포함한 기존 자격 증명 소스를 연결합니다.
[신뢰할 수 있는 자격 증명 전파](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)는 연결된 AWS 서비스의 관리자가 서비스 데이터에 대한 액세스 권한을 부여하고 감사하는 데 사용할 수 있는 AWS IAM Identity Center 기능입니다. 이 데이터에 대한 액세스는 그룹 연결과 같은 사용자 속성을 기반으로 합니다. 신뢰할 수 있는 자격 증명 전파를 설정하려면 연결된 AWS 서비스의 관리자와 IAM Identity Center 관리자 간의 협업이 필요합니다. 자세한 내용은 *IAM Identity Center 사용 설명서*의 [사전 조건 및 고려 사항](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)을 참조하세요.
## 기능 및 이점
EMR 서버리스 Apache Livy 엔드포인트와 IAM Identity Center [신뢰할 수 있는 자격 증명 전파의 통합](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)은 다음과 같은 이점을 제공합니다.
+ AWS Lake Formation 관리형 AWS Glue 데이터 카탈로그 테이블에서 Identity Center ID로 테이블 수준 권한 부여를 적용하는 기능입니다.
+ Amazon Redshift 클러스터에서 Identity Center ID로 권한 부여를 적용할 수 있습니다.
+ 감사를 위해 사용자 작업의 엔드 투 엔드 추적이 가능합니다.
+ S3 Access Grants 관리 S3 접두사에 대해 Identity Center 자격 증명을 사용하여 Amazon S3 접두사 수준 인증을 적용하는 기능입니다.
## 작동 방식
![\[EMR Serverless 순서도.\]](http://docs.aws.amazon.com/ko_kr/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### 사용 사례 예제
#### 데이터 준비 및 특성 엔지니어링
여러 연구 팀의 데이터 과학자는 통합 데이터 플랫폼을 사용하여 복잡한 프로젝트에서 협업합니다. 회사 자격 증명을 사용하여 SageMaker AI에 로그인하여 여러 AWS 계정에 걸쳐 있는 방대한 공유 데이터 레이크에 즉시 액세스할 수 있습니다. 새로운 기계 학습 모델에 대한 특성 엔지니어링을 시작하면 EMR Serverless를 통해 시작된 Spark 세션은 전파된 ID를 기반으로 Lake Formation의 열 및 행 수준 보안 정책을 적용합니다. 과학자는 익숙한 도구를 사용하여 데이터를 효율적으로 준비하고 특성을 엔지니어링할 수 있으며, 규정 준수 팀은 모든 데이터 상호 작용이 자동으로 추적 및 감사되도록 보장합니다. 이 안전한 협업 환경은 규제가 적용되는 산업에 필요한 엄격한 데이터 보호 표준을 유지하면서 연구 파이프라인을 가속화합니다.
# Trusted-Identity 전파 시작하기
이 섹션에서는 AWS IAM Identity Center와 통합하고 [신뢰할 수 있는 ID 전파를 활성화하도록 Apache Livy 엔드포인트를 사용하여 EMR-Serverless 애플리케이션을 구성하는 데 도움이 됩니다](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
## 사전 조건
+ 신뢰할 수 있는 자격 증명 전파를 생성하려는 AWS 리전의 Identity Center 인스턴스는 EMR Serverless Apache Livy 엔드포인트를 활성화했습니다. Identity Center 인스턴스는 AWS 계정의 단일 리전에만 존재할 수 있습니다. [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) 및 ID [소스에서 IAM Identity Center로 사용자 및 그룹 프로비저닝을 참조하세요](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ 대화형 워크로드가 상호 작용하여 데이터에 액세스하는 Lake Formation, S3 Access Grants 또는 Amazon Redshift 클러스터 등의 다운스트림 서비스에 대해 신뢰할 수 있는 자격 증명 전파를 활성화합니다.
## 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성할 수 있는 권한
[EMR Serverless에 액세스하는 데 필요한 기본 권한](setting-up.html#setting-up-iam) 외에도 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 만드는 데 사용되는 IAM ID 또는 역할에 대한 추가 권한을 구성해야 합니다. 신뢰할 수 있는 자격 증명 전파를 위해 EMR Serverless는 계정에서 단일 서비스 관리형 Identity Center 애플리케이션을 생성/부트스트랩하며, 이 서비스는 자격 증명 유효성 검사 및 다운스트림으로의 자격 증명 전파를 위해 활용합니다.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance` - identity-center-configuration 파라미터에 지정한 IAM Identity Center instanceArn을 설명하고 유효성을 검사할 수 있는 권한을 부여합니다.
+ `sso:CreateApplication` - trusted-identity-propatgion 작업에 사용되는 EMR Serverless 관리형 IAM Identity Center 애플리케이션을 생성할 수 있는 권한을 부여합니다.
+ `sso:DeleteApplication` - EMR Serverless 관리형 IAM Identity Center 애플리케이션을 정리할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAuthenticationMethod` - emr-serverless 서비스 보안 주체가 IAM Identity Center 애플리케이션과 상호 작용할 수 있도록 EMR Serverless 관리형 IAM Identity Center 애플리케이션에 authenticationMethod를 배치할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAssignmentConfiguration` - IAM Identity Center 애플리케이션에서 “User-assignment-not-required”를 설정할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationGrant` - IAM Identity Center 애플리케이션에 token-exchange, introspectToken, refreshToken 및 revokeToken 권한을 적용할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAccessScope` - 신뢰할 수 있는 자격 증명 전파가 활성화된 다운스트림 범위를 IAM Identity Center 애플리케이션에 적용할 수 있는 권한을 부여합니다. 당사는 "redshift:connect", "lakeformation:query" 및 "s3:read\$1write" 범위를 적용하여 이러한 서비스에 대한 trusted-identity-propagation을 활성화합니다.
## 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션 생성
애플리케이션에서 신뢰할 수 있는 자격 증명 전파를 사용하려면 `—identity-center-configuration` 필드에 `identityCenterInstanceArn`을 지정해야 합니다. 다음 예시 명령을 사용하여 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성합니다.
**참고**
또한 Apache Livy 엔드포인트에 대해서만 신뢰할 수 있는 자격 증명 전파가 활성화되도록 `--interactive-configuration '{"livyEndpointEnabled":true}'`를 지정합니다.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration` – (선택 사항) 지정된 경우 Identity Center가 신뢰할 수 있는 자격 증명 전파를 활성화합니다.
+ `identityCenterInstanceArn` – (필수) Identity Center 인스턴스 ARN입니다.
필요한 Identity Center 권한(이전에 언급됨)이 없는 경우 먼저 신뢰할 수 있는 자격 증명 전파 없이 EMR Serverless 애플리케이션을 생성하고(예: `—identity-center-configuration` 파라미터를 지정하지 않음) 나중에 Identity Center 관리자에게 update-application API를 호출하여 신뢰할 수 있는 자격 증명 전파를 활성화하도록 요청합니다. 아래 예제를 참조하세요.
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR Serverless는 사용자 계정에 서비스 관리형 Identity Center 애플리케이션을 생성하여 자격 증명 및 다운스트림 서비스로의 자격 증명 전파에 활용합니다. EMR Serverless에서 생성한 관리형 Identity Center 애플리케이션은 사용자 계정의 신뢰할 수 trusted-identity-propagation가 활성화된 모든 EMR Serverless 애플리케이션에서 공유됩니다.
**참고**
관리형 Identity Center 애플리케이션의 설정을 수동으로 수정하지 마세요. 변경 사항은 계정의 모든 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션에 영향을 미칠 수 있습니다.
## 자격 증명 전파를 위한 작업 실행 역할 권한
EMR-Serverless는 자격 증명 강화 job-execution-role 자격 증명을 활용하여 다운스트림 AWS 서비스에 자격 증명을 전파하므로 작업 실행 역할의 신뢰 정책은 S3 액세스 권한 부여, Lake Formation 또는 Amazon Redshift와 같은 다운스트림 서비스에 trusted-identity-propagation를 허용하도록 자격 증명으로 작업 실행 역할 자격 증명을 `sts:SetContext` 향상시킬 수 있는 추가 권한이 있어야 합니다. 역할을 생성하는 방법에 대한 자세한 내용은 [작업 런타임 역할 생성](getting-started.html#gs-runtime-role)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
또한 JobExecutionRole에는 사용자 자격 증명을 사용하여 데이터를 가져오기 위해 작업 실행이 호출하는 다운스트림 AWS 서비스에 대한 권한이 필요합니다. S3 Access Grant, Lake Formation을 구성하려면 아래 링크를 참조하세요.
+ [EMR Serverless와 함께 Lake Formation 사용](lake-formation-section.html)
+ [EMR Serverless에서 Amazon S3 Access Grants 사용](access-grants.html)
# 대화형 워크로드에 대한 신뢰할 수 있는 자격 증명 전파
Apache Livy 엔드포인트를 통해 대화형 워크로드에 자격 증명을 전파하는 단계는 사용자가와 AWS 같은 관리형 개발 환경과 상호 작용하는지 Amazon SageMaker AI 아니면 자체 호스팅 노트북 환경을 클라이언트용 애플리케이션으로 상호 작용하는지에 따라 달라집니다.
![\[EMR Serverless 순서도.\]](http://docs.aws.amazon.com/ko_kr/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS 관리형 개발 환경
다음 AWS 관리형 클라이언트 연결 애플리케이션은 EMR-Serverless Apache Livy 엔드포인트를 통한 신뢰할 수 있는 ID 전파를 지원합니다.
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## 고객 관리형 자체 호스팅 노트북 환경
사용자 지정 개발 애플리케이션의 사용자에 대해 신뢰할 수 있는 자격 증명 전파를 활성화하려면 *AWS 보안 블로그*의 신뢰할 수 [있는 자격 증명 전파를 사용하여 프로그래밍 방식으로 AWS 서비스에 액세스를](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) 참조하세요.
# 사용자 백그라운드 세션
사용자 백그라운드 세션을 사용하면 사용자가 노트북 인터페이스에서 로그오프한 후에도 장기 실행 분석 및 기계 학습 흐름을 계속할 수 있습니다. 이 기능은 EMR Serverless와 IAM Identity Center의 신뢰할 수 있는 자격 증명 전파 기능을 통합하여 구현됩니다. 이 섹션에서는 사용자 백그라운드 세션의 구성 옵션 및 동작을 설명합니다.
**참고**
사용자 백그라운드 세션은 Amazon SageMaker Unified Studio와 같은 노트북 인터페이스를 통해 시작된 Spark 워크로드에 적용됩니다. 이 기능을 활성화하거나 비활성화하면 새 Livy 세션에만 영향을 미치고 기존 활성 Livy 세션은 영향을 받지 않습니다.
## 사용자 백그라운드 세션 구성
적절하게 작동하려면 두 가지 수준에서 사용자 백그라운드 세션을 활성화해야 합니다.
1. **IAM Identity Center 인스턴스 수준** - 일반적으로 IdC 관리자가 구성
1. **EMR Serverless 애플리케이션 수준** - EMR Serverless 애플리케이션 관리자가 구성
### EMR Serverless 애플리케이션에 대한 사용자 백그라운드 세션 활성화
EMR Serverless 애플리케이션에 대한 사용자 백그라운드 세션을 활성화하려면 애플리케이션을 생성하거나 업데이트할 `identityCenterConfiguration` 때 `true`에서 `userBackgroundSessionsEnabled` 파라미터를 로 설정해야 합니다.
**사전 조건**
+ EMR Serverless 애플리케이션을 생성/업데이트하는 데 사용되는 IAM 역할에 `sso:PutApplicationSessionConfiguration` 권한이 있어야 합니다. 이 권한을 통해 EMR Serverless는 EMR Serverless 관리형 IdC 애플리케이션 수준에서 사용자 백그라운드 세션을 활성화할 수 있습니다.
+ EMR Serverless 애플리케이션은 릴리스 레이블 7.8 이상을 사용해야 하며 Trusted-Identity Propagation이 활성화되어 있어야 합니다.
**를 사용하여 사용자 백그라운드 세션을 활성화하려면 AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**기존 애플리케이션을 업데이트하려면:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### 구성 매트릭스
효과적인 사용자 백그라운드 세션 구성은 EMR Serverless 애플리케이션 설정과 IAM Identity Center 인스턴스 수준 설정 모두에 따라 달라집니다.
**사용자 배경 세션 구성 매트릭스**
| IAM Identity Center userBackgroundSession 활성화 | EMR Serverless userBackgroundSessionsEnabled | 동작 |
| --- | --- | --- |
| 예 | TRUE | 사용자 백그라운드 세션 활성화됨 |
| 예 | FALSE | 사용자가 로그아웃하고 세션 만료됨 |
| 아니요 | TRUE | 예외와 함께 애플리케이션 생성/업데이트 실패 |
| 아니요 | FALSE | 사용자가 로그아웃하고 세션 만료됨 |
## 기본 사용자 백그라운드 세션 기간
기본적으로 IAM Identity Center에서 모든 사용자 백그라운드 세션의 기간 한도는 7일입니다. 관리자는 IAM Identity Center 콘솔에서 이 기간을 수정할 수 있습니다. 이 설정은 IAM Identity Center 인스턴스 수준에서 적용되며 해당 인스턴스 내에서 지원되는 모든 IAM Identity Center 애플리케이션에 영향을 미칩니다.
+ 기간은 15분에서 최대 90일까지 임의의 값으로 설정할 수 있습니다.
+ 이 설정은 IAM Identity Center 콘솔의 **설정** → **인증** → **구성**(비대화형 작업 섹션)에서 구성됩니다.
**참고**
EMR Serverless Livy 세션의 최대 기간 제한은 24시간입니다. 세션은 Livy 세션 제한 또는 사용자 백그라운드 세션 기간 중 먼저 도달하는 시점에 종료됩니다.
## 사용자 백그라운드 세션 비활성화가 미치는 영향
IAM Identity Center에서 사용자 백그라운드 세션이 비활성화된 경우:
기존 Livy 세션
사용자 백그라운드 세션이 활성화된 상태로 시작된 경우 중단 없이 계속 실행합니다. 이러한 세션은 자연스럽게 종료되거나 명시적으로 중지될 때까지 계속해서 기존 백그라운드 세션 토큰을 사용합니다.
새 Livy 세션
는 신뢰할 수 있는 표준 자격 증명 전파 흐름을 사용하며 사용자가 로그아웃하거나 대화형 세션이 만료될 때(예: Amazon SageMaker Unified Studio JupyterLab 노트북을 닫을 때) 종료됩니다.
## 사용자 백그라운드 세션 기간 변경
IAM Identity Center에서 사용자 백그라운드 세션의 기간 설정이 수정된 경우:
기존 Livy 세션
시작된 것과 동일한 백그라운드 세션 기간으로 계속 실행합니다.
새 Livy 세션
백그라운드 세션에 새 세션 기간을 사용합니다.
## 고려 사항
### 세션 종료 조건
사용자 백그라운드 세션을 사용하는 경우 Livy 세션은 다음 중 하나가 발생할 때까지 계속 실행됩니다.
+ 사용자 백그라운드 세션 만료(IdC 구성 기준, 최대 90일)
+ 관리자가 사용자 백그라운드 세션을 수동으로 취소
+ Livy 세션이 유휴 제한 시간에 도달함(기본값: 마지막으로 실행된 문 후 1시간)
+ Livy 세션이 최대 지속 시간(24시간)에 도달함
+ 사용자가 노트북 커널을 명시적으로 중지하거나 재시작
### 데이터 지속성
사용자 백그라운드 세션을 사용하는 경우:
+ 사용자는 로그아웃 이후 결과를 보기 위해 노트북 인터페이스에 다시 연결할 수 없음
+ 실행이 완료되기 전에 영구 스토리지(예: Amazon S3)에 결과를 기록하도록 Spark 명령문 구성
### 비용 영향
+ 사용자가 Amazon SageMaker Unified Studio JupyterLab 세션을 종료한 후에도 작업은 계속 실행되며 전체 실행 기간 동안 요금이 발생합니다.
+ 활성 백그라운드 세션을 모니터링하여 잊어버리거나 중단된 세션으로 인한 불필요한 비용을 방지합니다.
### 기능 가용성
EMR Serverless의 사용자 백그라운드 세션은 다음에 사용할 수 있습니다.
+ Spark 엔진만 해당(Hive 엔진은 지원되지 않음)
+ 대화형 세션만 리비(배치 작업 및 스트리밍 작업은 지원되지 않음)
+ EMR Serverless 릴리스 레이블 7.8 이상
# EMR Serverless Trusted-Identity-Propagation 통합 고려 사항
EMR Serverelss 애플리케이션에서 IAM Identity Center Trusted-Identity-Propagation을 사용할 때는 다음 사항을 고려하세요.
+ Identity Center를 통한 신뢰할 수 있는 자격 증명 전파는 Amazon EMR 7.8.0 이상에서 지원되며 Apache Spark에서만 지원됩니다.
+ 신뢰할 수 있는 자격 증명 전파는 [Apache Livy 엔드포인트를 통해 EMR Serverless를 사용하는 대화형 방식 워크로드](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html)에만 사용할 수 있습니다. EMR Studio를 통한 대화형 방식 워크로드는 신뢰할 수 있는 자격 증명 전파를 지원하지 않습니다.
+ 배치 작업 및 스트리밍 워크로드는 신뢰할 수 있는 자격 증명 전파를 지원하지 않습니다.
+ 신뢰할 수 있는 ID 전파를 사용하는 AWS Lake Formation을 사용하는 세분화된 액세스 제어는 [Apache Livy 엔드포인트를 통해 EMR Serverless를 사용하는 대화형 워크로드](interactive-workloads-livy-endpoints.html)에 사용할 수 있습니다.
+ Amazon EMR을 사용한 신뢰할 수 있는 자격 증명 전파는 다음 AWS 리전에서 지원됩니다.
+ af-south-1 – 아프리카(케이프타운)
+ ap-east-1 – 아시아 태평양(홍콩)
+ ap-northeast-1 – 아시아 태평양 (도쿄)
+ ap-northeast-2 - 아시아 태평양(서울)
+ ap-northeast-3 – 아시아 태평양(오사카)
+ ap-south-1 - 미국 서부(캘리포니아 북부)
+ ap-southeast-1 – 아시아 태평양(싱가포르)
+ ap-southeast-2 – 아시아 태평양(시드니)
+ ap-southeast-3 – 아시아 태평양(자카르타)
+ ca-central-1 - 캐나다(중부)
+ ca-west-1 – 캐나다(캘거리)
+ eu-central-1 – EU(프랑크푸르트)
+ eu-north-1 - 유럽(스톡홀름)
+ eu-south-1 – 유럽(밀라노)
+ eu-south-2 – 유럽(스페인)
+ eu-west-1 – EU(아일랜드)
+ eu-west-2 - 유럽(런던)
+ eu-west-3 - 유럽(파리)
+ me-central-1 – 중동(UAE)
+ me-south-1 – 중동(바레인)
+ sa-east-1 - 남아메리카(상파울루)
+ us-east-1 – 미국 동부(버지니아 북부)
+ us-east-2 – 미국 동부(오하이오)
+ us-west-1 - 미국 서부(캘리포니아 북부)
+ us-west-2 – 미국 서부(오리건)