Izin administrator untuk membuat dan mengelola Studio EMR - Amazon EMR
Izin yang diperlukan untuk mengelola Studio EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin administrator untuk membuat dan mengelola Studio EMR

IAMIzin yang dijelaskan di halaman ini memungkinkan Anda membuat dan mengelola EMR Studio. Untuk informasi mendetail tentang tiap izin yang diperlukan, lihat Izin yang diperlukan untuk mengelola Studio EMR.

Izin yang diperlukan untuk mengelola Studio EMR

Tabel berikut mencantumkan operasi yang terkait dengan pembuatan dan pengelolaan EMR Studio. Tabel juga menampilkan izin yang diperlukan untuk setiap operasi.

catatan

Anda hanya memerlukan SessionMapping tindakan Pusat IAM Identitas dan Studio saat menggunakan mode autentikasi Pusat IAM Identitas.

Izin untuk membuat dan mengelola Studio EMR
Operasi Izin
Membuat Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Menjelaskan Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Daftar Studios 
"elasticmapreduce:ListStudios"
Menghapus Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Menetapkan pengguna atau grup ke Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Ambil detail tugas Studio untuk pengguna atau grup tertentu

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Mencantumkan semua pengguna dan grup yang ditetapkan ke Studio 
"elasticmapreduce:ListStudioSessionMappings"
Memperbarui kebijakan sesi yang dilampirkan ke pengguna atau grup yang ditetapkan ke Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Menghapus pengguna atau grup dari Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Untuk membuat kebijakan dengan izin admin untuk Studio EMR

  1. Ikuti petunjuk dalam Membuat IAM kebijakan untuk membuat kebijakan menggunakan salah satu contoh berikut. Izin yang Anda butuhkan bergantung pada mode otentikasi Anda untuk EMR Studio.

    Masukkan nilai Anda sendiri untuk item ini:

    • Ganti <sumber daya Anda- >ARN untuk menentukan Amazon Resource Name (ARN) dari objek atau objek yang dicakup pernyataan untuk kasus penggunaan Anda.

    • Ganti <region> dengan kode Wilayah AWS tempat Anda berencana untuk membuat Studio.

    • Ganti <aws-account_id> dengan ID AWS akun untuk Studio.

    • Ganti <EMRStudio-Service-Role> and <EMRStudio-User-Role> dengan nama peran layanan EMR Studio dan peran pengguna EMR Studio.

    contoh Contoh kebijakan: Izin admin saat Anda menggunakan mode IAM otentikasi
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    contoh Contoh kebijakan: Izin admin saat Anda menggunakan mode autentikasi Pusat IAM Identitas
    catatan

    Direktori Pusat Identitas dan Pusat Identitas APIs tidak mendukung ARN penentuan elemen sumber daya dari pernyataan IAM kebijakan. Untuk mengizinkan akses ke Pusat IAM Identitas dan Direktori Pusat IAM Identitas, izin berikut menentukan semua sumber daya, “Sumber Daya” :"*”, untuk tindakan Pusat IAM Identitas. Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Direktori Pusat IAM Identitas.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Lampirkan kebijakan ke IAM identitas Anda (pengguna, peran, atau grup). Untuk petunjuk, lihat Menambahkan dan menghapus izin IAM identitas.