Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Asignar y administrar usuarios de EMR Studio
<a name="emr-studio-manage-users"></a>

Después de crear un EMR Studio, puede asignarle usuarios y grupos. El método que utilice para asignar, actualizar y eliminar usuarios depende del modo de autenticación de Studio. 
+ Cuando utiliza el modo de autenticación de IAM, debe configurar la asignación de usuarios y los permisos de EMR Studio en IAM o con IAM y su proveedor de identidades. 
+ Con el modo de autenticación de IAM Identity Center, utiliza la consola de administración de Amazon EMR o AWS CLI la para gestionar los usuarios.

Para obtener más información sobre la autenticación en Amazon EMR Studio, consulte [Elija un modo de autenticación para Amazon EMR Studio](emr-studio-authentication.md).

## Asignar un usuario o grupo a un EMR Studio
<a name="emr-studio-assign-users-groups"></a>

------
#### [ IAM ]

Cuando utilice [Configuración del modo de autenticación de IAM para Amazon EMR Studio](emr-studio-authentication.md#emr-studio-iam-authentication), debe permitir la acción `CreateStudioPresignedUrl` en la política de permisos de IAM de un usuario y restringirlo a un estudio concreto. Puede incluir `CreateStudioPresignedUrl` en su [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization) o utilizar una política independiente.

Para restringir a un usuario a un estudio (o conjunto de estudios), puede usar el control de acceso basado en atributos (ABAC) o especificar el nombre de recurso de Amazon (ARN) de un estudio en el elemento `Resource` de la política de permisos. 

**Example Asignar un usuario a un estudio mediante el ARN del estudio**  
El siguiente ejemplo de política proporciona a un usuario acceso a un EMR Studio concreto al permitir la acción `CreateStudioPresignedUrl` y especificar el nombre de recurso de Amazon (ARN) del estudio en el elemento `Resource`.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
      ]
    }
  ]
}
```

**Example Asignar un usuario a un estudio con ABAC para la autenticación de IAM**  
Hay varias formas de configurar el control de acceso basado en atributos (ABAC) en un estudio. Por ejemplo, puede asociar una o más etiquetas a un EMR Studio y, a continuación, crear una política de IAM que restrinja la acción `CreateStudioPresignedUrl` a un estudio concreto o a un conjunto de estudios con esas etiquetas.   
Puede agregar etiquetas durante o después de la creación del estudio. Para agregar etiquetas a un estudio existente, puede utilizar el comando [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html). El siguiente ejemplo agrega una etiqueta con el par clave-valor `Team = Data Analytics` a un EMR Studio.   

```
aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"
```
El siguiente ejemplo de política de permisos permite la acción `CreateStudioPresignedUrl` para los estudios de EMR Studio con el par clave-valor de etiqueta `Team = DataAnalytics`. Para obtener más información sobre el uso de etiquetas para el control de acceso, consulte [Controlar el acceso a y para los usuarios y roles utilizando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) o [Controlar el acceso a los recursos de AWS utilizando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": "Data Analytics"
        }
      }
    }
  ]
}
```

**Example Asigne un usuario a un estudio mediante la clave de condición aws: SourceIdentity global**  
Al utilizar la federación de IAM, puede utilizar la clave de condición global `aws:SourceIdentity` en una política de permisos para que los usuarios accedan a Studio cuando asuman su rol de IAM para la federación.   
Primero debe configurar su proveedor de identidades (IdP) para que devuelva una cadena de identificación, como una dirección de correo electrónico o un nombre de usuario, cuando un usuario se autentique y asuma su rol de IAM para la federación. IAM establece la clave de condición global `aws:SourceIdentity` en la cadena de identificación devuelta por el IdP.  
Para obtener más información, consulte la entrada del blog [Cómo relacionar la actividad del rol de IAM con la identidad corporativa](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) en el blog de AWS seguridad y la referencia [aws: SourceIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) entry in the global condition keys.   
El siguiente ejemplo de política permite la `CreateStudioPresignedUrl` acción y proporciona a los usuarios un acceso `aws:SourceIdentity` que coincide con el *<example-source-identity>* acceso al EMR Studio especificado por. *<example-studio-arn>*    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "example-source-identity"
        }
      },
      "Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
    }
  ]
}
```

------
#### [ IAM Identity Center ]

Al asignar un usuario o un grupo a un EMR Studio, debe especificar una política de sesión que define permisos detallados, como la capacidad de crear un nuevo clúster de EMR, para ese usuario o grupo. Amazon EMR almacena estas asignaciones de políticas de sesión. Puede actualizar la política de sesión de un usuario o grupo después de la asignación.

**nota**  
Los permisos finales de un usuario o grupo son una intersección de los permisos definidos en su rol de usuario de EMR Studio y los permisos definidos en la política de sesión para ese usuario o grupo. Si un usuario pertenece a más de un grupo asignado al estudio, EMR Studio utiliza una unión de permisos para ese usuario.

**Para asignar usuarios o grupos a un EMR Studio mediante la consola de Amazon EMR**

1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.

1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.

1. Elija la pestaña **Agregar usuarios** para ver la tabla de búsqueda **Usuarios** y **Grupos**.

1. Seleccione la pestaña **Usuarios** o la pestaña **Grupos** e introduzca un término de búsqueda en la barra de búsqueda para buscar un usuario o grupo. 

1. Seleccione uno o más usuarios o grupos de la lista de resultados de la búsqueda. Puede cambiar de una pestaña a otra de **Usuarios** y **Grupos**.

1. Tras seleccionar los usuarios y grupos para agregarlos al estudio, seleccione **Agregar**. Debería ver los usuarios y grupos en la lista **Usuarios del estudio**. La lista puede tardar unos segundos en actualizarse.

1. Siga las instrucciones que se indican en [Actualizar los permisos de un usuario o grupo asignado a un estudio](#emr-studio-update-user) para ajustar los permisos de Studio de un usuario o un grupo.

**Para asignar un usuario o grupo a un EMR Studio con la AWS CLI**

Inserte sus propios valores para los siguientes argumentos de `create-studio-session-mapping`. Para obtener más información sobre el comando `create-studio-session-mapping`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`**: el ID del estudio al que quiere asignar el usuario o grupo. Para obtener instrucciones sobre cómo recuperar un ID de Studio, consulte [Ver detalles del estudio](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name`: el nombre del usuario o grupo del Almacén de identidades. Para obtener más información, consulte la [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)sección sobre usuarios y [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)grupos en la *referencia de la API de Identity Store*.
+ **`--identity-type`**: utilice `USER` o `GROUP` para especificar el tipo de identidad.
+ **`--session-policy-arn`**: el Nombre de recurso de Amazon (ARN) de la política de sesión que desee asociar al usuario o grupo. Por ejemplo, `arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy`. Para obtener más información, consulte [Creación de políticas de permisos para los usuarios de EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).

```
aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
```

**nota**  
Se incluyen caracteres de continuación de línea de Linux (\$1) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).

Utilice el comando `get-studio-session-mapping` para comprobar la nueva asignación. *<example-identity-name>*Sustitúyalo por el nombre del centro de identidad de IAM del usuario o grupo que actualizaste.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Actualizar los permisos de un usuario o grupo asignado a un estudio
<a name="emr-studio-update-user"></a>

------
#### [ IAM ]

Para actualizar los permisos de un usuario o grupo al utilizar el modo de autenticación de IAM, debe utilizar IAM para cambiar las políticas de permisos de IAM asociadas a sus identidades de IAM (usuarios, grupos o roles). 

Para obtener más información, consulte [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization).

------
#### [ IAM Identity Center ]

****Para actualizar los permisos de EMR Studio de un usuario o grupo mediante la consola****

1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.

1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.

1. En la lista **Usuarios del estudio** de la página de detalles del estudio, busque el usuario o grupo que desee actualizar. Puede buscar por nombre o tipo de identidad.

1. Seleccione el usuario o grupo que desee actualizar y seleccione **Asignar política** para abrir el cuadro de diálogo **Política de sesión**.

1. Seleccione una política para aplicarla al usuario o grupo que eligió en el paso 5 y seleccione **Aplicar política**. La lista **Usuarios del estudio** mostrará el nombre de la política en la columna **Política de sesión** del usuario o grupo que haya actualizado.

**Para actualizar los permisos de EMR Studio para un usuario o un grupo mediante AWS CLI**

Inserte sus propios valores para los siguientes argumentos de `update-studio-session-mappings`. Para obtener más información sobre el comando `update-studio-session-mappings`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).

```
aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \
```

Utilice el comando `get-studio-session-mapping` para comprobar la nueva asignación de la política de sesión. *<example-identity-name>*Sustitúyalo por el nombre del centro de identidad de IAM del usuario o grupo que actualizó.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Eliminar un usuario o grupo de un estudio
<a name="emr-studio-remove-user"></a>

------
#### [ IAM ]

Para eliminar un usuario o un grupo de un EMR Studio al utilizar el modo de autenticación de IAM, debe revocar el acceso del usuario al estudio reconfigurando la política de permisos de IAM del usuario. 

En el siguiente ejemplo de política, suponga que tiene un EMR Studio con el par clave-valor de etiqueta `Team = Quality Assurance`. Según la política, el usuario puede acceder a los estudios etiquetados con la clave `Team` cuyo valor sea igual a `Data Analytics` o `Quality Assurance`. Para eliminar al usuario del estudio etiquetado con `Team = Quality Assurance`, elimine `Quality Assurance` de la lista de valores de etiqueta.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": [
            "Data Analytics",
            "Quality Assurance"
          ]
        }
      }
    }
  ]
}
```

------

------
#### [ IAM Identity Center ]

****Para eliminar un usuario o un grupo de un EMR Studio mediante la consola****

1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.

1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.

1. En la lista **Usuarios del estudio**, en la página de detalles del estudio, busque el usuario o grupo que desee eliminar del estudio. Puede buscar por nombre o tipo de identidad.

1. Seleccione el usuario o grupo que desea eliminar, seleccione **Eliminar** y confirme la eliminación. El usuario o grupo que ha eliminado desaparece de la lista **Usuarios del estudio**.

**Para eliminar un usuario o un grupo de un EMR Studio mediante la AWS CLI**

Inserte sus propios valores para los siguientes argumentos de `delete-studio-session-mapping`. Para obtener más información sobre el comando `delete-studio-session-mapping`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).

```
aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \
```

------