Permissões de administrador para criar e gerenciar um EMR Studio - Amazon EMR
Permissões necessárias para gerenciar um EMR estúdio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de administrador para criar e gerenciar um EMR Studio

As IAM permissões descritas nesta página permitem que você crie e gerencie um EMR estúdio. Para obter informações detalhadas sobre cada permissão obrigatória, consulte Permissões necessárias para gerenciar um EMR estúdio.

Permissões necessárias para gerenciar um EMR estúdio

A tabela a seguir lista as operações relacionadas à criação e ao gerenciamento de um EMR Studio. A tabela também exibe as permissões necessárias para cada operação.

nota

Você só precisa das SessionMapping ações do IAM Identity Center e do Studio ao usar o modo de autenticação do IAM Identity Center.

Permissões para criar e gerenciar um EMR estúdio
Operation Permissões
Criar um Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Descrever um Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Listar Studios 
"elasticmapreduce:ListStudios"
Excluir um Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Atribuir usuários ou grupos a um Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Recuperar detalhes de atribuição do Studio para um usuário ou um grupo específico

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Listar todos os usuários e os grupos atribuídos a um Studio 
"elasticmapreduce:ListStudioSessionMappings"
Atualizar a política de sessão anexada a um usuário ou a um grupo atribuído a um Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Remover um usuário ou um grupo de um Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Para criar uma política com permissões de administrador para o EMR Studio

  1. Siga as instruções em Criação de IAM políticas para criar uma política usando um dos exemplos a seguir. As permissões de que você precisa dependem do seu modo de autenticação para o EMR Studio.

    Insira seus próprios valores para estes itens:

    • Substituir <seu-recurso- >ARN para especificar o Amazon Resource Name (ARN) do objeto ou objetos que a declaração abrange para seus casos de uso.

    • Substituir <region> com o código de Região da AWS onde você planeja criar o Studio.

    • Substituir <aws-account_id> com o ID da AWS conta do Studio.

    • Substituir <EMRStudio-Service-Role> e <EMRStudio-User-Role> com os nomes da sua função de serviço do EMR Studio e da função de usuário do EMR Studio.

    exemplo Exemplo de política: permissões de administrador quando você usa o modo de IAM autenticação
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>"
            ],
            "Action": "iam:PassRole"
        }
    ]
}
    exemplo Exemplo de política: permissões de administrador ao usar o modo de autenticação do IAM Identity Center
    nota

    O Identity Center e o diretório do Identity Center APIs não suportam a especificação de um elemento ARN no recurso de uma declaração de IAM política. Para permitir o acesso ao IAM Identity Center e ao IAM Identity Center Directory, as permissões a seguir especificam todos os recursos, “Resource” :"*”, para ações do IAM Identity Center. Para obter mais informações, consulte Ações, recursos e chaves de condição para o IAM Identity Center Directory.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*",
            "Action": [
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:DeleteStudio",
                "elasticmapreduce:CreateStudioSessionMapping",
                "elasticmapreduce:GetStudioSessionMapping",
                "elasticmapreduce:UpdateStudioSessionMapping",
                "elasticmapreduce:DeleteStudioSessionMapping"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "<your-resource-ARN>",
            "Action": [
                "elasticmapreduce:ListStudios",
                "elasticmapreduce:ListStudioSessionMappings"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>",
                "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>"
            ],
            "Action": "iam:PassRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "sso:CreateApplication", 
                "sso:PutApplicationAuthenticationMethod", 
                "sso:PutApplicationGrant", 
                "sso:PutApplicationAccessScope",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:DescribeApplication", 
                "sso:DeleteApplication", 
                "sso:DeleteApplicationAuthenticationMethod", 
                "sso:DeleteApplicationAccessScope", 
                "sso:DeleteApplicationGrant", 
                "sso:ListInstances", 
                "sso:CreateApplicationAssignment", 
                "sso:DeleteApplicationAssignment",
                "sso:ListApplicationAssignments", 
                "sso:DescribeInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "sso:CreateInstance",
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "iam:ListPolicies"
            ]
        }
    ]
}

  2. Anexe a política à sua IAM identidade (usuário, função ou grupo). Para obter instruções, consulte Adicionar e remover permissões de IAM identidade.