

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões de administrador para criar e gerenciar um EMR Studio
<a name="emr-studio-admin-permissions"></a>

As permissões do IAM descritas nesta página permitem criar e gerenciar um EMR Studio. Para obter informações detalhadas sobre cada permissão obrigatória, consulte [Permissões obrigatórias para gerenciar um EMR Studio](#emr-studio-admin-permissions-table).

## Permissões obrigatórias para gerenciar um EMR Studio
<a name="emr-studio-admin-permissions-table"></a>

A tabela a seguir lista as operações relacionadas à criação e ao gerenciamento de um EMR Studio. A tabela também exibe as permissões necessárias para cada operação.

**nota**  
Você precisa somente de ações `SessionMapping` do Centro de Identidade do IAM e do Studio ao usar o modo de autenticação do Centro de Identidade do IAM.


**Permissões para criar e gerenciar um EMR Studio**  

<table>
<thead>
  <tr><th>Operation</th><th>Permissões</th></tr>
</thead>
<tbody>
  <tr><td>Criar um Studio</td><td> <pre>"elasticmapreduce:CreateStudio", <br />"sso:CreateApplication",<br />"sso:PutApplicationAuthenticationMethod",<br />"sso:PutApplicationGrant",<br />"sso:PutApplicationAccessScope",<br />"sso:PutApplicationAssignmentConfiguration",<br />"iam:PassRole"</pre> </td></tr>
  <tr><td>Descrever um Studio</td><td> <pre>"elasticmapreduce:DescribeStudio",<br />"sso:GetManagedApplicationInstance"</pre> </td></tr>
  <tr><td>Listar Studios</td><td> <pre>"elasticmapreduce:ListStudios"</pre> </td></tr>
  <tr><td>Excluir um Studio</td><td> <pre>"elasticmapreduce:DeleteStudio",<br />"sso:DeleteApplication",<br />"sso:DeleteApplicationAuthenticationMethod",<br />"sso:DeleteApplicationAccessScope",<br />"sso:DeleteApplicationGrant"</pre> </td></tr>
  <tr><td colspan="2">Additional permissions required when you use IAM Identity Center mode</td></tr>
  <tr><td>Atribuir usuários ou grupos a um Studio</td><td> <pre>"elasticmapreduce:CreateStudioSessionMapping",<br />"sso:GetProfile",<br />"sso:ListDirectoryAssociations",<br />"sso:ListProfiles",<br />"sso:AssociateProfile",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListInstances",<br />"sso:CreateApplicationAssignment",<br />"sso:DescribeInstance",<br />"organizations:DescribeOrganization",<br />"organizations:ListDelegatedAdministrators",<br />"sso:CreateInstance",<br />"sso:DescribeRegisteredRegions",<br />"sso:GetSharedSsoConfiguration",<br />"iam:ListPolicies"</pre> </td></tr>
  <tr><td>Recuperar detalhes de atribuição do Studio para um usuário ou um grupo específico</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"elasticmapreduce:GetStudioSessionMapping"</pre> </td></tr>
  <tr><td>Listar todos os usuários e os grupos atribuídos a um Studio</td><td> <pre>"elasticmapreduce:ListStudioSessionMappings"</pre> </td></tr>
  <tr><td>Atualizar a política de sessão anexada a um usuário ou a um grupo atribuído a um Studio</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"elasticmapreduce:UpdateStudioSessionMapping"</pre> </td></tr>
  <tr><td>Remover um usuário ou um grupo de um Studio</td><td> <pre>"elasticmapreduce:DeleteStudioSessionMapping",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListDirectoryAssociations",<br />"sso:GetProfile",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"sso:ListProfiles",<br />"sso:DisassociateProfile",<br />"sso:DeleteApplicationAssignment",<br />"sso:ListApplicationAssignments"<br /></pre> </td></tr>
</tbody>
</table>


**Criar uma política com permissões de administrador para o EMR Studio**

1. Siga as instruções em [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) para criar uma política usando um dos exemplos apresentados a seguir. As permissões necessárias dependem do seu [modo de autenticação para o EMR Studio](emr-studio-authentication.md). 

   Insira seus próprios valores para estes itens:
   + {{`<your-resource-ARN>` }}Substitua para especificar o Amazon Resource Name (ARN) do objeto ou objetos que a declaração abrange para seus casos de uso.
   + {{<region>}}Substitua pelo código do Região da AWS local em que você planeja criar o Studio.
   + {{<aws-account\_id>}}Substitua pelo ID da AWS conta do Studio.
   + Substitua {{<EMRStudio-Service-Role>}} e {{<EMRStudio-User-Role>}} pelos nomes de sua função de [serviço do EMR Studio e função de](emr-studio-service-role.md) usuário do [EMR](emr-studio-user-permissions.md#emr-studio-create-user-role) Studio.  
**Example Política de exemplo: permissões de administrador ao usar o modo de autenticação do IAM**  

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudioServiceRole"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       }
     ]
   }
   ```

------  
**Example Política de exemplo: permissões de administrador ao usar o modo de autenticação do Centro de Identidade do IAM**  
**nota**  
O Identity Center e o diretório do Identity Center APIs não oferecem suporte à especificação de um ARN no elemento de recurso de uma declaração de política do IAM. Para permitir o acesso ao Centro de Identidade do IAM e ao diretório do Centro de Identidade do IAM, as permissões apresentadas a seguir especificam todos os recursos, “Resource”:“\*”, para as ações do Centro de Identidade do IAM. Para obter mais informações, consulte [Actions, resources, and condition keys for IAM Identity Center Directory](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsssodirectory.html#awsssodirectory-actions-as-permissions).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio",
           "elasticmapreduce:CreateStudioSessionMapping",
           "elasticmapreduce:GetStudioSessionMapping",
           "elasticmapreduce:UpdateStudioSessionMapping",
           "elasticmapreduce:DeleteStudioSessionMapping"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios",
           "elasticmapreduce:ListStudioSessionMappings"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
           "arn:aws:iam::123456789012:role/EMRStudio-User-Role"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "sso:CreateApplication",
           "sso:PutApplicationAuthenticationMethod",
           "sso:PutApplicationGrant",
           "sso:PutApplicationAccessScope",
           "sso:PutApplicationAssignmentConfiguration",
           "sso:DescribeApplication",
           "sso:DeleteApplication",
           "sso:DeleteApplicationAuthenticationMethod",
           "sso:DeleteApplicationAccessScope",
           "sso:DeleteApplicationGrant",
           "sso:ListInstances",
           "sso:CreateApplicationAssignment",
           "sso:DeleteApplicationAssignment",
           "sso:ListApplicationAssignments",
           "sso:DescribeInstance",
           "sso:AssociateProfile",
           "sso:DisassociateProfile",
           "sso:GetProfile",
           "sso:ListDirectoryAssociations",
           "sso:ListProfiles",
           "sso-directory:SearchUsers",
           "sso-directory:SearchGroups",
           "sso-directory:DescribeUser",
           "sso-directory:DescribeGroup",
           "organizations:DescribeOrganization",
           "organizations:ListDelegatedAdministrators",
           "sso:CreateInstance",
           "sso:DescribeRegisteredRegions",
           "sso:GetSharedSsoConfiguration",
           "iam:ListPolicies"
         ],
         "Sid": "AllowSSOCreateapplication"
       }
     ]
   }
   ```

------

1. Anexe a política à sua identidade do IAM (usuário, perfil ou grupo). Para obter instruções, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Operation	Permissões
Criar um Studio	"elasticmapreduce:CreateStudio", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "iam:PassRole"
Descrever um Studio	"elasticmapreduce:DescribeStudio", "sso:GetManagedApplicationInstance"
Listar Studios	"elasticmapreduce:ListStudios"
Excluir um Studio	"elasticmapreduce:DeleteStudio", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode
Atribuir usuários ou grupos a um Studio	"elasticmapreduce:CreateStudioSessionMapping", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:AssociateProfile", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DescribeInstance", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies"
Recuperar detalhes de atribuição do Studio para um usuário ou um grupo específico	"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "elasticmapreduce:GetStudioSessionMapping"
Listar todos os usuários e os grupos atribuídos a um Studio	"elasticmapreduce:ListStudioSessionMappings"
Atualizar a política de sessão anexada a um usuário ou a um grupo atribuído a um Studio	"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "sso:DescribeInstance", "elasticmapreduce:UpdateStudioSessionMapping"
Remover um usuário ou um grupo de um Studio	"elasticmapreduce:DeleteStudioSessionMapping", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListDirectoryAssociations", "sso:GetProfile", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListProfiles", "sso:DisassociateProfile", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments"