As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Propagação de identidades confiáveis
Com as versões 7.8.0 e superiores do Amazon EMR, você pode propagar identidades de usuários do AWS IAM Identity Center para cargas de trabalho interativas com o EMR Serverless por meio do Apache Livy Endpoint. As workloads interativas do Apache Livy propagarão ainda mais a identidade fornecida para serviços downstream, como Amazon S3, Lake Formation e Amazon Redshift, permitindo o acesso seguro aos dados por meio da identidade do usuário nesses serviços. As seções a seguir fornecem uma visão geral conceitual, os pré-requisitos e as etapas necessárias para iniciar e propagar a identidade para workloads interativas com o EMR Sem Servidor por meio do Endpoint Apache Livy.
## Visão geral do
O [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) é a abordagem recomendada para autenticação e autorização da força de trabalho em AWS organizações de qualquer tamanho e tipo. Com o Identity Center, crie e gerencie identidades de usuários ou conecte sua fonte de identidade existente, incluindo Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace e Microsoft Entra ID (antigo Azure AD). AWS
A [propagação confiável de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) é um recurso AWS do IAM Identity Center que os administradores de AWS serviços conectados podem usar para conceder e auditar o acesso aos dados do serviço. O acesso a esses dados é baseado em atributos do usuário, como associações de grupo. Configurar a propagação de identidade confiável requer colaboração entre os administradores dos AWS serviços conectados e os administradores do IAM Identity Center. Para obter mais informações, consulte [Pré-requisitos e considerações](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html), no *Guia do usuário do Centro de Identidade do IAM*.
## Recursos e benefícios
A integração do Endpoint Apache Livy do EMR Sem Servidor com a [Propagação de identidade confiável](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) do Centro de Identidade do IAM oferece os seguintes benefícios:
+ A capacidade de impor a autorização em nível de tabela com identidades do Identity Center nas tabelas do catálogo de dados AWS Glue gerenciado pela Lake AWS Formation.
+ A capacidade de aplicar a autorização com identidades do Centro de Identidade em clusters do Amazon Redshift.
+ Permite o rastreamento ponta a ponta das ações do usuário para fins de auditoria.
+ A capacidade de aplicar a autorização no nível de prefixo do Amazon S3 com as identidades do Centro de Identidade em prefixos do S3 gerenciados pelo S3 Access Grants.
## Como funciona
![\[Fluxograma do EMR Sem Servidor.\]](http://docs.aws.amazon.com/pt_br/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### Exemplos de casos de uso
#### Preparação de dados e engenharia de atributos
Cientistas de dados de várias equipes de pesquisa colaboram em projetos complexos usando uma plataforma de dados unificada. Eles se conectam à SageMaker IA usando suas credenciais corporativas, obtendo acesso imediato a um vasto lago de dados compartilhado que abrange várias AWS contas. À medida que iniciam a engenharia de atributos para novos modelos de machine learning, as sessões do Spark lançadas por meio do EMR Sem Servidor reforçam as políticas de segurança em nível de coluna e linha do Lake Formation com base em suas identidades propagadas. Os cientistas podem preparar dados de forma eficiente e criar recursos usando ferramentas familiares, enquanto as equipes de conformidade têm a garantia de que cada interação de dados será automaticamente rastreada e auditada. Esse ambiente seguro e colaborativo acelera os pipelines de pesquisa enquanto mantém os rígidos padrões de proteção de dados exigidos em setores regulamentados.
# Introdução à propagação de identidade confiável
[Esta seção ajuda você a configurar o aplicativo EMR-Serverless com o Apache Livy Endpoint para integrar-se ao AWS IAM Identity Center e permitir a propagação confiável de identidades.](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
## Pré-requisitos
+ Uma instância do Identity Center na AWS região em que você deseja criar uma propagação de identidade confiável habilitada para EMR Serverless Apache Livy Endpoint. Uma instância do Identity Center só pode existir em uma única região para uma AWS conta. Consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) e [provisione os usuários e grupos da sua fonte de identidades no IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) Center.
+ Habilite a propagação de identidade confiável para serviços downstream, como Lake Formation, Conceção de acesso do S3 ou cluster do Amazon Redshift, com os quais a carga de trabalho interativa interage para acessar dados.
## Permissões para criar o aplicativo EMR Serverless habilitado para propagação de identidade confiável
Além das [permissões básicas necessárias para acessar o EMR Sem Servidor](setting-up.html#setting-up-iam), você deve configurar permissões adicionais para sua identidade ou perfil do IAM usado para criar uma aplicação do EMR Sem Servidor habilitada para Propagação de identidade confiável. Para propagação de identidade confiável, o EMR creates/bootstraps Serverless é um aplicativo de centro de identidade gerenciado por um único serviço em sua conta, que o serviço utiliza para validação de identidade e propagação de identidade para downstream.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance`— Concede permissão para descrever e validar o IAM Identity Center InstanceARN que você especifica no parâmetro. identity-center-configuration
+ `sso:CreateApplication`— Concede permissão para criar um aplicativo IAM Identity Center gerenciado pelo EMR Serverless, que é usado para ações. trusted-identity-propatgion
+ `sso:DeleteApplication`: concede permissão para limpar uma aplicação do Centro de Identidade do IAM gerenciada pelo EMR Sem Servidor
+ `sso:PutApplicationAuthenticationMethod`: concede permissão para colocar o método de autenticação na aplicação do Centro de Identidade do IAM gerenciada pelo EMR Sem Servidor, que permite que a entidade de serviço emr-serverless interaja com a aplicação do Centro de Identidade do IAM.
+ `sso:PutApplicationAssignmentConfiguration`— Concede permissão para definir a configuração ser-assignment-not-required “U” no aplicativo IAM Identity Center.
+ `sso:PutApplicationGrant`: Concede permissão para aplicar concessões de troca de token, introspectToken, refreshToken e revokeToken em uma aplicação do Centro de Identidade do IAM.
+ `sso:PutApplicationAccessScope`: concede permissão para aplicar o escopo downstream habilitado para propagação de identidade confiável à aplicação do Centro de Identidade do IAM. Aplicamos os escopos “redshift:connect”, “lakeformation:query” e “s3:read\$1write” para habilitar esses serviços. trusted-identity-propagation
## Criar uma aplicação do EMR Sem Servidor habilitada para propagação de identidades confiáveis
Você deve especificar o campo `—identity-center-configuration` com `identityCenterInstanceArn` para permitir a propagação de identidades confiáveis na aplicação. Use o comando de exemplo a seguir para criar uma aplicação do EMR Sem Servidor com a propagação de identidade confiável habilitada.
**nota**
Você também deve especificar `--interactive-configuration '{"livyEndpointEnabled":true}'` porque a propagação de identidades confiáveis está habilitada apenas para o Endpoint Apache Livy.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration`: (opcional) Habilita a propagação de identidade confiável do Centro de Identidade, se especificado.
+ `identityCenterInstanceArn`: (obrigatório) o ARN da instância do Centro de Identidade.
Caso você não tenha as permissões necessárias do Centro de Identidade (mencionadas anteriormente), primeiro crie a aplicação do EMR Sem Servidor sem propagação de identidades confiáveis (por exemplo, não especifique o parâmetro `—identity-center-configuration`) e, posteriormente, solicite ao administrador do Centro de Identidade que habilite a propagação de identidades confiáveis invocando a API update-application. Veja o exemplo abaixo:
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
O EMR Sem Servidor cria uma aplicação do Centro de Identidade gerenciada por serviço na sua conta, que o serviço utiliza para validações de identidade e propagação de identidade para serviços downstream. O aplicativo Identity Center gerenciado criado pelo EMR Serverless é compartilhado entre todos os aplicativos trusted-identity-propagation EMR Serverless habilitados em sua conta.
**nota**
Não modifique manualmente as configurações na aplicação do Centro de Identidade gerenciada. Qualquer alteração pode afetar todos os aplicativos EMR Serverless trusted-identity-propagation habilitados em sua conta.
## Permissões do perfil de execução de trabalho para propagar identidade
Como o EMR-Serverless utiliza job-execution-role credenciais aprimoradas de identidade para propagar a identidade para AWS serviços posteriores, a política de confiança da Job Execution Role deve ter `sts:SetContext` permissão adicional para aprimorar a credencial da função de execução de tarefas com identidade para permitir serviços posteriores, como S3 access-grant trusted-identity-propagation, Lake Formation ou Amazon Redshift. Para saber mais sobre como criar um perfil, consulte [Criar um perfil de runtime de trabalho](getting-started.html#gs-runtime-role).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
Além disso, JobExecutionRole precisa de permissões para AWS serviços posteriores que o job-run invocaria para buscar dados usando a identidade do usuário. Consulte os links abaixo para configurar a Concessão de acesso do S3, Lake Formation.
+ [Usar o Lake Formation com o EMR Sem Servidor](lake-formation-section.html)
+ [Usando as concessões de acesso do Amazon S3 com o EMR Serverless](access-grants.html)
# Propagação de identidade confiável para cargas de trabalho interativas
As etapas para propagar a identidade para cargas de trabalho interativas por meio de um endpoint Apache Livy dependem de seus usuários interagirem com um ambiente de desenvolvimento AWS gerenciado, como seu próprio ambiente de Notebook auto-hospedado como Amazon SageMaker AI aplicativo voltado para o cliente.
![\[Fluxograma do EMR Sem Servidor.\]](http://docs.aws.amazon.com/pt_br/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS ambiente de desenvolvimento gerenciado
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade com o endpoint Apache Livy sem servidor EMR:
+ [ SageMaker Inteligência Artificial da Amazon](https://aws.amazon.com/sagemaker/ai/)
## Ambiente de notebook auto-hospedado e gerenciado pelo cliente
*Para permitir a propagação de identidade confiável para usuários de aplicativos desenvolvidos sob medida, consulte [Acesse os AWS serviços de forma programática usando a propagação de identidade confiável](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) no Blog de Segurança.AWS *
# Sessões de usuário em segundo plano
As sessões em segundo plano do usuário permitem que os fluxos de análise e aprendizado de máquina de longa duração continuem mesmo depois que o usuário se desconecta da interface do notebook. Esse recurso é implementado por meio da integração do EMR Serverless com o recurso confiável de propagação de identidade do IAM Identity Center. Esta seção explica as opções de configuração e os comportamentos das sessões em segundo plano do usuário.
**nota**
As sessões em segundo plano do usuário se aplicam às cargas de trabalho do Spark iniciadas por meio de interfaces de notebook, como o Amazon SageMaker Unified Studio. A ativação ou desativação desse recurso afeta somente as novas sessões do Livy; as sessões ativas existentes do Livy não são afetadas.
## Configurar sessões de usuário em segundo plano
As sessões de usuário em segundo plano devem ser habilitadas em dois níveis para que funcionem adequadamente:
1. **Nível de instância do IAM Identity Center** — normalmente configurado pelos administradores do iDC
1. **Nível do aplicativo EMR Serverless — configurado pelos administradores do aplicativo** EMR Serverless
### Habilite sessões em segundo plano do usuário para aplicativos EMR Serverless
Para habilitar sessões em segundo plano do usuário para um aplicativo EMR Serverless, você deve definir o `userBackgroundSessionsEnabled` parâmetro como `true` in `identityCenterConfiguration` ao criar ou atualizar um aplicativo.
**Pré-requisitos**
+ Sua função do IAM usada create/update no aplicativo EMR Serverless deve ter a permissão. `sso:PutApplicationSessionConfiguration` Essa permissão permite que o EMR Serverless habilite sessões em segundo plano do usuário no nível do aplicativo iDC gerenciado pelo EMR Serverless.
+ Seu aplicativo EMR Serverless deve usar a etiqueta de versão 7.8 ou posterior e ter a Propagação de Identidade Confiável ativada.
**Para habilitar sessões em segundo plano do usuário usando o AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**Para atualizar um aplicativo existente:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### Matriz de configuração
A configuração efetiva da sessão em segundo plano do usuário depende da configuração do aplicativo EMR Serverless e das configurações em nível de instância do IAM Identity Center:
**Matriz de configuração da sessão em segundo plano do usuário**
| Centro de identidade do IAM userBackgroundSession ativado | Habilitado para EMR Serverless userBackgroundSessions | Comportamento |
| --- | --- | --- |
| Sim | TRUE | Sessões de usuário em segundo plano ativadas |
| Sim | FALSE | A sessão expira com o logout do usuário |
| Não | TRUE | O aplicativo creation/update falha com exceção |
| Não | FALSE | A sessão expira com o logout do usuário |
## Duração padrão das sessões de usuários em segundo plano
Por padrão, todas as sessões de usuário em segundo plano têm um limite de duração de 7 dias no Centro de Identidade do IAM. Os administradores podem modificar essa duração no console do Centro de Identidade do IAM. Essa configuração se aplica no nível da instância do Centro de Identidade do IAM, afetando todos os aplicativos do Centro de Identidade do IAM compatíveis nessa instância.
+ A duração pode ser definida para qualquer valor, de 15 minutos a 90 dias.
+ Essa configuração é definida no console do IAM Identity Center em **Configurações** → **Autenticação** → **Configurar** (seção Trabalhos não interativos)
**nota**
As sessões do EMR Serverless Livy têm um limite de duração máxima separado de 24 horas. As sessões serão encerradas quando o limite da sessão do Livy ou a duração da sessão em segundo plano do usuário forem atingidos, o que ocorrer primeiro.
## Impacto de desativar as sessões de usuário em segundo plano
Quando as sessões em segundo plano do usuário são desativadas no IAM Identity Center:
Sessões existentes do Livy
Continue a ser executado sem interrupção se eles tiverem sido iniciados com as sessões em segundo plano do usuário ativadas. Essas sessões continuarão usando seus tokens de sessão em segundo plano existentes até que terminem naturalmente ou sejam explicitamente interrompidas.
Novas sessões de Livy
Usará o fluxo padrão de propagação de identidade confiável e será encerrado quando o usuário se desconectar ou sua sessão interativa expirar (como ao fechar um notebook Amazon SageMaker Unified Studio JupyterLab ).
## Alterando a duração das sessões de usuário em segundo plano
Quando a configuração de duração das sessões de usuário em segundo plano é modificada no Centro de Identidade do IAM:
Sessões existentes do Livy
Continue executando com a mesma duração da sessão em segundo plano com a qual eles foram iniciados.
Novas sessões de Livy
Usará a nova duração da sessão para sessões em segundo plano.
## Considerações
### Condições de encerramento da sessão
Ao usar sessões em segundo plano do usuário, uma sessão do Livy continuará em execução até que uma das seguintes situações ocorra:
+ A sessão em segundo plano do usuário expira (com base na configuração do iDC, em até 90 dias)
+ A sessão de usuário em segundo plano for revogada manualmente por um administrador.
+ A sessão do Livy atinge seu tempo limite de inatividade (padrão: 1 hora após a última instrução executada)
+ A sessão Livy atinge sua duração máxima (24 horas)
+ O usuário interrompe ou reinicia explicitamente o kernel do notebook
### Persistência de dados
Ao usar sessões de usuário em segundo plano:
+ Os usuários não podem se reconectar à interface do notebook para visualizar os resultados depois de se desconectarem
+ Configure suas instruções do Spark para gravar os resultados no armazenamento persistente (como o Amazon S3) antes que a execução seja concluída
### Implicações de custo
+ Os trabalhos continuarão sendo executados até a conclusão mesmo depois que os usuários encerrarem a JupyterLab sessão do Amazon SageMaker Unified Studio e incorrerão em cobranças por toda a duração da execução concluída.
+ Monitore suas sessões ativas em segundo plano para evitar custos desnecessários de sessões esquecidas ou abandonadas.
### Disponibilidade de recursos
As sessões em segundo plano do usuário do EMR Serverless estão disponíveis para:
+ Somente motor Spark (o motor Hive não é suportado)
+ Somente sessões interativas do Livy (trabalhos em lote e trabalhos de streaming não são suportados)
+ Etiquetas de lançamento do EMR Serverless 7.8 e versões posteriores
# Considerações sobre a integração sem servidor do Trusted-Identity-Propagation EMR
Considere o seguinte ao usar o IAM Identity Center Trusted-Identity-Propagation com o aplicativo EMR Serverless:
+ A propagação de identidade confiável por meio do Centro de Identidade é compatível com o Amazon EMR 7.8.0 e versões superiores, somente com o Apache Spark.
+ A Propagação de identidades confiáveis apenas pode ser usada para workloads interativas com o EMR Sem Servidor por meio de um endpoint Apache Livy. Workflows de trabalho interativas por meio do EMR Studio não oferecem suporte ao Propagação de identidades confiáveis
+ Os trabalhos em lote e as cargas de trabalho de streaming não oferecem suporte à propagação confiável de identidade
+ Controles de acesso refinados usando o AWS Lake Formation que usam o Trusted Identity Propagation estão disponíveis para [cargas de trabalho interativas com o EMR Serverless](interactive-workloads-livy-endpoints.html) por meio de um endpoint Apache Livy.
+ A propagação de identidade confiável com o Amazon EMR é suportada nas seguintes AWS regiões:
+ af-south-1: África (Cidade do Cabo)
+ ap-east-1: Ásia-Pacífico (Hong Kong)
+ ap-northeast-1 – Ásia-Pacífico (Tóquio)
+ ap-northeast-2: Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Osaka): ap-northeast-3
+ ap-south-1: Ásia-Pacífico (Mumbai)
+ ap-southeast: Ásia-Pacífico (Singapura)
+ ap-southeast-2: Ásia-Pacífico (Sydney)
+ ap-southeast-3: Ásia-Pacífico (Jacarta)
+ ca-central-1: Canadá (Central)
+ ca-west-1: Canadá (Calgary)
+ eu-central-1 – Europa (Frankfurt)
+ eu-north-1: Europa (Estocolmo)
+ eu-south-1: Europa (Milão)
+ eu-south-2: Europa (Espanha)
+ eu-west-1 – Europa (Irlanda)
+ eu-west-2: Europa (Londres)
+ eu-west-3: Europa (Paris)
+ me-central-1: Oriente Médio (Emiratos Árabes Unidos)
+ me-south-1: Oriente Médio (Bahrein)
+ sa-east-1: América do Sul (São Paulo)
+ us-east-1 – Leste dos EUA (Norte da Virgínia)
+ us-east-2 – Leste dos EUA (Ohio)
+ us-west-1: Oeste dos EUA (Norte da Califórnia)
+ us-west-2 – Oeste dos EUA (Oregon)