Autorisations d'administrateur pour créer et gérer un EMR studio - Amazon EMR
Autorisations requises pour gérer un EMR studio

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations d'administrateur pour créer et gérer un EMR studio

Les IAM autorisations décrites sur cette page vous permettent de créer et de gérer un EMR studio. Pour plus d'informations sur chaque autorisation requise, consultez Autorisations requises pour gérer un EMR studio.

Autorisations requises pour gérer un EMR studio

Le tableau suivant répertorie les opérations liées à la création et à la gestion d'un EMR studio. Le tableau affiche également les autorisations nécessaires pour chaque opération.

Note

Vous n'avez besoin des SessionMapping actions IAM Identity Center et Studio que lorsque vous utilisez le mode d'authentification IAM Identity Center.

Autorisations pour créer et gérer un EMR studio
Opération Autorisations
Créer un Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Décrire un Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Répertorier des Studios 
"elasticmapreduce:ListStudios"
Supprimer un Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Attribuer des utilisateurs ou des groupes à un Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Récupérer les détails des attributions Studio pour un utilisateur ou un groupe spécifique

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Répertorier tous les utilisateurs et groupes attribués à un Studio 
"elasticmapreduce:ListStudioSessionMappings"
Mettre à jour la politique de session attachée à un utilisateur ou à un groupe attribué à un Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Supprimer un utilisateur ou un groupe d'un Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Pour créer une politique avec des autorisations d'administrateur pour EMR Studio

  1. Suivez les instructions de la section Création de IAM politiques pour créer une stratégie à l'aide de l'un des exemples suivants. Les autorisations dont vous avez besoin dépendent de votre mode d'authentification pour EMR Studio.

    Saisissez vos propres valeurs pour ces éléments :

    • Remplacez <votre-ressource- >ARN pour spécifier le nom de ressource Amazon (ARN) de l'objet ou des objets couverts par la déclaration pour vos cas d'utilisation.

    • Remplacez <region> avec le code de l' Région AWS endroit où vous comptez créer le Studio.

    • Remplacez <aws-account_id> avec l'identifiant du AWS compte du studio.

    • Remplacez <EMRStudio-Service-Role> and <EMRStudio-User-Role> avec les noms de votre rôle de service EMR Studio et de votre rôle d'utilisateur EMR Studio.

    Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode IAM d'authentification
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode d'authentification IAM Identity Center
    Note

    Identity Center et le répertoire Identity Center APIs ne prennent pas ARN en charge la spécification d'un élément de ressource d'une déclaration de IAM politique. Pour autoriser l'accès à IAM Identity Center et au répertoire IAM Identity Center, les autorisations suivantes spécifient toutes les ressources, « Ressource » * », pour les actions IAM d'Identity Center. Pour plus d'informations, consultez Actions, ressources et clés de condition pour le répertoire IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Associez la politique à votre IAM identité (utilisateur, rôle ou groupe). Pour obtenir des instructions, consultez la section Ajouter et supprimer des autorisations IAM d'identité.