本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EMR Serverless 進行信任的身分傳播
透過 Amazon EMR 7.8.0 版及更高版本,您可以透過 Apache Livy 端點,使用 EMR Serverless 將使用者身分從 AWS IAM Identity Center 傳播到互動式工作負載。Apache Livy 互動式工作負載將進一步將提供的身分傳播到下游服務,例如 Amazon S3、Lake Formation 和 Amazon Redshift,透過這些下游的使用者身分啟用安全的資料存取。下列各節提供透過 Apache Livy 端點使用 EMR Serverless 啟動和傳播身分至互動式工作負載所需的概念概觀、先決條件和步驟。
概觀
對於任何大小和類型的組織 AWS ,IAM Identity Center 是建議在 上進行人力資源身分驗證和授權的方法。使用 Identity Center,您可以在 中建立和管理使用者身分 AWS,或連接現有的身分來源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud、Google Workspace 和 Microsoft Entra ID (先前稱為 Azure AD)。
信任的身分傳播是一種 AWS IAM Identity Center 功能,連線 AWS 服務的管理員可以使用此功能來授予和稽核服務資料的存取權。存取此資料是根據使用者屬性,例如群組關聯。設定信任的身分傳播需要連線 AWS 服務的管理員與 IAM Identity Center 管理員之間的協同合作。如需詳細資訊,請參閱《IAM Identity Center 使用者指南》中的先決條件和考量事項。
功能和優勢
EMR Serverless Apache Livy 端點與 IAM Identity Center 受信任身分傳播整合可提供下列優點:
能夠在 AWS Lake Formation 受管 Glue AWS 資料目錄資料表上使用 Identity Center 身分強制執行資料表層級授權。
在 Amazon Redshift 叢集上使用 Identity Center 身分強制執行授權的能力。
啟用使用者動作的端對端追蹤以進行稽核。
能夠在 S3 Access Grants 受管 S3 字首上使用 Identity Center 身分,強制執行 Amazon S3 字首層級授權。
運作方式
使用案例範例
資料準備和功能工程
來自多個研究團隊的資料科學家使用統一的資料平台協作處理複雜的專案。他們使用其公司登入資料登入 SageMaker AI,立即存取跨越多個 AWS 帳戶的大量共用資料湖。當他們開始為新的機器學習模型進行特徵工程時,透過 EMR Serverless 啟動的 Spark 工作階段會根據其傳播的身分強制執行 Lake Formation 的資料欄和資料列層級安全政策。科學家可以使用熟悉的工具有效率地準備資料和設計功能,而合規團隊可以確保每次資料互動都會自動追蹤和稽核。這種安全、協作的環境可加速研究管道,同時維持受監管產業所需的嚴格資料保護標準。
