Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Roles en tiempo de ejecución de trabajo para Amazon EMR sin servidor
<a name="security-iam-runtime-role"></a>

Puede especificar los permisos del rol de IAM que una ejecución de trabajo de EMR sin servidor puede asumir cuando llame a otros servicios en su nombre. Esto incluye el acceso a Amazon S3 para cualquier fuente de datos, destino y otros AWS recursos, como los clústeres de Amazon Redshift y las tablas de DynamoDB. Para obtener más información acerca de cómo crear un rol, consulte [Crear un rol de tiempo de ejecución del trabajo](getting-started.md#gs-runtime-role).

**Políticas de tiempo de ejecución de ejemplo**

Puede adjuntar una política de tiempo de ejecución, como la siguiente, a un rol de tiempo de ejecución de un trabajo. La siguiente política de tiempo de ejecución de trabajos permite:
+ Acceso de lectura a los buckets de Amazon S3 con ejemplos de EMR.
+ Acceso completo a los buckets de S3.
+ Cree y lea el acceso al catálogo de datos de AWS Glue.

Para añadir acceso a otros AWS recursos, como DynamoDB, tendrá que incluir sus permisos en la política al crear el rol de tiempo de ejecución. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ReadAccessForEMRSamples",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::*.elasticmapreduce",
        "arn:aws:s3:::*.elasticmapreduce/*"
      ]
    },
    {
      "Sid": "FullAccessToS3Bucket",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:ListBucket",
        "s3:DeleteObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket",
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ]
    },
    {
      "Sid": "GlueCreateAndReadDataCatalog",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:CreateDatabase",
        "glue:GetDataBases",
        "glue:CreateTable",
        "glue:GetTable",
        "glue:UpdateTable",
        "glue:DeleteTable",
        "glue:GetTables",
        "glue:GetPartition",
        "glue:GetPartitions",
        "glue:CreatePartition",
        "glue:BatchCreatePartition",
        "glue:GetUserDefinedFunctions"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

**Transferencia de los privilegios del rol**

Puede asociar políticas de permisos de IAM al rol de usuario para permitir al usuario que transfiera solo los roles aprobados. Esto permite a los administradores controlar qué usuarios pueden transferir roles específicos de tiempo de ejecución de trabajos a trabajos de EMR sin servidor. Para obtener más información sobre la configuración de permisos, consulte [Conceder permisos a un usuario para transferir un rol a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).

El siguiente es un ejemplo de política que permite transferir un rol de tiempo de ejecución de un trabajo a la entidad principal del servicio EMR sin servidor.

```
{
     "Effect": "Allow",
     "Action": "iam:PassRole",
     "Resource": "arn:aws:iam::1234567890:role/JobRuntimeRoleForEMRServerless",
        "Condition": {
                "StringLike": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com"
                }
            }
}
```

## Políticas de permisos administradas asociadas con las funciones del tiempo de ejecución
<a name="security-iam-user-access-policies-permissions"></a>

Cuando envía ejecuciones de trabajos a EMR sin servidor a través de la consola de EMR Studio, hay un paso en el que debe elegir un **rol de tiempo de ejecución** para asociarlo a su aplicación. Hay políticas administradas subyacentes asociadas a cada selección de la consola que debe tener en cuenta. Las tres opciones son las siguientes:

1. **Todos los buckets**: si eliges esta opción, se especifica la política FullAccess AWS gestionada de [AmazonS3](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FullAccess.html), que proporciona acceso total a todos los buckets.

1. **Buckets específicos**: esta opción especifica el identificador del nombre de recurso de Amazon (ARN) de cada bucket que seleccione. No hay una política administrada subyacente.

1. **Ninguno**: no se incluye ningún permiso de política administrada.

Le sugerimos que agregue buckets específicos. Si elige todos los buckets, tenga en cuenta que esta opción configura el acceso completo a todos los buckets.