Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai Propagasi Identitas Terpercaya untuk EMR Tanpa Server
Prasyarat
Instance Pusat Identitas di AWS Wilayah tempat Anda ingin membuat propagasi identitas Tepercaya mengaktifkan EMR Serverless Apache Livy Endpoint. Instance Pusat Identitas hanya dapat ada di satu Wilayah untuk sebuah AWS akun. lihat Aktifkan Pusat Identitas IAM dan Berikan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM.
Aktifkan propagasi identitas Tepercaya untuk layanan hilir seperti Lake Formation atau S3 Access Grants atau klaster Amazon Redshift yang berinteraksi dengan beban kerja interaktif untuk mengakses data.
Izin yang diperlukan untuk membuat propagasi identitas tepercaya mengaktifkan Aplikasi EMR Tanpa Server
Selain izin dasar yang diperlukan untuk mengakses EMR Tanpa Server, Anda harus mengonfigurasi izin tambahan untuk identitas atau peran IAM Anda yang digunakan untuk membuat propagasi identitas terpercaya yang diaktifkan EMR Aplikasi Tanpa Server. Untuk propagasi identitas terpercaya, EMR creates/bootstraps Serverless satu layanan mengelola Aplikasi Pusat Identitas di akun Anda yang dimanfaatkan layanan untuk validasi identitas dan propagasi identitas ke hilir.
"sso:DescribeInstance", "sso:CreateApplication", "sso:DeleteApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope"
-
sso:DescribeInstance— Memberikan izin untuk mendeskripsikan dan memvalidasi InstanCearn Pusat Identitas IAM yang Anda tentukan dalam parameter. identity-center-configuration -
sso:CreateApplication— Memberikan izin untuk membuat Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server yang digunakan untuk tindakan. trusted-identity-propatgion -
sso:DeleteApplication— memberikan izin untuk membersihkan Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server -
sso:PutApplicationAuthenticationMethod— Memberikan izin untuk menempatkan AuthenticationMethod pada Aplikasi Pusat Identitas IAM yang dikelola EMR Tanpa Server yang memungkinkan prinsipal layanan emr-serverless untuk berinteraksi dengan Aplikasi Pusat Identitas IAM. -
sso:PutApplicationAssignmentConfiguration— Memberikan izin untuk mengatur pengaturan “User-assignment-not-required” pada Aplikasi Pusat Identitas IAM. -
sso:PutApplicationGrant— Memberikan izin untuk menerapkan hibah token-exchange, IntroSpectToken, RefreshToken, dan RevokeToken pada Aplikasi Pusat Identitas IAM. -
sso:PutApplicationAccessScope— Memberikan izin untuk menerapkan propagasi identitas tepercaya yang diaktifkan cakupan hilir ke Aplikasi Pusat Identitas IAM. Kami menerapkan cakupan “redshift:connect”, “lakeformation:query” dan “s3:read_write” untuk mengaktifkan layanan ini. trusted-identity-propagation
Buat propagasi identitas terpercaya yang diaktifkan EMR Aplikasi Tanpa Server
Anda perlu menentukan —identity-center-configuration bidang dengan identityCenterInstanceArn untuk mengaktifkan propagasi identitas terpercaya dalam aplikasi. Gunakan perintah contoh berikut untuk membuat Aplikasi EMR Tanpa Server yang mengaktifkan propagasi identitas terpercaya.
catatan
Anda juga perlu menentukan --interactive-configuration '{"livyEndpointEnabled":true}' sebagai propagasi identitas terpercaya diaktifkan hanya untuk Apache Livy Endpoint.
aws emr-serverless create-application \ --release-label emr-7.8.0 \ --type "SPARK" \ --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \ --interactive-configuration '{"livyEndpointEnabled":true}'
identity-center-configuration— (opsional) Mengaktifkan propagasi identitas tepercaya Pusat Identitas jika ditentukan.identityCenterInstanceArn— (wajib) Pusat Identitas misalnya ARN.
Jika Anda tidak memiliki izin Pusat Identitas yang diperlukan (disebutkan di atas), Anda harus terlebih dahulu membuat Aplikasi EMR Tanpa Server tanpa propagasi identitas terpercaya (misalnya, jangan —identity-center-configuration tentukan parameter) dan kemudian minta Admin Pusat Identitas Anda untuk mengaktifkan propagasi identitas terpercaya dengan menjalankan API update-application, lihat contoh di bawah ini:
aws emr-serverless update-application \ --application-idapplicationId\ --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'
EMR Tanpa Server membuat Aplikasi Pusat Identitas terkelola layanan di akun Anda yang memanfaatkan layanan untuk validasi identitas dan propagasi identitas ke layanan hilir. EMR Aplikasi Pusat Identitas terkelola yang dibuat tanpa server dibagikan di semua aplikasi trusted-identity-propagation EMR Tanpa Server yang diaktifkan di akun Anda.
catatan
Jangan mengubah pengaturan secara manual pada Aplikasi Pusat Identitas yang dikelola. Perubahan apa pun dapat memengaruhi semua aplikasi EMR Tanpa Server yang trusted-identity-propagation diaktifkan di akun Anda.
Izin Peran Eksekusi Job untuk menyebarkan identitas
Karena EMR-Serverless memanfaatkan job-execution-role kredensi yang ditingkatkan Identitas untuk menyebarkan identitas ke layanan hilir AWS , kebijakan kepercayaan Job Execution Role harus memiliki izin tambahan untuk meningkatkan kredensi peran eksekusi pekerjaan dengan identitas sts:SetContext untuk memungkinkan layanan hilir trusted-identity-propagation, seperti hibah akses S3, Lake Formation, atau Amazon Redshift. Untuk mempelajari lebih lanjut tentang cara membuat peran, lihat Membuat peran runtime pekerjaan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "emr-serverless.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext"] } ] }
Selain itu, JobExecutionRole akan memerlukan izin untuk AWS layanan hilir yang akan dijalankan oleh pekerjaan untuk mengambil data menggunakan identitas pengguna. Silakan lihat tautan di bawah ini untuk mengonfigurasi S3 Access Grant, Lake Formation.
