Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos de administrador para crear y administrar un EMR Studio
<a name="emr-studio-admin-permissions"></a>

Los permisos de IAM descritos en esta página le permiten crear y administrar un EMR Studio. Para obtener información detallada sobre cada permiso necesario, consulte la [Permisos necesarios para administrar un EMR Studio](#emr-studio-admin-permissions-table).

## Permisos necesarios para administrar un EMR Studio
<a name="emr-studio-admin-permissions-table"></a>

En la siguiente tabla se enumeran las operaciones relacionadas con la creación y administración de un EMR Studio. En la tabla también se muestran los permisos necesarios para cada operación.

**nota**  
Solo necesita las acciones `SessionMapping` de IAM Identity Center y Studio cuando utiliza el modo de autenticación del IAM Identity Center.


**Permisos para crear y administrar un EMR Studio**  

<table>
<thead>
  <tr><th>Operación</th><th>Permisos</th></tr>
</thead>
<tbody>
  <tr><td>Crear un estudio</td><td> <pre>"elasticmapreduce:CreateStudio", <br />"sso:CreateApplication",<br />"sso:PutApplicationAuthenticationMethod",<br />"sso:PutApplicationGrant",<br />"sso:PutApplicationAccessScope",<br />"sso:PutApplicationAssignmentConfiguration",<br />"iam:PassRole"</pre> </td></tr>
  <tr><td>Describir un estudio</td><td> <pre>"elasticmapreduce:DescribeStudio",<br />"sso:GetManagedApplicationInstance"</pre> </td></tr>
  <tr><td>Enumerar los estudios</td><td> <pre>"elasticmapreduce:ListStudios"</pre> </td></tr>
  <tr><td>Eliminar un estudio</td><td> <pre>"elasticmapreduce:DeleteStudio",<br />"sso:DeleteApplication",<br />"sso:DeleteApplicationAuthenticationMethod",<br />"sso:DeleteApplicationAccessScope",<br />"sso:DeleteApplicationGrant"</pre> </td></tr>
  <tr><td colspan="2">Additional permissions required when you use IAM Identity Center mode</td></tr>
  <tr><td>Asignar usuarios o grupos a un estudio</td><td> <pre>"elasticmapreduce:CreateStudioSessionMapping",<br />"sso:GetProfile",<br />"sso:ListDirectoryAssociations",<br />"sso:ListProfiles",<br />"sso:AssociateProfile",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListInstances",<br />"sso:CreateApplicationAssignment",<br />"sso:DescribeInstance",<br />"organizations:DescribeOrganization",<br />"organizations:ListDelegatedAdministrators",<br />"sso:CreateInstance",<br />"sso:DescribeRegisteredRegions",<br />"sso:GetSharedSsoConfiguration",<br />"iam:ListPolicies"</pre> </td></tr>
  <tr><td>Recuperar los detalles de las tareas de Studio para un usuario o grupo específico</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"elasticmapreduce:GetStudioSessionMapping"</pre> </td></tr>
  <tr><td>Enumerar todos los usuarios y grupos asignados a un estudio</td><td> <pre>"elasticmapreduce:ListStudioSessionMappings"</pre> </td></tr>
  <tr><td>Actualizar la política de sesión asociada a un usuario o grupo asignado a un estudio</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"elasticmapreduce:UpdateStudioSessionMapping"</pre> </td></tr>
  <tr><td>Eliminar un usuario o grupo de un estudio</td><td> <pre>"elasticmapreduce:DeleteStudioSessionMapping",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListDirectoryAssociations",<br />"sso:GetProfile",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"sso:ListProfiles",<br />"sso:DisassociateProfile",<br />"sso:DeleteApplicationAssignment",<br />"sso:ListApplicationAssignments"<br /></pre> </td></tr>
</tbody>
</table>


**Para crear una política con permisos de administrador para EMR Studio**

1. Siga las instrucciones de [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) para crear una política mediante uno de los siguientes ejemplos. Los permisos que necesita dependen del [modo de autenticación de EMR Studio](emr-studio-authentication.md). 

   Introduzca sus propios valores para los siguientes elementos:
   + Sustitúyalo {{`<your-resource-ARN>` }} para especificar el nombre de recurso de Amazon (ARN) del objeto o los objetos que cubre la declaración para sus casos de uso.
   + {{<region>}}Sustitúyalo por el código del Región de AWS lugar donde planea crear el estudio.
   + {{<aws-account\_id>}}Sustitúyalo por el ID de la AWS cuenta del estudio.
   + Sustituya {{<EMRStudio-Service-Role>}} y por {{<EMRStudio-User-Role>}} los nombres de su función de [servicio de EMR Studio y de su función](emr-studio-service-role.md) de usuario de [EMR](emr-studio-user-permissions.md#emr-studio-create-user-role) Studio.  
**Example Política de ejemplo: permisos de administrador cuando utiliza el modo de autenticación de IAM**  

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudioServiceRole"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       }
     ]
   }
   ```

------  
**Example Política de ejemplo: permisos de administrador cuando utiliza el modo de autenticación de IAM Identity Center**  
**nota**  
Identity Center y el directorio de Identity Center APIs no admiten la especificación de un ARN en el elemento de recurso de una declaración de política de IAM. Para permitir el acceso a IAM Identity Center e IAM Identity Center Directory, los siguientes permisos especifican todos los recursos, “Resource”:“\*”, para las acciones de IAM Identity Center. Para obtener información, consulte [Acciones, recursos y claves de condición de IAM Identity Center Directory](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsssodirectory.html#awsssodirectory-actions-as-permissions).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio",
           "elasticmapreduce:CreateStudioSessionMapping",
           "elasticmapreduce:GetStudioSessionMapping",
           "elasticmapreduce:UpdateStudioSessionMapping",
           "elasticmapreduce:DeleteStudioSessionMapping"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios",
           "elasticmapreduce:ListStudioSessionMappings"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
           "arn:aws:iam::123456789012:role/EMRStudio-User-Role"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "sso:CreateApplication",
           "sso:PutApplicationAuthenticationMethod",
           "sso:PutApplicationGrant",
           "sso:PutApplicationAccessScope",
           "sso:PutApplicationAssignmentConfiguration",
           "sso:DescribeApplication",
           "sso:DeleteApplication",
           "sso:DeleteApplicationAuthenticationMethod",
           "sso:DeleteApplicationAccessScope",
           "sso:DeleteApplicationGrant",
           "sso:ListInstances",
           "sso:CreateApplicationAssignment",
           "sso:DeleteApplicationAssignment",
           "sso:ListApplicationAssignments",
           "sso:DescribeInstance",
           "sso:AssociateProfile",
           "sso:DisassociateProfile",
           "sso:GetProfile",
           "sso:ListDirectoryAssociations",
           "sso:ListProfiles",
           "sso-directory:SearchUsers",
           "sso-directory:SearchGroups",
           "sso-directory:DescribeUser",
           "sso-directory:DescribeGroup",
           "organizations:DescribeOrganization",
           "organizations:ListDelegatedAdministrators",
           "sso:CreateInstance",
           "sso:DescribeRegisteredRegions",
           "sso:GetSharedSsoConfiguration",
           "iam:ListPolicies"
         ],
         "Sid": "AllowSSOCreateapplication"
       }
     ]
   }
   ```

------

1. Asocie la política a su identidad de IAM (usuario, rol o grupo). Para ver cómo hacerlo, consulte [Agregar y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).