As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Introdução à propagação de identidade confiável
Pré-requisitos
Uma instância do Identity Center na AWS região em que você deseja criar uma propagação de identidade confiável habilitada para EMR Serverless Apache Livy Endpoint. Uma instância do Identity Center só pode existir em uma única região para uma AWS conta. Consulte Habilitar o IAM Identity Center e provisione os usuários e grupos da sua fonte de identidades no IAM Identity Center.
Habilite a propagação de identidade confiável para serviços downstream, como Lake Formation, Conceção de acesso do S3 ou cluster do Amazon Redshift, com os quais a carga de trabalho interativa interage para acessar dados.
Permissões para criar o aplicativo EMR Serverless habilitado para propagação de identidade confiável
Além das permissões básicas necessárias para acessar o EMR Sem Servidor, você deve configurar permissões adicionais para sua identidade ou perfil do IAM usado para criar uma aplicação do EMR Sem Servidor habilitada para Propagação de identidade confiável. Para propagação de identidade confiável, o EMR creates/bootstraps Serverless é um aplicativo de centro de identidade gerenciado por um único serviço em sua conta, que o serviço utiliza para validação de identidade e propagação de identidade para downstream.
"sso:DescribeInstance", "sso:CreateApplication", "sso:DeleteApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope"
-
sso:DescribeInstance— Concede permissão para descrever e validar o IAM Identity Center InstanceARN que você especifica no parâmetro. identity-center-configuration -
sso:CreateApplication— Concede permissão para criar um aplicativo IAM Identity Center gerenciado pelo EMR Serverless, que é usado para ações. trusted-identity-propatgion -
sso:DeleteApplication: concede permissão para limpar uma aplicação do Centro de Identidade do IAM gerenciada pelo EMR Sem Servidor -
sso:PutApplicationAuthenticationMethod: concede permissão para colocar o método de autenticação na aplicação do Centro de Identidade do IAM gerenciada pelo EMR Sem Servidor, que permite que a entidade de serviço emr-serverless interaja com a aplicação do Centro de Identidade do IAM. -
sso:PutApplicationAssignmentConfiguration— Concede permissão para definir a configuração ser-assignment-not-required “U” no aplicativo IAM Identity Center. -
sso:PutApplicationGrant: Concede permissão para aplicar concessões de troca de token, introspectToken, refreshToken e revokeToken em uma aplicação do Centro de Identidade do IAM. -
sso:PutApplicationAccessScope: concede permissão para aplicar o escopo downstream habilitado para propagação de identidade confiável à aplicação do Centro de Identidade do IAM. Aplicamos os escopos “redshift:connect”, “lakeformation:query” e “s3:read_write” para habilitar esses serviços. trusted-identity-propagation
Criar uma aplicação do EMR Sem Servidor habilitada para propagação de identidades confiáveis
Você deve especificar o campo —identity-center-configuration com identityCenterInstanceArn para permitir a propagação de identidades confiáveis na aplicação. Use o comando de exemplo a seguir para criar uma aplicação do EMR Sem Servidor com a propagação de identidade confiável habilitada.
nota
Você também deve especificar --interactive-configuration '{"livyEndpointEnabled":true}' porque a propagação de identidades confiáveis está habilitada apenas para o Endpoint Apache Livy.
aws emr-serverless create-application \ --release-label emr-7.8.0 \ --type "SPARK" \ --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \ --interactive-configuration '{"livyEndpointEnabled":true}'
identity-center-configuration: (opcional) Habilita a propagação de identidade confiável do Centro de Identidade, se especificado.identityCenterInstanceArn: (obrigatório) o ARN da instância do Centro de Identidade.
Caso você não tenha as permissões necessárias do Centro de Identidade (mencionadas anteriormente), primeiro crie a aplicação do EMR Sem Servidor sem propagação de identidades confiáveis (por exemplo, não especifique o parâmetro —identity-center-configuration) e, posteriormente, solicite ao administrador do Centro de Identidade que habilite a propagação de identidades confiáveis invocando a API update-application. Veja o exemplo abaixo:
aws emr-serverless update-application \ --application-idapplicationId\ --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
O EMR Sem Servidor cria uma aplicação do Centro de Identidade gerenciada por serviço na sua conta, que o serviço utiliza para validações de identidade e propagação de identidade para serviços downstream. O aplicativo Identity Center gerenciado criado pelo EMR Serverless é compartilhado entre todos os aplicativos trusted-identity-propagation EMR Serverless habilitados em sua conta.
nota
Não modifique manualmente as configurações na aplicação do Centro de Identidade gerenciada. Qualquer alteração pode afetar todos os aplicativos EMR Serverless trusted-identity-propagation habilitados em sua conta.
Permissões do perfil de execução de trabalho para propagar identidade
Como o EMR-Serverless utiliza job-execution-role credenciais aprimoradas de identidade para propagar a identidade para AWS serviços posteriores, a política de confiança da Job Execution Role deve ter sts:SetContext permissão adicional para aprimorar a credencial da função de execução de tarefas com identidade para permitir serviços posteriores, como S3 access-grant trusted-identity-propagation, Lake Formation ou Amazon Redshift. Para saber mais sobre como criar um perfil, consulte Criar um perfil de runtime de trabalho.
Além disso, JobExecutionRole precisa de permissões para AWS serviços posteriores que o job-run invocaria para buscar dados usando a identidade do usuário. Consulte os links abaixo para configurar a Concessão de acesso do S3, Lake Formation.
