As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões de administrador para criar e gerenciar um EMR Studio
As IAM permissões descritas nesta página permitem que você crie e gerencie um EMR estúdio. Para obter informações detalhadas sobre cada permissão obrigatória, consulte Permissões necessárias para gerenciar um EMR estúdio.
Permissões necessárias para gerenciar um EMR estúdio
A tabela a seguir lista as operações relacionadas à criação e ao gerenciamento de um EMR Studio. A tabela também exibe as permissões necessárias para cada operação.
nota
Você só precisa das SessionMapping
ações do IAM Identity Center e do Studio ao usar o modo de autenticação do IAM Identity Center.
Operação | Permissões |
---|---|
Criar um Studio |
|
Descrever um Studio |
|
Listar Studios |
|
Excluir um Studio |
|
Additional permissions required when you use IAM Identity Center mode | |
Atribuir usuários ou grupos a um Studio |
|
Recuperar detalhes de atribuição do Studio para um usuário ou um grupo específico |
|
Listar todos os usuários e os grupos atribuídos a um Studio |
|
Atualizar a política de sessão anexada a um usuário ou a um grupo atribuído a um Studio |
|
Remover um usuário ou um grupo de um Studio |
|
Para criar uma política com permissões de administrador para o EMR Studio
-
Siga as instruções em Criação de IAM políticas para criar uma política usando um dos exemplos a seguir. As permissões de que você precisa dependem do seu modo de autenticação para o EMR Studio.
Insira seus próprios valores para estes itens:
-
Substitua para especificar o Amazon Resource Name (ARN) do objeto ou objetos que a declaração abrange para seus casos de uso.<your-resource-ARN>
-
<region>
Substitua pelo código do Região da AWS local em que você planeja criar o Studio. -
<aws-account_id>
Substitua pelo ID da AWS conta do Studio. -
Substitua
<EMRStudio-Service-Role>
e<EMRStudio-User-Role>
pelos nomes de sua função de serviço do EMR Studio e função de usuário do EMR Studio.
exemplo Exemplo de política: permissões de administrador quando você usa o modo de IAM autenticação
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:
<region>
:<aws-account-id>
:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>
", "Action": [ "elasticmapreduce:ListStudios" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>
:role/<EMRStudio-Service-Role>
" ], "Action": "iam:PassRole" } ] }exemplo Exemplo de política: permissões de administrador ao usar o modo de autenticação do IAM Identity Center
nota
O Identity Center e o diretório do Identity Center APIs não suportam a especificação de um elemento ARN no recurso de uma declaração de IAM política. Para permitir o acesso ao IAM Identity Center e ao IAM Identity Center Directory, as permissões a seguir especificam todos os recursos, “Resource” :"*”, para ações do IAM Identity Center. Para obter mais informações, consulte Ações, recursos e chaves de condição para o IAM Identity Center Directory.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:
<region>
:<aws-account-id>
:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio", "elasticmapreduce:CreateStudioSessionMapping", "elasticmapreduce:GetStudioSessionMapping", "elasticmapreduce:UpdateStudioSessionMapping", "elasticmapreduce:DeleteStudioSessionMapping" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>
", "Action": [ "elasticmapreduce:ListStudios", "elasticmapreduce:ListStudioSessionMappings" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>
:role/<EMRStudio-Service-Role>
", "arn:aws:iam::<aws-account-id>
:role/<EMRStudio-User-Role>
" ], "Action": "iam:PassRole" }, { "Effect": "Allow", "Resource": "*", "Action": [ "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "sso:DescribeApplication", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments", "sso:DescribeInstance", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies" ] } ] } -
-
Anexe a política à sua IAM identidade (usuário, função ou grupo). Para obter instruções, consulte Adicionar e remover permissões de identidade do IAM.