Administratorrechte zum Erstellen und Verwalten eines Studios EMR - Amazon EMR
Für die Verwaltung eines EMR Studios sind Berechtigungen erforderlich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administratorrechte zum Erstellen und Verwalten eines Studios EMR

Die auf dieser Seite beschriebenen IAM Berechtigungen ermöglichen es Ihnen, ein EMR Studio zu erstellen und zu verwalten. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter Für die Verwaltung eines EMR Studios sind Berechtigungen erforderlich.

Für die Verwaltung eines EMR Studios sind Berechtigungen erforderlich

In der folgenden Tabelle sind die Vorgänge im Zusammenhang mit der Erstellung und Verwaltung eines EMR Studios aufgeführt. In der Tabelle werden auch die für jeden Vorgang erforderlichen Berechtigungen angezeigt.

Anmerkung

Sie benötigen IAM Identity Center- und SessionMapping Studio-Aktionen nur, wenn Sie den IAM Identity Center-Authentifizierungsmodus verwenden.

Berechtigungen zum Erstellen und Verwalten eines EMR Studios
Operation Berechtigungen
Ein Studio erstellen 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Ein Studio beschreiben 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Studios auflisten 
"elasticmapreduce:ListStudios"
Ein Studio löschen 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Einem Studio Benutzer oder Gruppen zuweisen

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Rufen Sie die Studio-Zuweisungsdetails für einen bestimmten Benutzer oder eine bestimmte Gruppe ab

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Alle Benutzer und Gruppen auflisten, die einem Studio zugewiesen sind 
"elasticmapreduce:ListStudioSessionMappings"
Aktualisieren Sie die Sitzungsrichtlinie, die einem Benutzer oder einer Gruppe zugewiesen ist, die einem Studio zugewiesen ist 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Einen Benutzer oder eine Gruppe aus einem Studio entfernen 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Um eine Richtlinie mit Administratorberechtigungen für EMR Studio zu erstellen

  1. Folgen Sie den Anweisungen unter IAMRichtlinien erstellen, um eine Richtlinie anhand eines der folgenden Beispiele zu erstellen. Welche Berechtigungen Sie benötigen, hängt von Ihrem Authentifizierungsmodus für EMR Studio ab.

    Fügen Sie Ihre eigenen Werte für diese Elemente ein:

    • Ersetzen <deine-ressource- >ARN um den Amazon-Ressourcennamen (ARN) des Objekts oder der Objekte anzugeben, die die Anweisung für Ihre Anwendungsfälle abdeckt.

    • Ersetzen <region> mit dem Code des Ortes AWS-Region , an dem Sie das Studio erstellen möchten.

    • Ersetzen <aws-account_id> mit der ID des AWS Kontos für das Studio.

    • Ersetzen <EMRStudio-Service-Role> and <EMRStudio-User-Role> mit den Namen Ihrer EMRStudio-Dienstrolle und EMRStudio-Benutzerrolle.

    Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM Authentifizierungsmodus verwenden
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    Beispielrichtlinie: Administratorberechtigungen, wenn Sie den IAM Identity Center-Authentifizierungsmodus verwenden
    Anmerkung

    Identity Center und das Identity Center-Verzeichnis unterstützen die Angabe eines ARN im Ressourcenelement einer IAM Richtlinienerklärung APIs nicht. Um den Zugriff auf IAM Identity Center und das IAM Identity Center-Verzeichnis zu ermöglichen, spezifizieren die folgenden Berechtigungen alle Ressourcen, „Ressource“ :"*“, für IAM Identity Center-Aktionen. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Ordnen Sie die Richtlinie Ihrer IAM Identität (Benutzer, Rolle oder Gruppe) zu. Anweisungen finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.