Autorisations d'administrateur pour créer et gérer un EMR Studio - Amazon EMR
Autorisations requises pour gérer un EMR Studio

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations d'administrateur pour créer et gérer un EMR Studio

Les autorisations IAM décrites sur cette page vous permettent de créer et de gérer un EMR Studio. Pour plus d'informations sur chaque autorisation requise, consultez Autorisations requises pour gérer un EMR Studio.

Autorisations requises pour gérer un EMR Studio

Le tableau suivant répertorie les opérations liées à la création et à la gestion d'un EMR Studio. Le tableau affiche également les autorisations nécessaires pour chaque opération.

Note

Vous n'avez besoin des actions SessionMapping IAM Identity Center et Studio que lorsque vous utilisez le mode d'authentification IAM Identity Center.

Autorisations pour créer et gérer un EMR Studio
Opération Autorisations
Créer un Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Décrire un Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Répertorier des Studios 
"elasticmapreduce:ListStudios"
Supprimer un Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Attribuer des utilisateurs ou des groupes à un Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Récupérer les détails des attributions Studio pour un utilisateur ou un groupe spécifique

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Répertorier tous les utilisateurs et groupes attribués à un Studio 
"elasticmapreduce:ListStudioSessionMappings"
Mettre à jour la politique de session attachée à un utilisateur ou à un groupe attribué à un Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Supprimer un utilisateur ou un groupe d'un Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Pour créer une politique avec des autorisations d'administrateur pour EMR Studio

  1. Suivez les instructions de la rubrique Création de politiques IAM pour créer une politique à l'aide de l'un des exemples suivants. Les autorisations dont vous avez besoin dépendent de votre mode d'authentification pour EMR Studio.

    Saisissez vos propres valeurs pour ces éléments :

    • Remplacez <your-resource-ARN> pour spécifier le nom de ressource Amazon (ARN) de l'objet ou des objets couverts par la déclaration pour vos cas d'utilisation.

    • <region>Remplacez-le par le code de l' Région AWS endroit où vous souhaitez créer le studio.

    • Remplacez <aws-account_id> par l'identifiant du AWS compte du studio.

    • Remplacez <EMRStudio-Service-Role> et <EMRStudio-User-Role> par les noms de votre rôle de service EMR Studio et de votre rôle d'utilisateur EMR Studio.

    Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode d'authentification IAM
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    Exemple de politique : autorisations d'administrateur lorsque vous utilisez le mode d'authentification IAM Identity Center
    Note

    Identity Center et le répertoire Identity Center APIs ne prennent pas en charge la spécification d'un ARN dans l'élément ressource d'une déclaration de politique IAM. Pour autoriser l'accès à IAM Identity Center et à IAM Identity Center Directory, les autorisations suivantes spécifient toutes les ressources, "Resource":"*", pour les actions IAM Identity Center. Pour de plus amples informations, veuillez consulter Actions, ressources et clés de condition pour IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Attachez la politique à votre identité IAM (groupe, rôle ou groupe). Pour de plus amples instructions, consultez la rubrique Ajout et suppression d'autorisations basées sur l'identité IAM.