Sessioni in background degli utenti - Amazon EMR
Configura le sessioni utente in background

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sessioni in background degli utenti

Le sessioni utente in background consentono ai carichi di lavoro di analisi e machine learning di lunga durata di continuare anche dopo che l'utente si è disconnesso dall'interfaccia del notebook. A partire da EMR nella EC2 release 7.11, questa funzionalità è disponibile tramite la funzionalità di propagazione dell'identità affidabile EC2 di EMR-. Le sezioni seguenti spiegano le opzioni e i comportamenti di configurazione per le sessioni utente in background.

Nota

Le impostazioni delle sessioni utente in background influiscono solo sui carichi di lavoro Spark avviati tramite SageMaker Unified Studio. Le modifiche a questa impostazione si applicano alle nuove sessioni di Livy: le sessioni attive esistenti rimangono inalterate.

Configura le sessioni utente in background

Le sessioni utente in background devono essere abilitate a due livelli per una corretta funzionalità:

  1. Livello di istanza IAM Identity Center (configurato dagli amministratori iDC)

  2. Livello di cluster EMR (configurato dagli amministratori del cluster EMR)

Abilita sessioni utente in background per Amazon EMR

Per abilitare le sessioni utente in background, è necessario impostare il userBackgroundSessionsEnabled parametro su true nella configurazione di sicurezza EMR identityCenterConfiguration durante la creazione.

Prerequisiti:

  • Il ruolo IAM utilizzato per creare o aggiornare la configurazione di sicurezza EMR richiede l'sso:PutApplicationSessionConfigurationautorizzazione. Questa autorizzazione abilita sessioni utente in background per l'applicazione IAM Identity Center gestita da Amazon EMR.

  • Crea un ruolo IAM per IAM Identity Center

  • Avvia il tuo cluster EMR con la versione 7.11 o successiva e abilita Trusted-Identity Propagation.

Fase 1 - Creare una configurazione di sicurezza EMR UserBackgroundSession abilitata per Identity Center

Gli utenti devono impostare il EnableUserBackgroundSession flag sutrue, che consentirà al servizio EMR di attivarsi a livello di applicazione UserBackgourndSession IDC gestita da EMR. Se questo flag è impostato false o meno, EMR disabiliterà IDC UserBackgroundSession per impostazione predefinita.

Esempio di utilizzo di: AWS CLI


aws emr create-security-configuration --name "idc-userBackgroundSession-enabled-secConfig" \
--region AWS_REGION  \
--security-configuration ' \
{ 
	"AuthenticationConfiguration":{
		"IdentityCenterConfiguration":{
		"EnableIdentityCenter":true,
		"IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789",
		"IdentityCenterApplicationAssigmentRequired": false,
		"EnableUserBackgroundSession": true,
		"IAMRoleForEMRIdentityCenterApplicationARN": "arn:aws:iam::12345678912:role/YOUR_ROLE"
		}
	},\
	"AuthorizationConfiguration": {
	"IAMConfiguration": {
		"EnableApplicationScopedIAMRole": true,
		"ApplicationScopedIAMRoleConfiguration": {
		"PropagateSourceIdentity": true
		}
	},\
	"LakeFormationConfiguration": {
		"AuthorizedSessionTagValue": "Amazon EMR"
	}
	},\
	"EncryptionConfiguration": {
		"EnableInTransitEncryption": true,
		"EnableAtRestEncryption": false,
		"InTransitEncryptionConfiguration": {
			"TLSCertificateConfiguration": {
				"CertificateProviderType": "PEM",
							"S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
			}
		}
	}
}'

Fase 2 - Creare e avviare un cluster abilitato per Identity Center

Ora che hai configurato il ruolo IAM che esegue l'autenticazione con il Centro identità e hai creato una configurazione di sicurezza Amazon EMR con il Centro identità abilitato, puoi creare e avviare il tuo cluster con riconoscimento dell'identità. Per i passaggi per avviare il cluster con la configurazione di sicurezza richiesta, consulta Specificare una configurazione di sicurezza per un cluster Amazon EMR.

Matrice di configurazione

Il comportamento della sessione utente in background dipende sia dall'EC2 impostazione EMR che dalle impostazioni a livello di istanza di IAM Identity Center:

Matrice di configurazione della sessione utente in background
IAM Identity Center userBackgroundSession abilitato Abilitato per Amazon EMR userBackgroundSessions Comportamento
TRUE Sessione utente in background abilitata
FALSE La sessione scade con il logout dell'utente
No TRUE La sessione scade con il logout dell'utente
No FALSE La sessione scade con il logout dell'utente

Durata predefinita della sessione in background dell’utente

Per impostazione predefinita, tutte le sessioni utente in background hanno un limite di durata di 7 giorni in IAM Identity Center. Gli amministratori possono modificare questa durata nella console del Centro identità IAM. Questa impostazione si applica a livello di istanza IAM Identity Center e interessa tutte le applicazioni IAM Identity Center supportate all'interno di quell'istanza.

  • La durata può essere impostata su qualsiasi valore da 15 minuti a 90 giorni.

  • Questa impostazione è configurata nella console IAM Identity Center in ImpostazioniAutenticazioneConfigura (vedi la sezione Lavori non interattivi)

Impatto della disabilitazione delle sessioni utente in background

Quando le sessioni utente in background sono disabilitate in IAM Identity Center:

Sessioni Livy esistenti

  • Continuano a funzionare senza interruzioni se sono state avviate con le sessioni utente in background abilitate. Queste sessioni continueranno a utilizzare i token di sessione in background esistenti fino a quando non termineranno naturalmente o non verranno interrotte esplicitamente.

Nuove sessioni Livy

  • Utilizzerà il flusso di propagazione delle identità affidabili standard e terminerà quando l'utente si disconnette o scade la sessione interattiva (ad esempio quando chiude un notebook Amazon SageMaker Unified Studio). JupyterLab

Modifica della durata delle sessioni in background degli utenti

Quando l'impostazione della durata per le sessioni utente in background viene modificata in IAM Identity Center:

Sessioni Livy esistenti

  • Continuate a funzionare con la stessa durata della sessione in background con cui sono state avviate.

Nuove sessioni Livy

  • Utilizzerà la nuova durata della sessione per le sessioni in background.

Considerazioni

Disponibilità delle funzionalità

Le sessioni utente in background per Amazon EMR sono disponibili per:

  • Solo motore Spark (il motore Hive non è supportato)

  • Solo sessioni interattive Livy (i lavori in batch e i lavori in streaming non sono supportati)

  • Etichette di rilascio Amazon EMR 7.11 e successive. Con la release 7.11 di EMR, è necessario installare uno script di azione bootstrap per abilitare le sessioni utente in background durante la creazione di un cluster. Contatta l' AWS assistenza per ulteriori dettagli.

    Nota

    Se utilizzi il cluster provisioned di SageMaker Unified Studio, non è necessario lo script di azione bootstrap per utilizzare questa funzionalità.

Implicazioni sui costi

  • I lavori continueranno a essere eseguiti fino al completamento anche dopo che gli utenti avranno terminato la JupyterLab sessione di Amazon SageMaker Unified Studio e verranno addebitati costi per l'intera durata dell'esecuzione completata.

  • Monitora le sessioni attive in background per evitare costi inutili derivanti da sessioni dimenticate o abbandonate.

Condizioni di interruzione della sessione Livy

Quando si utilizzano sessioni utente in background, una sessione Livy continuerà a funzionare fino a quando non si verificherà una delle seguenti condizioni:

  • La sessione utente in background scade (in base alla configurazione iDC, fino a 90 giorni).

  • La sessione utente in background viene revocata manualmente da un amministratore.

  • La sessione Livy raggiunge il timeout di inattività (impostazione predefinita: 8 ore dopo l'ultima istruzione eseguita).

  • L'utente interrompe o riavvia esplicitamente il kernel del notebook.