Permisos de administrador para crear y administrar un estudio EMR - Amazon EMR
Permisos necesarios para gestionar un EMR estudio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de administrador para crear y administrar un estudio EMR

Los IAM permisos que se describen en esta página te permiten crear y gestionar un EMR estudio. Para obtener información detallada sobre cada permiso necesario, consulte la Permisos necesarios para gestionar un EMR estudio.

Permisos necesarios para gestionar un EMR estudio

En la siguiente tabla se enumeran las operaciones relacionadas con la creación y la administración de un EMR estudio. En la tabla también se muestran los permisos necesarios para cada operación.

nota

Solo necesita SessionMapping acciones de IAM Identity Center y Studio cuando usa el modo de autenticación de IAM Identity Center.

Permisos para crear y administrar un EMR Studio
Operación Permisos
Crear un estudio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Describir un estudio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Enumerar los estudios 
"elasticmapreduce:ListStudios"
Eliminar un estudio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Asignar usuarios o grupos a un estudio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Recuperar los detalles de las tareas de Studio para un usuario o grupo específico

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Enumerar todos los usuarios y grupos asignados a un estudio 
"elasticmapreduce:ListStudioSessionMappings"
Actualizar la política de sesión asociada a un usuario o grupo asignado a un estudio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Eliminar un usuario o grupo de un estudio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Para crear una política con permisos de administrador para EMR Studio

  1. Siga las instrucciones de Creación de IAM políticas para crear una política mediante uno de los siguientes ejemplos. Los permisos que necesita dependen del modo de autenticación de EMR Studio.

    Introduzca sus propios valores para los siguientes elementos:

    • Reemplazar <your-resource- >ARN para especificar el nombre de recurso de Amazon (ARN) del objeto o los objetos que cubre la declaración para sus casos de uso.

    • Reemplazar <region> con el código del Región de AWS lugar donde planea crear el estudio.

    • Reemplazar <aws-account_id> con el ID de la AWS cuenta del estudio.

    • Reemplazar <EMRStudio-Service-Role> y <EMRStudio-User-Role> con los nombres de su función de servicio de EMR Studio y de su función de usuario de EMR Studio.

    ejemplo Política de ejemplo: permisos de administrador cuando usas el modo IAM de autenticación
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    ejemplo Política de ejemplo: permisos de administrador cuando se utiliza el modo de autenticación de IAM Identity Center
    nota

    Identity Center y el directorio de Identity Center APIs no permiten especificar un elemento ARN en el recurso de una declaración de IAM política. Para permitir el acceso a IAM Identity Center y al directorio de IAM Identity Center, los siguientes permisos especifican todos los recursos, «Resource» :"*», para las acciones de IAM Identity Center. Para obtener más información, consulte Acciones, recursos y claves de condición del directorio de IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Adjunte la política a su IAM identidad (usuario, función o grupo). Para obtener instrucciones, consulte Añadir y eliminar permisos de IAM identidad.