Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations d'administrateur pour créer et gérer un EMR studio
Les IAM autorisations décrites sur cette page vous permettent de créer et de gérer un EMR studio. Pour plus d'informations sur chaque autorisation requise, consultez Autorisations requises pour gérer un EMR studio.
Autorisations requises pour gérer un EMR studio
Le tableau suivant répertorie les opérations liées à la création et à la gestion d'un EMR studio. Le tableau affiche également les autorisations nécessaires pour chaque opération.
Note
Vous n'avez besoin des SessionMapping actions IAM Identity Center et Studio que lorsque vous utilisez le mode d'authentification IAM Identity Center.
| Opération | Autorisations |
|---|---|
| Créer un Studio |
|
| Décrire un Studio |
|
| Répertorier des Studios |
|
| Supprimer un Studio |
|
| Additional permissions required when you use IAM Identity Center mode | |
|
Attribuer des utilisateurs ou des groupes à un Studio |
|
|
Récupérer les détails des attributions Studio pour un utilisateur ou un groupe spécifique |
|
| Répertorier tous les utilisateurs et groupes attribués à un Studio |
|
| Mettre à jour la politique de session attachée à un utilisateur ou à un groupe attribué à un Studio |
|
| Supprimer un utilisateur ou un groupe d'un Studio |
|
Pour créer une politique avec des autorisations d'administrateur pour EMR Studio
-
Suivez les instructions de la section Création de IAM politiques pour créer une stratégie à l'aide de l'un des exemples suivants. Les autorisations dont vous avez besoin dépendent de votre mode d'authentification pour EMR Studio.
Saisissez vos propres valeurs pour ces éléments :
-
Remplacez
<votre-ressource- >ARN -
Remplacez
<region>avec le code de l' Région AWS endroit où vous comptez créer le Studio. -
Remplacez
<aws-account_id>avec l'identifiant du AWS compte du studio. -
Remplacez
<EMRStudio-Service-Role>and<EMRStudio-User-Role>avec les noms de votre rôle de service EMR Studio et de votre rôle d'utilisateur EMR Studio.
Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode IAM d'authentification
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>" ], "Action": "iam:PassRole" } ] }Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode d'authentification IAM Identity Center
Note
Identity Center et le répertoire Identity Center APIs ne prennent pas ARN en charge la spécification d'un élément de ressource d'une déclaration de IAM politique. Pour autoriser l'accès à IAM Identity Center et au répertoire IAM Identity Center, les autorisations suivantes spécifient toutes les ressources, « Ressource » * », pour les actions IAM d'Identity Center. Pour plus d'informations, consultez Actions, ressources et clés de condition pour IAM Identity Center Directory.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio", "elasticmapreduce:CreateStudioSessionMapping", "elasticmapreduce:GetStudioSessionMapping", "elasticmapreduce:UpdateStudioSessionMapping", "elasticmapreduce:DeleteStudioSessionMapping" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios", "elasticmapreduce:ListStudioSessionMappings" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>", "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>" ], "Action": "iam:PassRole" }, { "Effect": "Allow", "Resource": "*", "Action": [ "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "sso:DescribeApplication", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments", "sso:DescribeInstance", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies" ] } ] } -
-
Associez la politique à votre IAM identité (utilisateur, rôle ou groupe). Pour obtenir des instructions, consultez la section Ajouter et supprimer des autorisations IAM d'identité.
