EMR Serverless에 대한 Trusted-Identity 전파 시작하기 - Amazon EMR
사전 조건신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성하는 데 필요한 권한신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션 생성자격 증명을 전파할 수 있는 작업 실행 역할 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EMR Serverless에 대한 Trusted-Identity 전파 시작하기

이 섹션에서는 AWS IAM Identity Center와 통합하고 신뢰할 수 있는 자격 증명 전파를 활성화하도록 Apache Livy 엔드포인트를 사용하여 EMR-Serverless 애플리케이션을 구성하는 데 도움이 됩니다.

사전 조건

  • 신뢰할 수 있는 자격 증명 전파를 생성하려는 AWS 리전의 Identity Center 인스턴스가 EMR Serverless Apache Livy 엔드포인트를 활성화했습니다. Identity Center 인스턴스는 AWS 계정의 단일 리전에만 존재할 수 있습니다. IAM Identity Center 활성화 및 ID 소스에서 IAM Identity Center로 사용자 및 그룹 프로비저닝을 참조하세요.

  • 대화형 워크로드가 상호 작용하여 데이터에 액세스하는 Lake Formation 또는 S3 Access Grants 또는 Amazon Redshift 클러스터와 같은 다운스트림 서비스에 대해 신뢰할 수 있는 자격 증명 전파를 활성화합니다.

신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성하는 데 필요한 권한

EMR Serverless에 액세스하는 데 필요한 기본 권한 외에도 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성하는 데 사용되는 IAM 자격 증명 또는 역할에 대한 추가 권한을 구성해야 합니다. 신뢰할 수 있는 자격 증명 전파를 위해 EMR Serverless는 서비스가 자격 증명 검증 및 다운스트림으로의 자격 증명 전파에 활용하는 계정에서 단일 서비스 관리형 Identity Center 애플리케이션을 생성/부트스트랩합니다.

"sso:DescribeInstance",
"sso:CreateApplication", 
"sso:DeleteApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationAssignmentConfiguration",  
"sso:PutApplicationGrant", 
"sso:PutApplicationAccessScope"

  • sso:DescribeInstance - Identityidentity-center-configuration 파라미터에서 지정한 IAM Identity Center instanceArn을 설명하고 검증할 수 있는 권한을 부여합니다.

  • sso:CreateApplication - trusted-identity-propatgion 작업에 사용되는 EMR Serverless 관리형 IAM Identity Center 애플리케이션을 생성할 수 있는 권한을 부여합니다.

  • sso:DeleteApplication - EMR Serverless 관리형 IAM Identity Center 애플리케이션을 정리할 수 있는 권한을 부여합니다.

  • sso:PutApplicationAuthenticationMethod - emr-serverless 서비스 보안 주체가 IAM Identity Center 애플리케이션과 상호 작용할 수 있도록 EMR Serverless 관리형 IAM Identity Center 애플리케이션에 authenticationMethod를 배치할 수 있는 권한을 부여합니다.

  • sso:PutApplicationAssignmentConfiguration - IAM Identity Center 애플리케이션에서 "User-assignment-not-required" 설정을 지정할 수 있는 권한을 부여합니다.

  • sso:PutApplicationGrant - IAM Identity Center 애플리케이션에 토큰 교환, introspectToken, refreshToken 및 revokeToken 권한을 적용할 수 있는 권한을 부여합니다.

  • sso:PutApplicationAccessScope - 신뢰할 수 있는 자격 증명 전파가 활성화된 다운스트림 범위를 IAM Identity Center 애플리케이션에 적용할 수 있는 권한을 부여합니다. "redshift:connect", "lakeformation:query" 및 "s3:read_write" 범위를 적용하여 이러한 서비스에 대한 trusted-identity-propagation을 활성화합니다.

신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션 생성

애플리케이션에서 신뢰할 수 있는 자격 증명 전파를 활성화identityCenterInstanceArn하려면 로 —identity-center-configuration 필드를 지정해야 합니다. 다음 예제 명령을 사용하여 신뢰할 수 있는 자격 증명 전파가 활성화된 EMR Serverless 애플리케이션을 생성합니다.

참고

또한 Apache Livy 엔드포인트에 대해서만 신뢰할 수 있는 자격 증명 전파가 활성화--interactive-configuration '{"livyEndpointEnabled":true}'되어 있으므로를 지정해야 합니다.

aws emr-serverless create-application \
  --release-label emr-7.8.0 \
  --type "SPARK" \
  --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}' \
  --interactive-configuration '{"livyEndpointEnabled":true}'

  • identity-center-configuration – (선택 사항) 지정된 경우 Identity Center에서 신뢰할 수 있는 자격 증명 전파를 활성화합니다.

  • identityCenterInstanceArn – (필수) Identity Center 인스턴스 ARN입니다.

필요한 Identity Center 권한(위에서 언급)이 없는 경우 먼저 신뢰할 수 있는 ID 전파 없이 EMR Serverless 애플리케이션을 생성하고(예: —identity-center-configuration 파라미터를 지정하지 않음) 나중에 update-application API를 호출하여 신뢰할 수 있는 ID 전파를 활성화하도록 Identity Center 관리자에게 요청해야 합니다. 아래 예제를 참조하세요.

aws emr-serverless update-application \
  --application-id applicationId \
  --identity-center-configuration '{"identityCenterInstanceArn" : "arn:aws:sso:::instance/ssoins-123456789"}'

EMR Serverless는 서비스가 자격 증명 검증 및 다운스트림 서비스로의 자격 증명 전파에 활용하는 서비스 관리형 Identity Center 애플리케이션을 계정에 생성합니다. EMR Serverless에서 생성한 관리형 Identity Center 애플리케이션은 계정의 신뢰할 수 trusted-identity-propagation가 활성화된 모든 EMR Serverless 애플리케이션에서 공유됩니다.

참고

관리형 Identity Center 애플리케이션의 설정을 수동으로 수정하지 마십시오. 모든 변경 사항은 계정에서 trusted-identity-propagation가 활성화된 모든 EMR Serverless 애플리케이션에 영향을 미칠 수 있습니다.

자격 증명을 전파할 수 있는 작업 실행 역할 권한

EMR-Serverless는 자격 증명 강화 job-execution-role 자격 증명을 활용하여 다운스트림 AWS 서비스에 자격 증명을 전파하므로 작업 실행 역할의 신뢰 정책은 S3 액세스 권한 부여, Lake Formation 또는 Amazon Redshift와 같은 다운스트림 서비스에 trusted-identity-propagation를 허용하도록 자격 증명으로 작업 실행 역할 자격 증명을 sts:SetContext 향상시킬 수 있는 추가 권한이 있어야 합니다. 역할을 생성하는 방법에 대한 자세한 내용은 작업 런타임 역할 생성을 참조하세요.

{
  "Version": "2012-10-17",
  "Statement": [
     {
     "Effect": "Allow",
     "Principal": {
     "Service": "emr-serverless.amazonaws.com"
     },
     "Action": [ "sts:AssumeRole", "sts:SetContext"]
     }
  ]
}

또한 JobExecutionRole은 사용자 자격 증명을 사용하여 데이터를 가져오기 위해 작업 실행이 호출하는 다운스트림 AWS 서비스에 대한 권한이 필요합니다. 아래 링크를 참조하여 S3 Access Grant, Lake Formation을 구성하세요.