Uso de EMR Serverless con un control de acceso AWS Lake Formation detallado - Amazon EMR
Información generalFuncionamientoHabilitación de Lake FormationHabilitación de permisos de tiempo de ejecuciónConfiguración de permisos de tiempo de ejecuciónEnvío de la ejecución de un trabajoOperaciones admitidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de EMR Serverless con un control de acceso AWS Lake Formation detallado

Información general

Con Amazon EMR, versión 7.2.0 y versiones posteriores, aproveche AWS Lake Formation para aplicar controles de acceso detallados en las tablas del catálogo de datos respaldadas por S3. Esta capacidad le permite configurar controles de acceso a nivel de tabla, fila, columna y celda para consultas deread dentro de sus trabajos de Spark de Amazon EMR sin servidor. Para configurar un control de acceso detallado para los trabajos por lotes y las sesiones interactivas de Apache Spark, utilice EMR Studio. Consulte las siguientes secciones para obtener más información sobre Lake Formation y cómo usarlo con EMR sin servidor.

El uso de Amazon EMR Serverless AWS Lake Formation conlleva cargos adicionales. Para obtener más información, consulte los precios de Amazon EMR.

Cómo funciona EMR sin servidor con AWS Lake Formation

El uso de EMR sin servidor con Lake Formation le permite implementar una capa de permisos en cada trabajo de Spark para aplicar el control de permisos de Lake Formation cuando EMR sin servidor ejecuta trabajos. EMR sin servidor utiliza los perfiles de recursos de Spark para crear dos perfiles para ejecutar los trabajos de forma eficaz. El perfil de usuario ejecuta el código proporcionado por el usuario, mientras que el perfil del sistema implementa las políticas de Lake Formation. Para obtener más información, consulte Qué es AWS Lake Formation y Consideraciones y limitaciones.

Cuando utilices la capacidad preinicializada con Lake Formation, te sugerimos que tengas un mínimo de dos controladores Spark. Cada trabajo habilitado para Lake Formation utiliza dos controladores Spark, uno para el perfil de usuario y otro para el perfil del sistema. Para obtener el mejor rendimiento, utilice el doble de controladores para los trabajos habilitados para Lake Formation en comparación con si no utiliza Lake Formation.

Cuando ejecute trabajos de Spark en EMR Serverless, también tenga en cuenta el impacto de la asignación dinámica en la administración de recursos y el rendimiento del clúster. La configuración spark.dynamicAllocation.maxExecutors del número máximo de ejecutores por perfil de recurso se aplica a los ejecutores de usuario y del sistema. Si configura ese número para que sea igual al número máximo permitido de ejecutores, es posible que la ejecución del trabajo se bloquee debido a que un tipo de ejecutor utiliza todos los recursos disponibles, lo que impide que el otro ejecutor ejecute los trabajos.

Para no quedarse sin recursos, EMR sin servidor establece el número máximo predeterminado de ejecutores por perfil de recursos en el 90 % del valor spark.dynamicAllocation.maxExecutors. Puede anular esta configuración al especificar spark.dynamicAllocation.maxExecutorsRatio con un valor entre 0 y 1. Además, configure también las siguientes propiedades para optimizar la asignación de recursos y el rendimiento general:

  • spark.dynamicAllocation.cachedExecutorIdleTimeout

  • spark.dynamicAllocation.shuffleTracking.timeout

  • spark.cleaner.periodicGC.interval

A continuación, se ofrece una descripción general de alto nivel sobre cómo EMR sin servidor obtiene acceso a los datos protegidos por las políticas de seguridad de Lake Formation.

Cómo Amazon EMR accede a los datos protegidos por las políticas de seguridad de Lake Formation.

  1. Un usuario envía un trabajo de Spark a una aplicación AWS Lake Formation EMR Serverless habilitada.

  2. EMR sin servidor envía el trabajo a un controlador de usuario y lo ejecuta en el perfil de usuario. El controlador de usuario ejecuta una versión sencilla de Spark que no permite lanzar tareas, solicitar ejecutores ni acceder a S3 ni al catálogo de Glue. Crea un plan de trabajo.

  3. EMR sin servidor configura un segundo controlador denominado controlador del sistema y lo ejecuta en el perfil del sistema (con una identidad privilegiada). EMR sin servidor configura un canal TLS cifrado entre los dos controladores para la comunicación. El controlador de usuario utiliza el canal para enviar los planes de trabajo al controlador del sistema. El controlador del sistema no ejecuta el código enviado por el usuario. Ejecuta Spark a pleno rendimiento y se comunica con S3 y con el catálogo de datos para acceder a los datos. Solicita ejecutores y compila el plan de trabajo en una secuencia de etapas de ejecución.

  4. Luego, EMR sin servidor ejecuta las etapas en los ejecutores con el controlador de usuario o el controlador del sistema. En cualquier etapa, el código de usuario se ejecuta exclusivamente en los ejecutores de perfiles de usuario.

  5. Las etapas que leen los datos de las tablas del catálogo de datos protegidas por filtros de seguridad AWS Lake Formation o las que los aplican se delegan a los ejecutores del sistema.

Habilitación de Lake Formation en Amazon EMR

Para habilitar Lake Formation, spark.emr-serverless.lakeformation.enabled configúrelo true en spark-defaults clasificación inferior para el parámetro de configuración en tiempo de ejecución al crear una aplicación EMR Serverless.

aws emr-serverless create-application \
    --release-label emr-7.10.0 \
    --runtime-configuration '{
     "classification": "spark-defaults", 
     "properties": {
      "spark.emr-serverless.lakeformation.enabled": "true"
      }
    }' \
    --type "SPARK"

También puede habilitar Lake Formation al crear una nueva aplicación en EMR Studio. Elija Uso de Lake Formation para un control de acceso detallado, disponible en Configuraciones adicionales.

El cifrado entre trabajadores está habilitado de forma predeterminada cuando usa Lake Formation con EMR Serverless, por lo que no necesita volver a habilitar explícitamente el cifrado entre trabajadores.

Habilitación de Lake Formation para trabajos de Spark

Para habilitar Lake Formation para trabajos individuales de Spark, establezca spark.emr-serverless.lakeformation.enabled en “verdadero” cuando utilice spark-submit.

--conf spark.emr-serverless.lakeformation.enabled=true

Permisos de IAM del rol de tiempo de ejecución de trabajos

Los permisos de Lake Formation controlan el acceso a los recursos del catálogo de datos de AWS Glue, las ubicaciones de Amazon S3 y los datos subyacentes en esas ubicaciones. Los permisos de la IAM controlan el acceso a Lake Formation and AWS Glue APIs y a los recursos. Aunque es posible que tenga el permiso de Lake Formation para acceder a una tabla del catálogo de datos (SELECT), la operación fallará si no tiene el permiso de IAM en la operativa de la API glue:Get*.

El siguiente es un ejemplo de política sobre cómo proporcionar permisos de IAM para acceder a un script en S3, cargar registros en S3, permisos de la API de Glue de AWS y permiso para acceder a Lake Formation.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ScriptAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::*.amzn-s3-demo-bucket/scripts",
        "arn:aws:s3:::*.amzn-s3-demo-bucket/*"
      ]
    },
    {
      "Sid": "LoggingAccess",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/logs/*"
      ]
    },
    {
      "Sid": "GlueCatalogAccess",
      "Effect": "Allow",
      "Action": [
        "glue:Get*",
        "glue:Create*",
        "glue:Update*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "LakeFormationAccess",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GetDataAccess"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Configuración de permisos de Lake Formation para roles de tiempo de ejecución de trabajos

Primero, registre la ubicación de su tabla de Hive con Lake Formation. A continuación, cree los permisos para el rol de tiempo de ejecución de su trabajo en la tabla que desee. Para obtener más información sobre Lake Formation, consulte ¿Qué es AWS Lake Formation? en la Guía para AWS Lake Formation desarrolladores.

Después de configurar los permisos de Lake Formation, envía los trabajos de Spark a Amazon EMR Serverless. Para obtener más información sobre los trabajos de Spark, consulta los ejemplos de Spark.

Envío de la ejecución de un trabajo

Cuando termine de configurar los permisos de Lake Formation, podrá enviar trabajos a Spark en EMR sin servidor. En la siguiente sección se muestran ejemplos de cómo configurar y enviar las propiedades de ejecución de los trabajos.

Compatibilidad con el formato de tabla abierta

EMR Serverless es compatible con Apache Hive, Apache Iceberg y, a partir de la versión 7.6.0, Delta Lake y Apache Hudi. Para obtener información sobre el soporte operativo, consulte las siguientes pestañas.

Hive
Operaciones Notas
Operaciones de lectura Totalmente compatible
Consultas incrementales No aplicable
Consultas de viaje en el tiempo No es aplicable a este formato de tabla
DML INSERT Solo con permisos de IAM
ACTUALIZACIÓN DE DML No es aplicable a este formato de tabla
DML DELETE No es aplicable a este formato de tabla
Comandos DDL Solo con permisos de IAM
Tabla de metadatos No es aplicable a este formato de tabla
Procedimientos almacenados No aplicable
Características de mantenimiento y utilidad de la tabla No aplicable
Iceberg
Operaciones Notas
Operaciones de lectura Totalmente compatible
Consultas incrementales Totalmente compatible
Consultas de viaje en el tiempo Totalmente compatible
DML INSERT Solo con permisos de IAM
ACTUALIZACIÓN DE DML Solo con permisos de IAM
DML DELETE Solo con permisos de IAM
Comandos DDL Solo con permisos de IAM
Tabla de metadatos Es compatible, pero algunas tablas están ocultas. Consulte las consideraciones y limitaciones para obtener más información.
Procedimientos almacenados Se admite con las excepciones de register_table y migrate. Consulte las consideraciones y limitaciones para obtener más información.
Características de mantenimiento y utilidad de la tabla No aplicable

Configuración de Spark para Iceberg: en el siguiente ejemplo, se muestra cómo configurar Spark con Iceberg. Para ejecutar trabajos de Iceberg, proporciona las siguientes propiedades. spark-submit

--conf spark.sql.catalog.spark_catalog=org.apache.iceberg.spark.SparkSessionCatalog
--conf spark.sql.catalog.spark_catalog.warehouse=<S3_DATA_LOCATION>
--conf spark.sql.catalog.spark_catalog.glue.account-id=<ACCOUNT_ID>
--conf spark.sql.catalog.spark_catalog.client.region=<REGION>
--conf spark.sql.catalog.spark_catalog.glue.endpoint=https://glue.<REGION>.amazonaws.com
Hudi
Operaciones Notas
Operaciones de lectura Totalmente compatible
Consultas incrementales Totalmente compatible
Consultas de viaje en el tiempo Totalmente compatible
DML INSERT Solo con permisos de IAM
ACTUALIZACIÓN DE DML Solo con permisos de IAM
DML DELETE Solo con permisos de IAM
Comandos DDL Solo con permisos de IAM
Tabla de metadatos No compatible
Procedimientos almacenados No aplicable
Características de mantenimiento y utilidad de la tabla No compatible

Los siguientes ejemplos configuran Spark con Hudi y especifican las ubicaciones de los archivos y otras propiedades necesarias para su uso.

Configuración de Spark para Hudi: cuando se usa en un cuaderno, este fragmento especifica la ruta al archivo JAR del paquete de Hudi Spark, que habilita la funcionalidad de Hudi en Spark. También configura Spark para que utilice el catálogo de datos de AWS Glue como metaalmacén.

%%configure -f
{
    "conf": {
        "spark.jars": "/usr/lib/hudi/hudi-spark-bundle.jar",
        "spark.hadoop.hive.metastore.client.factory.class": "com.amazonaws.glue.catalog.metastore.AWSGlueDataCatalogHiveClientFactory",
        "spark.serializer": "org.apache.spark.serializer.JavaSerializer",
        "spark.sql.catalog.spark_catalog": "org.apache.spark.sql.hudi.catalog.HoodieCatalog",
        "spark.sql.extensions": "org.apache.spark.sql.hudi.HoodieSparkSessionExtension"
    }
}

Configuración de Spark para Hudi con AWS Glue: este fragmento, cuando se usa en un cuaderno, habilita a Hudi como un formato de lago de datos compatible y garantiza que las bibliotecas y dependencias de Hudi estén disponibles.

%%configure
{
    "--conf": "spark.serializer=org.apache.spark.serializer.JavaSerializer --conf 
spark.sql.catalog.spark_catalog=org.apache.spark.sql.hudi.catalog.HoodieCatalog --conf 
spark.sql.extensions=org.apache.spark.sql.hudi.HoodieSparkSessionExtension",
    "--datalake-formats": "hudi",
    "--enable-glue-datacatalog": True,
    "--enable-lakeformation-fine-grained-access": "true"
}
Delta Lake
Operaciones Notas
Operaciones de lectura Totalmente compatible
Consultas incrementales Totalmente compatible
Consultas de viaje en el tiempo Totalmente compatible
DML INSERT Solo con permisos de IAM
ACTUALIZACIÓN DE DML Solo con permisos de IAM
DML DELETE Solo con permisos de IAM
Comandos DDL Solo con permisos de IAM
Tabla de metadatos No compatible
Procedimientos almacenados No aplicable
Características de mantenimiento y utilidades de tablas No compatible

EMR Serverless con Delta Lake: Para usar Delta Lake with Lake Formation en EMR Serverless, ejecute el siguiente comando:

spark-sql \
  --conf spark.sql.extensions=io.delta.sql.DeltaSparkSessionExtension,com.amazonaws.emr.recordserver.connector.spark.sql.RecordServerSQLExtension \
  --conf spark.sql.catalog.spark_catalog=org.apache.spark.sql.delta.catalog.DeltaCatalog \