Amazon EMR Serverless による信頼できる ID の伝播

Amazon EMR リリース 7.8.0 以降では、Apache Livy Endpoint を通じて EMR Serverless を使用して、 AWS IAM Identity Center からインタラクティブなワークロードにユーザー ID を伝達できます。Apache Livy インタラクティブワークロードは、提供された ID をさらに Amazon S3、Lake Formation、Amazon Redshift などのダウンストリームサービスに伝達し、これらのダウンストリームのユーザー ID を介した安全なデータアクセスを可能にします。以下のセクションでは、Apache Livy Endpoint を介して EMR Serverless で ID を起動してインタラクティブワークロードに伝達するために必要な概念的な概要、前提条件、および手順について説明します。

概要

IAM Identity Center は、あらゆる規模とタイプの組織に でのワークフォース認証と認可 AWS に推奨されるアプローチです。Identity Center を使用すると、Microsoft Active Directory、Okta AWS、Ping Identity、JumpCloud、Google Workspace、Microsoft Entra ID (旧 Azure AD) などのユーザー ID を で作成および管理したり、既存の ID ソースに接続したりできます。

信頼できる ID の伝播は、接続された AWS サービスの管理者がサービスデータへのアクセスを許可および監査するために使用できる AWS IAM アイデンティティセンターの機能です。このデータへのアクセスは、グループの関連付けなどのユーザー属性に基づいています。信頼できる ID 伝達を設定するには、接続された AWS サービスの管理者と IAM Identity Center 管理者間のコラボレーションが必要です。詳細については、IAM Identity Center ユーザーガイドの「前提条件と考慮事項」を参照してください。

機能と利点

EMR Serverless Apache Livy Endpoint と IAM Identity Center Trusted ID 伝達の統合には、次の利点があります。

• AWS Lake Formation マネージド Glue データカタログテーブルで Identity Center ID AWS を使用してテーブルレベルの認可を強制する機能。

• Amazon Redshift クラスターで Identity Center ID による認可を強制する機能。

• 監査用のユーザーアクションのエンドツーエンドの追跡を有効にします。

• S3 Access Grants が管理する S3 プレフィックスの Identity Center ID を使用して Amazon S3 プレフィックスレベルの認可を執行できます。

仕組み

ユースケースの例

データ準備と機能エンジニアリング

複数の研究チームのデータサイエンティストは、統合データプラットフォームを使用して複雑なプロジェクトで共同作業を行います。会社の認証情報を使用して SageMaker AI にログインし、複数の AWS アカウントにまたがる膨大な共有データレイクにすぐにアクセスできます。新しい機械学習モデルの特徴量エンジニアリングを開始すると、EMR Serverless を介して起動された Spark セッションは、伝播された ID に基づいて Lake Formation の列と行レベルのセキュリティポリシーを適用します。科学者は使い慣れたツールを使用してデータやエンジニアリング機能を効率的に準備できますが、コンプライアンスチームはすべてのデータインタラクションが自動的に追跡および監査されることが保証されます。この安全で協調的な環境は、規制された業界で必要とされる厳格なデータ保護基準を維持しながら、研究パイプラインを加速します。