Administratorberechtigungen zum Erstellen und Verwalten eines EMR Studios - Amazon EMR
Erforderliche Berechtigungen zum Verwalten eines EMR-Studios

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administratorberechtigungen zum Erstellen und Verwalten eines EMR Studios

Die auf dieser Seite beschriebenen IAM-Berechtigungen ermöglichen es Ihnen, ein EMR Studio zu erstellen und zu verwalten. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter Erforderliche Berechtigungen zum Verwalten eines EMR-Studios.

Erforderliche Berechtigungen zum Verwalten eines EMR-Studios

In der folgenden Tabelle sind die Vorgänge im Zusammenhang mit der Erstellung und Verwaltung eines EMR-Studios aufgeführt. In der Tabelle werden auch die für jeden Vorgang erforderlichen Berechtigungen angezeigt.

Anmerkung

Sie benötigen nur IAM-Identity-Center- und SessionMapping-Studio-Aktionen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden.

Berechtigungen zum Erstellen und Verwalten eines EMR Studios
Operation Berechtigungen
Ein Studio erstellen 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Ein Studio beschreiben 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Studios auflisten 
"elasticmapreduce:ListStudios"
Ein Studio löschen 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Einem Studio Benutzer oder Gruppen zuweisen

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Rufen Sie die Studio-Zuweisungsdetails für einen bestimmten Benutzer oder eine bestimmte Gruppe ab

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Alle Benutzer und Gruppen auflisten, die einem Studio zugewiesen sind 
"elasticmapreduce:ListStudioSessionMappings"
Aktualisieren Sie die Sitzungsrichtlinie, die einem Benutzer oder einer Gruppe zugewiesen ist, die einem Studio zugewiesen ist 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Einen Benutzer oder eine Gruppe aus einem Studio entfernen 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
So erstellen Sie eine Richtlinie mit Administratorberechtigungen für EMR Studio

  1. Folgen Sie den Anweisungen unter IAM-Richtlinien erstellen, um eine Richtlinie anhand eines der folgenden Beispiele zu erstellen. Welche Berechtigungen Sie benötigen, hängt von Ihrem Authentifizierungsmodus für EMR Studio ab.

    Fügen Sie Ihre eigenen Werte für diese Elemente ein:

    • Ersetzen Sie <your-resource-ARN>, um den Amazon-Ressourcennamen (ARN) des Objekts oder der Objekte anzugeben, für die die Anweisung für Ihre Anwendungsfälle gilt.

    • Ersetzen Sie <region> durch den Code des AWS-Region Ortes, an dem Sie das Studio erstellen möchten.

    • Ersetzen Sie <aws-account_id> durch die ID des AWS-Kontos für das Studio.

    • Ersetzen Sie <EMRStudio-Service-Role> und <EMRStudio-User-Role> durch die Namen Ihrer EMR-Studio-Servicerolle und EMR-Studio-Benutzerrolle.

    Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Authentifizierungsmodus verwenden
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden
    Anmerkung

    Identity Center und Identity Center Directory APIs unterstützen nicht die Angabe eines ARN im Resourcen-Element einer IAM-Richtlinienanweisung. Um den Zugriff auf IAM Identity Center und IAM Identity Center Directory zu ermöglichen, spezifizieren die folgenden Berechtigungen alle Ressourcen, „Resource“: „*“ für IAM-Identity-Center-Aktionen. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Hängen Sie die Richtlinie an Ihre IAM-Identität (Benutzer, Rolle oder Gruppe) an. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.