可信身份传播 - Amazon EMR
概述功能和优势工作原理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可信身份传播

在 Amazon EMR 7.8.0 及更高版本中,您可以通过 Apache Livy Endpoint 将用户身份从 Amazon IAM 身份中心传播到使用 EMR Serverless 的交互式工作负载。Apache Livy 交互式工作负载会将提供的身份进一步传播到 Amazon S3、Lake Formation 和 Amazon Redshift 等下游服务,从而在这些下游服务中通过用户身份实现安全的数据访问。以下各节提供了概念概述、先决条件以及通过 Apache Livy Endpoint 将身份启动和传播到 EMR Serverless 交互式工作负载所需的步骤。

概述

对于任何规模和类型的组织,推荐使用 I@@ AM Identit y Center Amazon 进行员工身份验证和授权。使用 Identity Center,在现有身份源中创建和管理用户身份 Amazon,或者连接现有身份源,包括微软 Active Directory、Okta、Ping Identity JumpCloud、Google Workspace 和微软 Entra ID(前身为 Azure AD)。

可信身份传播是 Amazon IAM Identity Center 的一项功能,互联 Amazon 服务的管理员可以使用该功能来授予和审计对服务数据的访问权限。对这些数据的访问权限基于用户属性,例如组关联。设置可信身份传播需要互联 Amazon 服务的管理员和 IAM Identity Center 管理员之间的协作。有关更多信息,请参阅《IAM Identity Center 用户指南》中的先决条件和注意事项

功能和优势

将 EMR Serverless Apache Livy Endpoint 与 IAM Identity Center 可信身份传播集成具有以下优势:

  • 能够在 La Amazon ke Form Amazon ation 托管的 Glue 数据目录表上使用身份中心身份强制执行表级授权。

  • 能够在 Amazon Redshift 集群上使用 IAM Identity Center 身份强制执行授权。

  • 可实现端到端的全程用户操作跟踪,以满足审计的需要。

  • 能够在 S3 Access Grants 托管的 S3 前缀上使用 Identity Center 身份强制执行 Amazon S3 前缀级别的授权。

工作原理

EMR Serverless 流程图。

使用案例示例

数据准备和特征工程

来自多个研究团队的数据科学家可以使用统一的数据平台协作完成复杂的项目。他们使用企业凭证登录 SageMaker 人工智能,立即访问跨多个 Amazon 账户的庞大共享数据湖。开始新机器学习模型的特征工程时,通过 EMR Serverless 启动的 Spark 会话会根据其传播的身份强制执行 Lake Formation 列级和行级安全策略。科学家可以使用自己熟悉的工具高效地准备数据和开展特征工程,同时合规团队也可以确信每次数据交互都会得到自动跟踪和审计。这种安全的协作环境不仅可以加快研究管道,同时还可确保遵守受监管行业严格的数据保护标准。