Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Propagazione attendibile delle identità
Con le versioni 7.8.0 e successive di Amazon EMR, puoi propagare le identità utente da AWS IAM Identity Center a carichi di lavoro interattivi con EMR Serverless tramite Apache Livy Endpoint. I carichi di lavoro interattivi Apache Livy propagheranno ulteriormente l'identità fornita a servizi downstream come Amazon S3, Lake Formation e Amazon Redshift, abilitando l'accesso sicuro ai dati tramite l'identità utente in questi downstream. Le sezioni seguenti forniscono una panoramica concettuale, i prerequisiti e i passaggi necessari per avviare e propagare l'identità ai carichi di lavoro interattivi con EMR Serverless tramite Apache Livy Endpoint.
## Panoramica di
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) è l'approccio consigliato per l'autenticazione e l'autorizzazione della forza lavoro AWS per organizzazioni di qualsiasi dimensione e tipo. Con Identity Center, puoi creare e gestire identità utente o connettere la tua fonte di identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace e Microsoft Entra ID (precedentemente Azure AD). AWS
[La propagazione affidabile delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) è una funzionalità di AWS IAM Identity Center che gli amministratori dei AWS servizi connessi possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L’accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori dei AWS servizi connessi e gli amministratori di IAM Identity Center. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) nella Guida per l'utente di *IAM Identity* Center.
## Funzionalità e vantaggi
L'integrazione EMR Serverless Apache Livy Endpoint con la propagazione dell'[identità affidabile](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) di IAM Identity Center offre i seguenti vantaggi:
+ La possibilità di applicare l'autorizzazione a livello di tabella con le identità di Identity Center sulle tabelle del catalogo dati AWS Glue gestite da Lake AWS Formation.
+ La capacità di applicare l'autorizzazione con le identità del Centro identità sui cluster Amazon Redshift.
+ Consente il monitoraggio completo delle azioni degli utenti per il controllo.
+ La capacità di applicare l'autorizzazione a livello di prefisso di Amazon S3 con le identità del Centro identità sui prefissi S3 gestiti da S3 Access Grants.
## Come funziona
![\[Diagramma di flusso EMR Serverless.\]](http://docs.aws.amazon.com/it_it/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
### Esempio di caso d’uso
#### Preparazione dei dati e ingegneria delle caratteristiche
Gli scienziati dei dati di diversi team di ricerca collaborano su progetti complessi utilizzando una piattaforma di dati unificata. Accedono all' SageMaker AI utilizzando le proprie credenziali aziendali, ottenendo immediatamente l'accesso a un vasto data lake condiviso che comprende diversi account. AWS Man mano che iniziano a progettare nuove funzionalità per nuovi modelli di apprendimento automatico, le sessioni Spark lanciate tramite EMR Serverless applicano le politiche di sicurezza a livello di colonna e riga di Lake Formation in base alle loro identità propagate. Gli scienziati possono preparare in modo efficiente i dati e progettare le funzionalità utilizzando strumenti familiari, mentre i team addetti alla conformità hanno la certezza che ogni interazione con i dati venga tracciata e verificata automaticamente. Questo ambiente sicuro e collaborativo accelera le pipeline di ricerca mantenendo al contempo i rigorosi standard di protezione dei dati richiesti nei settori regolamentati.
# Guida introduttiva a Trusted-Identity Propagation
[Questa sezione consente di configurare l'applicazione EMR-serverless con Apache Livy Endpoint per l'integrazione con AWS IAM Identity Center e abilitare la propagazione delle identità affidabili.](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
## Prerequisiti
+ Un'istanza di Identity Center nella AWS regione in cui si desidera creare un endpoint EMR Serverless Apache Livy abilitato alla propagazione dell'identità affidabile. Un'istanza di Identity Center può esistere solo in una singola regione per un AWS account. Consulta [Abilita IAM Identity Center e [Fornisci utenti e gruppi dalla tua fonte](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) a IAM Identity Center.
+ Abilita la propagazione dell'identità affidabile per servizi downstream come Lake Formation o S3 Access Grants o il cluster Amazon Redshift con cui il carico di lavoro interattivo interagisce per accedere ai dati.
## Autorizzazioni per creare un'applicazione EMR Serverless abilitata alla propagazione di identità affidabili
Oltre alle [autorizzazioni di base necessarie per accedere a EMR](setting-up.html#setting-up-iam) Serverless, è necessario configurare autorizzazioni aggiuntive per l'identità o il ruolo IAM utilizzati per creare un'applicazione EMR Serverless abilitata alla propagazione delle identità affidabili. Per la propagazione di identità affidabili, EMR Serverless è un'applicazione Identity Center gestita da creates/bootstraps un unico servizio nell'account che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità a valle.
```
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance`— Concede l'autorizzazione a descrivere e convalidare l'IAM Identity Center InstanceARN specificato nel parametro. identity-center-configuration
+ `sso:CreateApplication`— Concede l'autorizzazione a creare un'applicazione IAM Identity Center gestita senza server EMR che viene utilizzata per le azioni. trusted-identity-propatgion
+ `sso:DeleteApplication`— concede l'autorizzazione a pulire un'applicazione IAM Identity Center gestita da EMR Serverless
+ `sso:PutApplicationAuthenticationMethod`— Concede l'autorizzazione a inserire AuthenticationMethod sull'applicazione IAM Identity Center gestita senza server EMR che consente al service principal di emr-serverless di interagire con l'applicazione IAM Identity Center.
+ `sso:PutApplicationAssignmentConfiguration`— Concede l'autorizzazione a impostare l'impostazione «U» sull'applicazione IAM Identity Center. ser-assignment-not-required
+ `sso:PutApplicationGrant`— Concede l'autorizzazione ad applicare le concessioni token-exchange, IntrospectToken, RefreshToken e revokeToken su un'applicazione IAM Identity Center.
+ `sso:PutApplicationAccessScope`— Concede l'autorizzazione ad applicare l'ambito downstream abilitato alla propagazione dell'identità affidabile all'applicazione IAM Identity Center. Applichiamo gli ambiti «redshift:connect», «lakeformation:query» e «s3:read\$1write» per abilitare questi servizi. trusted-identity-propagation
## Creare un'applicazione EMR Serverless abilitata alla propagazione delle identità affidabili
È necessario specificare il `—identity-center-configuration` campo con `identityCenterInstanceArn` per abilitare la propagazione dell'identità affidabile nell'applicazione. Utilizzare il comando di esempio seguente per creare un'applicazione EMR Serverless con la propagazione delle identità affidabili abilitata.
**Nota**
È inoltre necessario specificare che la propagazione dell'identità affidabile è `--interactive-configuration '{"livyEndpointEnabled":true}'` abilitata solo per Apache Livy Endpoint.
```
aws emr-serverless create-application \
--release-label emr-7.8.0 \
--type "SPARK" \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
--interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration`— (opzionale) Abilita la propagazione dell'identità affidabile di Identity Center, se specificata.
+ `identityCenterInstanceArn`: (obbligatorio) l'ARN dell'istanza del Centro identità.
Se non disponi delle autorizzazioni necessarie per Identity Center (menzionate in precedenza), crea prima l'applicazione EMR Serverless senza propagazione dell'identità affidabile (ad esempio, non `—identity-center-configuration` specificare il parametro) e successivamente chiedi all'amministratore dell'Identity Center di abilitare la propagazione dell'identità affidabile richiamando l'API update-application, vedi l'esempio seguente:
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```
EMR Serverless crea nel tuo account un'applicazione Identity Center gestita dal servizio che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità ai servizi downstream. L'applicazione Identity Center gestita creata da EMR Serverless è condivisa tra tutte le applicazioni trusted-identity-propagation EMR Serverless abilitate presenti nell'account.
**Nota**
Non modificare manualmente le impostazioni sull'applicazione Identity Center gestita. Qualsiasi modifica potrebbe influire su tutte le applicazioni EMR Serverless trusted-identity-propagation abilitate nel tuo account.
## Autorizzazioni Job Execution Role per propagare l'identità
Poiché EMR-Serverless sfrutta job-execution-role le credenziali potenziate dall'identità per propagare l'identità ai servizi downstream AWS , la policy di fiducia di Job Execution Role deve disporre di autorizzazioni aggiuntive `sts:SetContext` per migliorare le credenziali del ruolo di esecuzione del lavoro con l'identità per consentire il servizio downstream, come S3 access-grant, trusted-identity-propagation Lake Formation o Amazon Redshift. Per ulteriori informazioni su come creare [un ruolo](getting-started.html#gs-runtime-role), consulta Creare un ruolo Job Runtime.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": [ "sts:AssumeRole", "sts:SetContext"]
}
]
}
```
------
Inoltre, JobExecutionRole necessita delle autorizzazioni per i AWS servizi downstream che job-run richiamerebbe per recuperare i dati utilizzando l'identità dell'utente. Fai riferimento ai link seguenti per configurare S3 Access Grant, Lake Formation.
+ [Utilizzo di Lake Formation con EMR Serverless](lake-formation-section.html)
+ [Utilizzo di Amazon S3 Access Grants con EMR Serverless](access-grants.html)
# Trusted Identity Propagation per carichi di lavoro interattivi
I passaggi per propagare l'identità ai carichi di lavoro interattivi tramite un endpoint Apache Livy dipendono dal fatto che gli utenti interagiscano con un ambiente di sviluppo AWS gestito, ad esempio un ambiente Notebook ospitato autonomamente come applicazione Amazon SageMaker AI rivolta al client.
![\[Diagramma di flusso EMR Serverless.\]](http://docs.aws.amazon.com/it_it/emr/latest/EMR-Serverless-UserGuide/images/PEZ-SMAI.png)
## AWS ambiente di sviluppo gestito
La seguente applicazione AWS gestita rivolta ai client supporta la propagazione affidabile delle identità con l'endpoint Apache Livy senza server EMR:
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/ai/)
## Ambiente del notebook ospitato autonomamente e gestito dal cliente
*Per abilitare la propagazione affidabile delle identità per gli utenti di applicazioni sviluppate su misura, consulta [Access AWS services using trusted identity propagation nel Security](https://aws.amazon.com/blogs/security/access-aws-services-programmatically-using-trusted-identity-propagation/) Blog.AWS *
# Sessioni in background degli utenti
Le sessioni utente in background consentono ai flussi di analisi e machine learning di lunga durata di continuare anche dopo che l'utente si è disconnesso dall'interfaccia del notebook. Questa funzionalità è implementata tramite l'integrazione EMR Serverless con la funzionalità di propagazione delle identità affidabile di IAM Identity Center. Questa sezione spiega le opzioni e i comportamenti di configurazione per le sessioni utente in background.
**Nota**
Le sessioni utente in background si applicano ai carichi di lavoro Spark avviati tramite interfacce di notebook come Amazon SageMaker Unified Studio. L'attivazione o la disabilitazione di questa funzionalità ha effetto solo sulle nuove sessioni Livy; le sessioni Livy attive esistenti non ne risentono.
## Configura le sessioni utente in background
Le sessioni utente in background devono essere abilitate a due livelli per una corretta funzionalità:
1. **Livello di istanza IAM Identity Center**, in genere configurato dagli amministratori iDC
1. **Livello di applicazione EMR Serverless**: configurato dagli amministratori delle applicazioni EMR Serverless
### Abilita sessioni utente in background per le applicazioni EMR Serverless
Per abilitare le sessioni utente in background per un'applicazione EMR Serverless, è necessario impostare il `userBackgroundSessionsEnabled` parametro su `true` in `identityCenterConfiguration` durante la creazione o l'aggiornamento di un'applicazione.
**Prerequisiti**
+ Il ruolo IAM utilizzato per create/update l'applicazione EMR Serverless deve disporre dell'autorizzazione. `sso:PutApplicationSessionConfiguration` Questa autorizzazione consente a EMR Serverless di abilitare sessioni utente in background a livello di applicazione iDC gestita da EMR Serverless.
+ L'applicazione EMR Serverless deve utilizzare l'etichetta di rilascio 7.8 o successiva e deve essere abilitata Trusted-Identity Propagation.
**Per abilitare le sessioni utente in background utilizzando il AWS CLI**
```
aws emr-serverless create-application \
--name "my-analytics-app" \
--type "SPARK" \
--release-label "emr-7.8.0" \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
**Per aggiornare un'applicazione esistente:**
```
aws emr-serverless update-application \
--application-id applicationId \
--identity-center-configuration '{"identityCenterInstanceArn": "arn:aws:sso:::instance/ssoins-1234567890abcdef", "userBackgroundSessionsEnabled": true}'
```
### Matrice di configurazione
L'effettiva configurazione della sessione utente in background dipende sia dall'impostazione dell'applicazione EMR Serverless che dalle impostazioni a livello di istanza di IAM Identity Center:
**Matrice di configurazione della sessione utente in background**
| IAM Identity Center userBackgroundSession abilitato | EMR Serverless abilitato userBackgroundSessions | Comportamento |
| --- | --- | --- |
| Sì | TRUE | Sessioni utente in background abilitate |
| Sì | FALSE | La sessione scade con il logout dell'utente |
| No | TRUE | L'applicazione creation/update fallisce con Exception |
| No | FALSE | La sessione scade con il logout dell'utente |
## Durata predefinita della sessione in background dell’utente
Per impostazione predefinita, tutte le sessioni utente in background hanno un limite di durata di 7 giorni in IAM Identity Center. Gli amministratori possono modificare questa durata nella console del Centro identità IAM. Questa impostazione si applica a livello di istanza IAM Identity Center e interessa tutte le applicazioni IAM Identity Center supportate all'interno di quell'istanza.
+ La durata può essere impostata su qualsiasi valore da 15 minuti a 90 giorni.
+ Questa impostazione è configurata nella console IAM Identity Center in **Impostazioni** → **Autenticazione** → **Configura** (sezione Lavori non interattivi)
**Nota**
Le sessioni EMR Serverless Livy hanno un limite di durata massima separato di 24 ore. Le sessioni termineranno quando viene raggiunto il limite della sessione Livy o la durata della sessione in background dell'utente, a seconda dell'evento che si verifica per primo.
## Impatto della disabilitazione delle sessioni utente in background
Quando le sessioni utente in background sono disabilitate in IAM Identity Center:
Sessioni Livy esistenti
Continuano a funzionare senza interruzioni se sono state avviate con le sessioni utente in background abilitate. Queste sessioni continueranno a utilizzare i token di sessione in background esistenti fino a quando non termineranno naturalmente o non verranno interrotte esplicitamente.
Nuove sessioni Livy
Utilizzerà il flusso di propagazione delle identità affidabili standard e terminerà quando l'utente si disconnette o scade la sessione interattiva (ad esempio quando chiude un notebook Amazon SageMaker Unified Studio). JupyterLab
## Modifica della durata delle sessioni in background degli utenti
Quando l'impostazione della durata per le sessioni utente in background viene modificata in IAM Identity Center:
Sessioni Livy esistenti
Continuate a funzionare con la stessa durata della sessione in background con cui sono state avviate.
Nuove sessioni Livy
Utilizzerà la nuova durata della sessione per le sessioni in background.
## Considerazioni
### Condizioni di cessazione della sessione
Quando si utilizzano sessioni utente in background, una sessione Livy continuerà a funzionare fino a quando non si verifica una delle seguenti condizioni:
+ La sessione utente in background scade (in base alla configurazione iDC, fino a 90 giorni)
+ La sessione in background dell’utente viene revocata manualmente da un amministratore.
+ La sessione Livy raggiunge il timeout di inattività (impostazione predefinita: 1 ora dopo l'ultima istruzione eseguita)
+ La sessione Livy raggiunge la sua durata massima (24 ore)
+ L'utente interrompe o riavvia esplicitamente il kernel del notebook
### Persistenza dei dati
Quando si utilizzano sessioni utente in background:
+ Gli utenti non possono riconnettersi all'interfaccia del notebook per visualizzare i risultati dopo essersi disconnessi
+ Configura le istruzioni Spark per scrivere i risultati sullo storage persistente (come Amazon S3) prima del completamento dell'esecuzione
### Implicazioni sui costi
+ I lavori continueranno a essere eseguiti fino al completamento anche dopo che gli utenti avranno terminato la JupyterLab sessione di Amazon SageMaker Unified Studio e verranno addebitati costi per l'intera durata dell'esecuzione completata.
+ Monitora le sessioni attive in background per evitare costi inutili derivanti da sessioni dimenticate o abbandonate.
### Disponibilità delle funzionalità
Le sessioni utente in background per EMR Serverless sono disponibili per:
+ Solo motore Spark (il motore Hive non è supportato)
+ Solo sessioni interattive Livy (i lavori in batch e i lavori in streaming non sono supportati)
+ Etichette di rilascio EMR Serverless 7.8 e successive
# Considerazioni sull'integrazione EMR Serverless Trusted-Identity-Propagation
Considera quanto segue quando utilizzi IAM Identity Center Trusted-Identity-Propagation con l'applicazione EMR Serverless:
+ La propagazione affidabile delle identità tramite Identity Center è supportata su Amazon EMR 7.8.0 e versioni successive e solo con Apache Spark.
+ Trusted Identity Propagation può essere utilizzata solo per [carichi di lavoro interattivi con EMR Serverless tramite](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/interactive-workloads-livy-endpoints.html) un endpoint Apache Livy. I carichi di lavoro interattivi tramite EMR Studio non supportano la propagazione delle identità affidabili
+ I job in batch e i carichi di lavoro di streaming non supportano la propagazione delle identità affidabili
+ I controlli di accesso granulari che utilizzano AWS Lake Formation che utilizzano Trusted Identity Propagation sono disponibili per [carichi di lavoro interattivi con EMR](interactive-workloads-livy-endpoints.html) Serverless tramite un endpoint Apache Livy.
+ La propagazione affidabile delle identità con Amazon EMR è supportata nelle seguenti AWS regioni:
+ Africa (Città del Capo) – af-south-1
+ Asia Pacifico (Hong Kong) – ap-east-1
+ Asia Pacifico (Tokyo) – ap-northeast-1
+ Asia Pacifico (Seoul) – ap-northeast-2
+ Asia Pacifico (Osaka) – ap-northeast-3
+ Asia Pacifico (Mumbai) – ap-south-1
+ Asia Pacifico (Singapore) – ap-southeast-1
+ Asia Pacifico (Sydney) – ap-southeast-2
+ Asia Pacifico (Giacarta) – ap-southeast-3
+ Canada (Centrale) – ca-central-1
+ ca-west-1 — Canada (Calgary)
+ Europa (Francoforte) – eu-central-1
+ Europa (Stoccolma) – eu-nord-1
+ Europa (Milano) – eu-south-1
+ eu-south-2 — Europa (Spagna)
+ Europa (Irlanda) – eu-west-1
+ Europa (Londra) – eu-west-2
+ Europa (Parigi) – eu-ovest-3
+ me-central-1 — Medio Oriente (EAU)
+ Medio Oriente (Bahrein) – me-south-1
+ Sud America (San Paolo) – sa-east-1
+ Stati Uniti orientali (Virginia settentrionale) – us-est-1
+ Stati Uniti orientali (Ohio) – us-est-2
+ Stati Uniti occidentali (California settentrionale) – us-west-1
+ Stati Uniti occidentali (Oregon) – us-west-2