기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Trusted-Identity 전파 시작하기
<a name="security-iam-service-trusted-prop-getting-started"></a>

이 섹션에서는 Apache Livy 엔드포인트를 사용하여 EMR-Serverless 애플리케이션을 구성하여 AWS IAM Identity Center와 통합하고 [신뢰할 수 있는 ID 전파를](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) 활성화하는 데 도움이 됩니다.

## 사전 조건
<a name="security-iam-service-trusted-prop-prereqs"></a>
+ 신뢰할 수 있는 자격 증명 전파를 생성하려는 AWS 리전의 Identity Center 인스턴스는 EMR Serverless Apache Livy 엔드포인트를 활성화합니다. Identity Center 인스턴스는 AWS 계정의 단일 리전에만 존재할 수 있습니다. [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) 및 ID [소스에서 IAM Identity Center로 사용자 및 그룹 프로비저닝을 참조하세요](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ 대화형 워크로드가 상호 작용하여 데이터에 액세스하는 Lake Formation, S3 Access Grants 또는 Amazon Redshift 클러스터 등의 다운스트림 서비스에 대해 신뢰할 수 있는 자격 증명 전파를 활성화합니다.

## 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성할 수 있는 권한
<a name="security-iam-service-trusted-prop-emrs-application"></a>

[EMR Serverless에 액세스하는 데 필요한 기본 권한](setting-up.html#setting-up-iam) 외에도 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 만드는 데 사용되는 IAM ID 또는 역할에 대한 추가 권한을 구성해야 합니다. 신뢰할 수 있는 자격 증명 전파를 위해 EMR Serverless는 계정에서 단일 서비스 관리형 Identity Center 애플리케이션을 생성/부트스트랩하며, 이 서비스는 자격 증명 유효성 검사 및 다운스트림으로의 자격 증명 전파를 위해 활용합니다.

```
"sso:DescribeInstance",
"sso:CreateApplication", 
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",  
"sso:PutApplicationGrant", 
"sso:PutApplicationAccessScope"
```
+ `sso:DescribeInstance` - identity-center-configuration 파라미터에 지정한 IAM Identity Center instanceArn을 설명하고 유효성을 검사할 수 있는 권한을 부여합니다.
+ `sso:CreateApplication` - trusted-identity-propatgion 작업에 사용되는 EMR Serverless 관리형 IAM Identity Center 애플리케이션을 생성할 수 있는 권한을 부여합니다.
+ `sso:DeleteApplication` - EMR Serverless 관리형 IAM Identity Center 애플리케이션을 정리할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAuthenticationMethod` - emr-serverless 서비스 보안 주체가 IAM Identity Center 애플리케이션과 상호 작용할 수 있도록 EMR Serverless 관리형 IAM Identity Center 애플리케이션에 authenticationMethod를 배치할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAssignmentConfiguration` - IAM Identity Center 애플리케이션에서 “User-assignment-not-required”를 설정할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationGrant` - IAM Identity Center 애플리케이션에 token-exchange, introspectToken, refreshToken 및 revokeToken 권한을 적용할 수 있는 권한을 부여합니다.
+ `sso:PutApplicationAccessScope` - 신뢰할 수 있는 자격 증명 전파가 활성화된 다운스트림 범위를 IAM Identity Center 애플리케이션에 적용할 수 있는 권한을 부여합니다. 당사는 "redshift:connect", "lakeformation:query" 및 "s3:read\_write" 범위를 적용하여 이러한 서비스에 대한 trusted-identity-propagation을 활성화합니다.

## 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션 생성
<a name="security-iam-service-trusted-prop-create-emrs-app"></a>

애플리케이션에서 신뢰할 수 있는 자격 증명 전파를 사용하려면 `—identity-center-configuration` 필드에 `identityCenterInstanceArn`을 지정해야 합니다. 다음 예시 명령을 사용하여 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성합니다.

**참고**  
또한 Apache Livy 엔드포인트에 대해서만 신뢰할 수 있는 자격 증명 전파가 활성화되도록 `--interactive-configuration '{"livyEndpointEnabled":true}'`를 지정합니다.

```
aws emr-serverless create-application \
  --release-label emr-7.8.0 \
  --type "SPARK" \
  --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
  --interactive-configuration '{"livyEndpointEnabled":true}'
```
+ `identity-center-configuration` – (선택 사항) 지정된 경우 Identity Center가 신뢰할 수 있는 자격 증명 전파를 활성화합니다.
+ `identityCenterInstanceArn` – (필수) Identity Center 인스턴스 ARN입니다.

필요한 Identity Center 권한(이전에 언급됨)이 없는 경우 먼저 신뢰할 수 있는 자격 증명 전파 없이 EMR Serverless 애플리케이션을 생성하고(예: `—identity-center-configuration` 파라미터를 지정하지 않음) 나중에 Identity Center 관리자에게 update-application API를 호출하여 신뢰할 수 있는 자격 증명 전파를 활성화하도록 요청합니다. 아래 예제를 참조하세요.

```
aws emr-serverless update-application \
  --application-id {{applicationId}} \
  --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
```

EMR Serverless는 사용자 계정에 서비스 관리형 Identity Center 애플리케이션을 생성하여 자격 증명 및 다운스트림 서비스로의 자격 증명 전파에 활용합니다. EMR Serverless에서 생성한 관리형 Identity Center 애플리케이션은 사용자 계정의 신뢰할 수 trusted-identity-propagation가 활성화된 모든 EMR Serverless 애플리케이션에서 공유됩니다.

**참고**  
관리형 Identity Center 애플리케이션의 설정을 수동으로 수정하지 마세요. 변경 사항은 계정의 모든 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션에 영향을 미칠 수 있습니다.

## 자격 증명 전파를 위한 작업 실행 역할 권한
<a name="security-iam-service-trusted-prop-job-execution-role-permissions"></a>

EMR-Serverless는 자격 증명 강화 job-execution-role 자격 증명을 활용하여 다운스트림 AWS 서비스에 자격 증명을 전파하므로 작업 실행 역할의 신뢰 정책은 S3 액세스 권한 부여, Lake Formation 또는 Amazon Redshift와 같은 다운스트림 서비스에 trusted-identity-propagation를 허용하도록 자격 증명으로 작업 실행 역할 자격 증명을 `sts:SetContext` 향상시킬 수 있는 추가 권한이 있어야 합니다. 역할을 생성하는 방법에 대한 자세한 내용은 [작업 런타임 역할 생성](getting-started.html#gs-runtime-role)을 참조하세요.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
     {
     "Effect": "Allow",
     "Principal": {
     "Service": "emr-serverless.amazonaws.com"
     },
     "Action": [ "sts:AssumeRole", "sts:SetContext"]
     }
  ]
}
```

------

또한 JobExecutionRole에는 사용자 자격 증명을 사용하여 데이터를 가져오기 위해 작업 실행이 호출하는 다운스트림 AWS 서비스에 대한 권한이 필요합니다. S3 Access Grant, Lake Formation을 구성하려면 아래 링크를 참조하세요.
+ [EMR Serverless와 함께 Lake Formation 사용](lake-formation-section.html)
+ [EMR Serverless에서 Amazon S3 Access Grants 사용](access-grants.html)