Sesiones de usuario en segundo plano - Amazon EMR
Configuración de sesiones de usuario en segundo plano

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sesiones de usuario en segundo plano

Las sesiones de usuario en segundo plano permiten que las cargas de trabajo de análisis y machine learning de larga duración continúen incluso después de que el usuario haya cerrado sesión en la interfaz de su cuaderno. A partir de EMR en la EC2 versión 7.11, esta capacidad está disponible a través de la función de propagación de identidad confiable EC2 de EMR-. En las siguientes secciones se explican las opciones de configuración y los comportamientos de las sesiones en segundo plano de los usuarios.

nota

La configuración de la sesión en segundo plano del usuario solo afecta a las cargas de trabajo de Spark lanzadas a través de SageMaker Unified Studio. Los cambios en esta configuración se aplican a las nuevas sesiones de Livy; las sesiones activas existentes no se ven afectadas.

Configuración de sesiones de usuario en segundo plano

Las sesiones de usuario en segundo plano deben estar habilitadas en dos niveles para que funcionen correctamente:

  1. Nivel de instancia del IAM Identity Center (configurado por los administradores de iDC)

  2. Nivel de clúster de EMR (configurado por los administradores de clústeres de EMR)

Habilitar sesiones de usuario en segundo plano para Amazon EMR

Para habilitar las sesiones de usuario en segundo plano, debe establecer el userBackgroundSessionsEnabled parámetro true en la configuración de seguridad identityCenterConfiguration al crear EMR.

Requisitos previos:

  • El rol de IAM utilizado para crear o actualizar la configuración de seguridad de EMR requiere sso:PutApplicationSessionConfiguration el permiso. Este permiso habilita las sesiones de usuario en segundo plano para la aplicación IAM Identity Center gestionada por Amazon EMR.

  • Cree un rol de IAM para el Centro de Identidad de IAM

    • Para integrar Amazon EMR con el Centro de identidades de IAM, cree un rol de IAM que se autentique con el Centro de identidades de IAM desde el clúster de EMR. Amazon EMR utiliza las credenciales SiGv4 para transmitir la identidad del centro de identidad de IAM a los servicios descendentes, como. AWS Lake Formation Su función también debe tener los permisos necesarios para invocar los servicios descendentes.

    • Configure Lake Formation para un clúster de EMR habilitado para el IAM Identity Center. Para obtener los permisos de rol necesarios, consulte: Crear un rol de IAM para Identity Center.

  • Inicie su clúster de EMR con la versión 7.11 o posterior y habilite la propagación de identidades confiables.

Paso 1: Crear una configuración de seguridad EMR UserBackgroundSession habilitada para Identity Center

Los usuarios deben configurar el EnableUserBackgroundSession indicador entrue, lo que permitirá que el servicio de EMR se habilite en el nivel de aplicación de IDC gestionada por UserBackgourndSession EMR. Si este indicador está establecido false o no, EMR deshabilitará IDC UserBackgroundSession de forma predeterminada.

Ejemplo de uso de: AWS CLI


aws emr create-security-configuration --name "idc-userBackgroundSession-enabled-secConfig" \
--region AWS_REGION  \
--security-configuration ' \
{ 
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
		"EnableIdentityCenter":true,
		"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
		"IdentityCenterApplicationAssigmentRequired": false,
		"EnableUserBackgroundSession": true,
		"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::12345678912:role/YOUR_ROLE"
		}
	},\
	"AuthorizationConfiguration": {
	"IAMConfiguration": {
		"EnableApplicationScopedIAMRole": true,
		"ApplicationScopedIAMRoleConfiguration": {
		"PropagateSourceIdentity": true
		}
	},\
	"LakeFormationConfiguration": {
		"AuthorizedSessionTagValue": "Amazon EMR"
	}
	},\
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
							"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

Paso 2: Crear y lanzar un clúster habilitado para Identity Center

Ahora que configuró el rol de IAM que se autentica con Identity Center y creó una configuración de seguridad de Amazon EMR que tiene Identity Center habilitado, puede crear y lanzar un clúster con reconocimiento de identidad. Para ver los pasos para lanzar el clúster con la configuración de seguridad requerida, consulte Especificar una configuración de seguridad para un clúster de Amazon EMR.

Matriz de configuración

El comportamiento de la sesión en segundo plano del usuario depende tanto de la configuración de EMR como de la EC2 configuración a nivel de instancia de IAM Identity Center:

Matriz de configuración de sesiones en segundo plano del usuario
Centro userBackgroundSession de identidad de IAM activado Amazon EMR activado userBackgroundSessions Comportamiento
TRUE Sesión de usuario en segundo plano habilitada
FALSO La sesión caduca al cerrar sesión del usuario
No TRUE La sesión caduca al cerrar sesión del usuario
No FALSO La sesión caduca al cerrar sesión del usuario

Duración predeterminada de la sesión de usuario en segundo plano

De forma predeterminada, todas las sesiones de usuario en segundo plano tienen un límite de duración de 7 días en IAM Identity Center. Los administradores pueden modificar esta duración en la consola de IAM Identity Center. Esta configuración se aplica a la instancia de IAM Identity Center y afecta a todas las aplicaciones de IAM Identity Center dentro de dicha instancia.

  • La duración se puede establecer en cualquier valor, desde 15 minutos hasta 90 días.

  • Este ajuste se configura en la consola del IAM Identity Center, en AjustesAutenticaciónConfigurar (consulte la sección Trabajos no interactivos)

Impacto de la deshabilitación de las sesiones en segundo plano de los usuarios

Cuando las sesiones en segundo plano de los usuarios están deshabilitadas en el IAM Identity Center:

Sesiones de Livy existentes

  • Continúan ejecutándose sin interrupción si se iniciaron con las sesiones de usuario en segundo plano habilitadas. Estas sesiones seguirán utilizando sus identificadores de sesión en segundo plano hasta que finalicen de forma natural o se detengan explícitamente.

Nuevas sesiones de Livy

  • Utilizará el flujo de propagación de identidad confiable estándar y finalizará cuando el usuario cierre la sesión o caduque su sesión interactiva (por ejemplo, al cerrar un JupyterLab bloc de notas de Amazon SageMaker Unified Studio).

Cambio de la duración de las sesiones en segundo plano de los usuarios

Cuando se modifica la configuración de duración de las sesiones en segundo plano de los usuarios en IAM Identity Center:

Sesiones de Livy existentes

  • Continúe ejecutándose con la misma duración de sesión en segundo plano con la que se iniciaron.

Nuevas sesiones de Livy

  • Utilizará la nueva duración de la sesión para las sesiones en segundo plano.

Consideraciones

Disponibilidad de características

Las sesiones de usuario en segundo plano para Amazon EMR están disponibles para:

  • Solo el motor Spark (no se admite el motor Hive)

  • Solo sesiones interactivas de Livy (no se admiten los trabajos por lotes ni los trabajos de streaming)

  • Amazon EMR lanza etiquetas 7.11 y versiones posteriores. Con la versión 7.11 de EMR, debe instalar un script de acciones de arranque para habilitar las sesiones en segundo plano del usuario al crear un clúster. Póngase en contacto con AWS Support para obtener más información.

    nota

    Si utiliza un clúster aprovisionado de SageMaker Unified Studio, no necesita el script de acciones de arranque para utilizar esta función.

Implicaciones de costos

  • Los trabajos seguirán ejecutándose hasta completarse incluso después de que los usuarios finalicen su JupyterLab sesión de Amazon SageMaker Unified Studio y se cobrarán durante toda la ejecución.

  • Supervise sus sesiones en segundo plano activas para evitar costes innecesarios derivados de sesiones olvidadas o abandonadas.

Condiciones de finalización de la sesión de Livy

Cuando se utilizan sesiones de usuario en segundo plano, las sesiones de Livy seguirán ejecutándose hasta que se produzca una de las siguientes situaciones:

  • La sesión en segundo plano del usuario caduca (según la configuración de iDC, hasta 90 días).

  • Un administrador revoca manualmente la sesión del usuario en segundo plano.

  • La sesión de Livy alcanza su tiempo de espera de inactividad (predeterminado: 8 horas después de la última sentencia ejecutada).

  • El usuario detiene o reinicia el núcleo del portátil de forma explícita.