기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 페이지에 설명된 IAM 권한을 통해 EMR Studio를 생성하고 관리할 수 있습니다. 필요한 각 권한에 대한 자세한 내용은 EMR Studio를 관리하는 데 필요한 권한 섹션을 참조하세요.
EMR Studio를 관리하는 데 필요한 권한
다음 테이블에는 EMR Studio 생성 및 관리와 관련된 작업이 나열되어 있습니다. 이 테이블에는 각 작업에 필요한 권한도 표시됩니다.
참고
IAM Identity Center 인증 모드를 사용할 때는 IAM Identity Center 및 Studio SessionMapping 작업만 필요합니다.
| Operation | 권한 |
|---|---|
| Studio 생성 |
|
| Studio 설명 |
|
| Studio 나열 |
|
| Studio 삭제 |
|
| Additional permissions required when you use IAM Identity Center mode | |
|
EMR Studio에 사용자 또는 그룹 할당 |
|
|
특정 사용자 또는 그룹의 Studio 할당 세부 정보 검색 |
|
| Studio에 할당된 모든 사용자 및 그룹 나열 |
|
| Studio에 할당된 사용자 또는 그룹에 연결된 세션 정책 업데이트 |
|
| Studio에서 사용자 또는 그룹 제거 |
|
EMR Studio에 대한 관리자 권한이 포함된 정책을 생성하는 방법
-
IAM 정책 생성 지침에 따라 다음 예제 중 하나를 사용하여 정책을 생성합니다. 필요한 권한은 EMR Studio의 인증 모드에 따라 달라집니다.
다음 항목에 대한 고유한 값을 삽입합니다.
-
명령문이 사용 사례에서 다루는 객체 또는 객체의 Amazon 리소스 이름(ARN)을 지정하도록
<your-resource-ARN> -
<region>을 Studio를 생성할 AWS 리전 의 코드로 바꿉니다. -
<aws-account_id>를 Studio의 AWS 계정 ID로 바꿉니다. -
<EMRStudio-Service-Role>및<EMRStudio-User-Role>을 EMR Studio 서비스 역할 및 EMR Studio 사용자 역할 이름으로 바꿉니다.
예 정책 예제: IAM 인증 모드를 사용할 때 관리자 권한
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>" ], "Action": "iam:PassRole" } ] }예제 정책: IAM Identity Center 인증 모드를 사용할 때 관리자 권한
참고
Identity Center 및 Identity Center 디렉터리 API는 IAM 정책 명령문의 리소스 요소에 ARN을 지정하는 기능을 지원하지 않습니다. IAM Identity Center 및 IAM Identity Center 디렉터리에 대한 액세스를 허용하기 위해 다음 권한은 IAM Identity Center 작업에 대한 모든 리소스("Resource":"*")를 지정합니다. 자세한 내용은 IAM Identity Center 디렉터리에 대한 작업, 리소스 및 조건 키를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio", "elasticmapreduce:CreateStudioSessionMapping", "elasticmapreduce:GetStudioSessionMapping", "elasticmapreduce:UpdateStudioSessionMapping", "elasticmapreduce:DeleteStudioSessionMapping" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios", "elasticmapreduce:ListStudioSessionMappings" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>", "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>" ], "Action": "iam:PassRole" }, { "Effect": "Allow", "Resource": "*", "Action": [ "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "sso:DescribeApplication", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments", "sso:DescribeInstance", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies" ] } ] } -
-
정책을 IAM 자격 증명(사용자, 그룹 또는 역할)에 연결합니다. 관련 지침은 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
