Permisos de administrador para crear y administrar un EMR Studio - Amazon EMR
Permisos necesarios para administrar un EMR Studio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de administrador para crear y administrar un EMR Studio

Los permisos de IAM descritos en esta página le permiten crear y administrar un EMR Studio. Para obtener información detallada sobre cada permiso necesario, consulte la Permisos necesarios para administrar un EMR Studio.

Permisos necesarios para administrar un EMR Studio

En la siguiente tabla se enumeran las operaciones relacionadas con la creación y administración de un EMR Studio. En la tabla también se muestran los permisos necesarios para cada operación.

nota

Solo necesita las acciones SessionMapping de IAM Identity Center y Studio cuando utiliza el modo de autenticación del IAM Identity Center.

Permisos para crear y administrar un EMR Studio
Operación Permisos
Crear un estudio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Describir un estudio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Enumerar los estudios 
"elasticmapreduce:ListStudios"
Eliminar un estudio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Asignar usuarios o grupos a un estudio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Recuperar los detalles de las tareas de Studio para un usuario o grupo específico

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Enumerar todos los usuarios y grupos asignados a un estudio 
"elasticmapreduce:ListStudioSessionMappings"
Actualizar la política de sesión asociada a un usuario o grupo asignado a un estudio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Eliminar un usuario o grupo de un estudio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Para crear una política con permisos de administrador para EMR Studio

  1. Siga las instrucciones de Creación de políticas de IAM para crear una política mediante uno de los siguientes ejemplos. Los permisos que necesita dependen del modo de autenticación de EMR Studio.

    Introduzca sus propios valores para los siguientes elementos:

    • Sustituya <your-resource-ARN> para especificar el nombre de recurso de Amazon (ARN) del objeto u objetos que cubre la instrucción en sus casos de uso.

    • Sustituya <region> por el código de la Región de AWS donde planea crear el estudio.

    • Sustituya <aws-account_id> por el ID de la cuenta de AWS del estudio.

    • Sustituya <EMRStudio-Service-Role> y <EMRStudio-User-Role> por los nombres de su rol de servicio de EMR Studio y de su rol de usuario de EMR Studio.

    ejemplo Política de ejemplo: permisos de administrador cuando utiliza el modo de autenticación de IAM
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    ejemplo Política de ejemplo: permisos de administrador cuando utiliza el modo de autenticación de IAM Identity Center
    nota

    Las API de Identity Center y del directorio de Identity Center no admiten la especificación de un ARN en el elemento de recurso de una instrucción de la política de IAM. Para permitir el acceso a IAM Identity Center e IAM Identity Center Directory, los siguientes permisos especifican todos los recursos, “Resource”:“*”, para las acciones de IAM Identity Center. Para obtener información, consulte Acciones, recursos y claves de condición de IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Asocie la política a su identidad de IAM (usuario, rol o grupo). Para ver cómo hacerlo, consulte Agregar y eliminar permisos de identidad de IAM.