Autorizzazioni di amministratore per creare e gestire uno Studio EMR - Amazon EMR
Autorizzazioni necessarie per gestire uno Studio EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni di amministratore per creare e gestire uno Studio EMR

Le IAM autorizzazioni descritte in questa pagina ti consentono di creare e gestire uno Studio. EMR Per informazioni dettagliate su ciascuna autorizzazione necessaria, consulta Autorizzazioni necessarie per gestire uno Studio EMR.

Autorizzazioni necessarie per gestire uno Studio EMR

La tabella seguente elenca le operazioni relative alla creazione e alla gestione di uno EMR Studio. Nella tabella vengono inoltre visualizzate le autorizzazioni necessarie per ciascuna operazione.

Nota

SessionMappingLe azioni di IAM Identity Center e Studio sono necessarie solo quando si utilizza la modalità di autenticazione IAM Identity Center.

Autorizzazioni per creare e gestire uno Studio EMR
Operazione Autorizzazioni
Creazione di uno Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Descrizione di uno Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Elencazione degli Studio 
"elasticmapreduce:ListStudios"
Eliminazione di uno Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Assegnazione di utenti o gruppi a uno Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Recupero dei dettagli delle assegnazioni Studio per un utente o un gruppo

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Elencazione di tutti gli utenti e i gruppi assegnati a uno Studio 
"elasticmapreduce:ListStudioSessionMappings"
Aggiornamento della policy di sessione associata a un utente o a un gruppo assegnato a uno Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Rimozione di un utente o un gruppo da uno Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Per creare una politica con autorizzazioni di amministratore per Studio EMR

  1. Segui le istruzioni in Creazione IAM di politiche per creare una politica utilizzando uno dei seguenti esempi. Le autorizzazioni necessarie dipendono dalla modalità di autenticazione utilizzata per EMR Studio.

    Inserisci valori personalizzati per questi elementi:

    • Replace (Sostituisci) <your-resource- >ARN per specificare l'Amazon Resource Name (ARN) dell'oggetto o degli oggetti coperti dall'istruzione per i tuoi casi d'uso.

    • Replace (Sostituisci) <region> con il codice del Regione AWS luogo in cui intendi creare lo Studio.

    • Replace (Sostituisci) <aws-account_id> con l'ID dell' AWS account dello Studio.

    • Replace (Sostituisci) <EMRStudio-Service-Role> e <EMRStudio-User-Role> con i nomi del ruolo di servizio di EMR Studio e del ruolo utente di EMR Studio.

    Esempio Politica di esempio: autorizzazioni di amministratore quando si utilizza la modalità di IAM autenticazione
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    Esempio Politica di esempio: autorizzazioni di amministratore quando si utilizza la modalità di autenticazione IAM Identity Center
    Nota

    Le directory Identity Center e Identity Center APIs non supportano la specificazione di un elemento ARN nella risorsa di una dichiarazione di IAM policy. Per consentire l'accesso a IAM Identity Center e IAM Identity Center Directory, le seguenti autorizzazioni specificano tutte le risorse, «Resource» :"*», per IAM le azioni di Identity Center. Per ulteriori informazioni, vedere Azioni, risorse e chiavi di condizione per IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Allega la policy alla tua IAM identità (utente, ruolo o gruppo). Per istruzioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.