Administratorberechtigungen zum Erstellen und Verwalten eines EMR Studios

Fokusmodus

Administratorberechtigungen zum Erstellen und Verwalten eines EMR Studios - Amazon EMR

Erforderliche Berechtigungen zum Verwalten eines EMR-Studios

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die auf dieser Seite beschriebenen IAM-Berechtigungen ermöglichen es Ihnen, ein EMR Studio zu erstellen und zu verwalten. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter Erforderliche Berechtigungen zum Verwalten eines EMR-Studios.

Erforderliche Berechtigungen zum Verwalten eines EMR-Studios

In der folgenden Tabelle sind die Vorgänge im Zusammenhang mit der Erstellung und Verwaltung eines EMR-Studios aufgeführt. In der Tabelle werden auch die für jeden Vorgang erforderlichen Berechtigungen angezeigt.

Anmerkung

Sie benötigen nur IAM-Identity-Center- und SessionMapping-Studio-Aktionen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden.

Berechtigungen zum Erstellen und Verwalten eines EMR Studios
Operation	Berechtigungen
Ein Studio erstellen	`"elasticmapreduce:CreateStudio", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "iam:PassRole"`
Ein Studio beschreiben	`"elasticmapreduce:DescribeStudio", "sso:GetManagedApplicationInstance"`
Studios auflisten	`"elasticmapreduce:ListStudios"`
Ein Studio löschen	`"elasticmapreduce:DeleteStudio", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant"`
Additional permissions required when you use IAM Identity Center mode
Einem Studio Benutzer oder Gruppen zuweisen	"elasticmapreduce:CreateStudioSessionMapping", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:AssociateProfile", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DescribeInstance", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies"
Rufen Sie die Studio-Zuweisungsdetails für einen bestimmten Benutzer oder eine bestimmte Gruppe ab	`"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "elasticmapreduce:GetStudioSessionMapping"`
Alle Benutzer und Gruppen auflisten, die einem Studio zugewiesen sind	`"elasticmapreduce:ListStudioSessionMappings"`
Aktualisieren Sie die Sitzungsrichtlinie, die einem Benutzer oder einer Gruppe zugewiesen ist, die einem Studio zugewiesen ist	`"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "sso:DescribeInstance", "elasticmapreduce:UpdateStudioSessionMapping"`
Einen Benutzer oder eine Gruppe aus einem Studio entfernen	`"elasticmapreduce:DeleteStudioSessionMapping", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListDirectoryAssociations", "sso:GetProfile", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListProfiles", "sso:DisassociateProfile", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments"`

So erstellen Sie eine Richtlinie mit Administratorberechtigungen für EMR Studio

Folgen Sie den Anweisungen unter IAM-Richtlinien erstellen, um eine Richtlinie anhand eines der folgenden Beispiele zu erstellen. Welche Berechtigungen Sie benötigen, hängt von Ihrem Authentifizierungsmodus für EMR Studio ab.

Fügen Sie Ihre eigenen Werte für diese Elemente ein:

Ersetzen Sie<your-resource-ARN>, um den Amazon-Ressourcennamen (ARN) des Objekts oder der Objekte anzugeben, die die Anweisung für Ihre Anwendungsfälle abdeckt.
<region>Ersetzen Sie es durch den Code des AWS-Region Ortes, an dem Sie das Studio erstellen möchten.
<aws-account_id>Ersetzen Sie es durch die ID des AWS Kontos für das Studio.
Ersetzen Sie <EMRStudio-Service-Role> und <EMRStudio-User-Role> durch die Namen Ihrer EMR Studio-Servicerolle und EMR Studio-Benutzerrolle.

Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Authentifizierungsmodus verwenden


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}

Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden

Anmerkung

Identity Center und das Identity Center-Verzeichnis unterstützen die Angabe eines ARN im Ressourcenelement einer IAM-Richtlinienanweisung APIs nicht. Um den Zugriff auf IAM Identity Center und IAM Identity Center Directory zu ermöglichen, spezifizieren die folgenden Berechtigungen alle Ressourcen, „Resource“: „*“ für IAM-Identity-Center-Aktionen. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für IAM Identity Center Directory.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

Hängen Sie die Richtlinie an Ihre IAM-Identität (Benutzer, Rolle oder Gruppe) an. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

EMR Studio konfigurieren

Richten Sie ein EMR Studio ein

Auf dieser Seite

Wählen Sie Ihre Cookie-Einstellungen aus

Cookie-Einstellungen anpassen

Essenziell

Leistung

Funktional

Werbung

Cookie-Einstellungen konnten nicht gespeichert werden

Administratorberechtigungen zum Erstellen und Verwalten eines EMR Studios

Erforderliche Berechtigungen zum Verwalten eines EMR-Studios

Anmerkung

So erstellen Sie eine Richtlinie mit Administratorberechtigungen für EMR Studio

Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Authentifizierungsmodus verwenden

Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM-Identity-Center-Authentifizierungsmodus verwenden

Anmerkung

Auf dieser Seite

Hat Ihnen diese Seite geholfen?

Nächstes Thema:

Vorheriges Thema:

Brauchen Sie Hilfe?