/start
```
## Configuración del modo de autenticación de IAM Identity Center para Amazon EMR Studio
Para prepararse AWS IAM Identity Center para EMR Studio, debe configurar su fuente de identidad y aprovisionar usuarios y grupos. El aprovisionamiento es el proceso de poner la información de usuarios y grupos a disposición de IAM Identity Center y de las aplicaciones que utilizan IAM Identity Center. Para obtener más información, consulte [Aprovisionamiento de usuarios y grupos](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision).
EMR Studio admite el uso de los siguientes proveedores de identidades para IAM Identity Center:
+ **AWS Managed Microsoft AD y Active Directory autoadministrado**: para obtener más información, consulte [Conectarse al directorio de Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html).
+ **Proveedores basados en SAML**: para ver una lista completa, consulte [Proveedores de identidades compatibles](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **El directorio de IAM Identity Center**: para obtener más información, consulte [Administrar identidades en IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).
**Para configurar IAM Identity Center para EMR Studio**
1. Para configurar IAM Identity Center para EMR Studio, necesita lo siguiente:
+ Una cuenta de administración en su AWS organización si usa varias cuentas en su organización.
**nota**
Solo debe usar su cuenta de administración para habilitar IAM Identity Center y *aprovisionar* usuarios y grupos. Tras configurar IAM Identity Center, utilice una cuenta de miembro para crear un EMR Studio y *asignar* usuarios y grupos. Para obtener más información sobre AWS la terminología, consulte [AWS Organizations Terminología y conceptos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Si activó el Centro de identidad de IAM antes del 25 de noviembre de 2019, es posible que deba habilitar las aplicaciones que utilizan el Centro de identidad de IAM para las cuentas de su AWS organización. Para obtener más información, consulte [Habilitar las aplicaciones integradas en el IAM Identity Center en las cuentas](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement). AWS
+ Asegúrese de que los requisitos previos figuren en la página [Requisitos previos de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).
1. Siga las instrucciones de [Activar el centro de identidad de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) para activar el centro de identidad de IAM en el Región de AWS lugar donde desee crear el EMR Studio.
1. Conecte IAM Identity Center con su proveedor de identidades y aprovisione los usuarios y grupos que desee asignar al estudio.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-authentication.html)
Ahora puede asignar usuarios y grupos de su almacén de identidades a un EMR Studio. Para obtener instrucciones, consulte [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
# Crear un rol de servicio de EMR Studio
## Acerca del rol de servicio de EMR Studio
Cada EMR Studio utiliza un rol de IAM con permisos que permiten al estudio interactuar con otros servicios. AWS Esta función de servicio debe incluir permisos que permitan a EMR Studio establecer un canal de red seguro entre los espacios de trabajo y los clústeres, almacenar los archivos del bloc de notas y acceder a ellos AWS Secrets Manager al vincular un espacio de trabajo a un repositorio de Git. Amazon S3 Control
Utilice el rol de servicio de Studio (en lugar de las políticas de sesión) para definir todos los permisos de acceso a Amazon S3 para almacenar los archivos de cuadernos y para definir los permisos de acceso de AWS Secrets Manager .
## Cómo crear un rol de servicio para EMR Studio en Amazon EC2 o Amazon EKS
1. Siga las instrucciones de [Creación de un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para crear el rol de servicio con la siguiente política de confianza.
**importante**
La siguiente política de confianza incluye las claves de condición globales [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) para limitar los permisos que concede a EMR Studio a determinados recursos de su cuenta. Si lo hace, podrá protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Quite los permisos de rol predeterminados. A continuación, incluya los permisos del siguiente ejemplo de política de permisos de IAM. Como opción, puede crear una política personalizada que usa [Permisos del rol de servicio de EMR Studio](#emr-studio-service-role-permissions-table).
**importante**
Para que el control de acceso basado en etiquetas de Amazon EC2 funcione con EMR Studio, debe configurar el acceso a la API `ModifyNetworkInterfaceAttribute` tal y como se muestra en la siguiente política.
Para asegurarse de que EMR Studio trabaje con el rol de servicio, no debe cambiar ninguna de estas instrucciones: `AllowAddingEMRTagsDuringDefaultSecurityGroupCreation` y `AllowAddingTagsDuringEC2ENICreation`.
Para usar la política de ejemplo, debe etiquetar los siguientes recursos con la clave `"for-use-with-amazon-emr-managed-policies"` y el valor `"true"`.
Su Amazon Virtual Private Cloud (VPC) para EMR Studio.
Cada subred que desee utilizar con el estudio.
Cualquier grupo de seguridad de EMR Studio personalizado. Debe etiquetar los grupos de seguridad que haya creado durante el período de vista previa de EMR Studio si desea seguir utilizándolos.
Secretos guardados en él AWS Secrets Manager que los usuarios de Studio utilizan para vincular los repositorios de Git a un espacio de trabajo.
Puede aplicar etiquetas a los recursos mediante la pestaña **Etiquetas** de la pantalla de recursos correspondiente de la Consola de administración de AWS.
Cuando proceda, cambie el `*` en `"Resource":"*"` en la siguiente política para especificar el nombre de recurso de Amazon (ARN) de los recursos que la instrucción cubre en sus casos de uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRReadOnlyActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowEC2ENIActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENIAttributeAction",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2SecurityGroupActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsDuringEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Sid": "AllowEC2ReadOnlyActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowWorkspaceCollaboration",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Conceda a su rol de servicio acceso de lectura y escritura a su ubicación de Amazon S3 para EMR Studio. Utilice el siguiente conjunto mínimo de permisos. Para obtener más información, consulte el ejemplo [Amazon S3: permite el acceso de lectura y escritura a objetos en un bucket de S3 mediante programación y en la consola](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket-console.html).
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Si cifra su bucket de Amazon S3, incluya los siguientes permisos para AWS Key Management Service.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
1. Si quiere controlar el acceso a los secretos de Git a nivel de usuario, agregue permisos basados en etiquetas a `secretsmanager:GetSecretValue` en la **política de roles de usuario** de EMR Studio y elimine los permisos a la política `secretsmanager:GetSecretValue` de la **política de roles de servicio** de EMR Studio. Para obtener más información acerca de cómo utilizar permisos detallados, consulte [Creación de políticas de permisos para los usuarios de EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
## Rol de servicio mínimo para EMR sin servidor
Si desea ejecutar cargas de trabajo interactivas con EMR sin servidor a través de los cuadernos de EMR Studio, utilice la misma política de confianza que empleó para configurar EMR Studio en la sección anterior: [Cómo crear un rol de servicio para EMR Studio en Amazon EC2 o Amazon EKS](#emr-studio-service-role-instructions).
Para su política de IAM, la política mínima viable tiene los siguientes permisos. Actualice `bucket-name` con el nombre del bucket que planea usar al configurar su EMR Studio y espacio de trabajo. EMR Studio usa el bucket como copia de seguridad de los espacios de trabajo y los archivos de cuadernos de su estudio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
Si pretende usar un bucket de Amazon S3 cifrado, agregue los siguientes permisos a su política:
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
## Permisos del rol de servicio de EMR Studio
En la siguiente tabla se enumeran las operaciones que EMR Studio realiza con el rol de servicio, junto con las acciones de IAM necesarias para cada operación.
| Operación | Acciones |
| --- | --- |
| Establezca un canal de red seguro entre un espacio de trabajo y un clúster de EMR y lleve a cabo las acciones de limpieza necesarias. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| Usa las credenciales de Git almacenadas AWS Secrets Manager para vincular los repositorios de Git a un espacio de trabajo. | "secretsmanager:GetSecretValue"
|
| Aplique AWS etiquetas a la interfaz de red y a los grupos de seguridad predeterminados que EMR Studio crea al configurar el canal de red seguro. Para obtener más información, consulte [Tagging AWS resources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) (Etiquetado de los recursos de ). | "ec2:CreateTags"
|
| Acceda a los archivos y metadatos de los cuadernos en Amazon S3 o cárguelos. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
Si usa un bucket de Amazon S3 cifrado, incluya los siguientes permisos. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
| Habilite y configure la colaboración en el espacio de trabajo. | "iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers",
"sso:DescribeApplication",
"sso:DescribeInstance"
|
| [Cifre las libretas y los archivos del espacio de trabajo de EMR Studio mediante claves administradas por el cliente (CMK) con AWS Key Management Service](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-workspace-storage-encryption) | "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
# Configurar los permisos de usuario de EMR Studio para Amazon EC2 o Amazon EKS
Debe configurar las políticas de permisos de usuario para Amazon EMR Studio para poder establecer permisos detallados de usuarios y grupos. Para obtener información sobre cómo funcionan los permisos de usuario en EMR Studio, consulte [Control de acceso](how-emr-studio-works.md#emr-studio-access-control) en [Cómo funciona Amazon EMR Studio](how-emr-studio-works.md).
**nota**
Los permisos que se describen en esta sección no aplican el control de acceso a los datos. Para administrar el acceso a los conjuntos de datos de entrada, debe configurar los permisos para los clústeres que usa Studio. Para obtener más información, consulte [Seguridad en Amazon EMR](emr-security.md).
## Creación de un rol de usuario de EMR Studio para el modo de autenticación de IAM Identity Center
Debe crear un rol de usuario de EMR Studio cuando usa el modo de autenticación de IAM Identity Center.
**Para crear un rol de usuario para EMR Studio**
1. Siga las instrucciones de la *Guía del usuario sobre cómo [crear un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para crear un rol de AWS Identity and Access Management usuario*.
Al crear el rol, utilice la siguiente política de relaciones de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Quite los permisos de rol y las políticas predeterminados.
1. Asocie sus políticas de sesión de EMR Studio al rol de usuario antes de asignar usuarios y grupos a un estudio. Para obtener instrucciones sobre cómo crear políticas de sesión, consulte [Creación de políticas de permisos para los usuarios de EMR Studio](#emr-studio-permissions-policies).
## Creación de políticas de permisos para los usuarios de EMR Studio
Puede ver las siguientes secciones para crear políticas de permisos para EMR Studio.
**Topics**
+ [Creación de las políticas de permisos](#emr-studio-permissions-policies-create)
+ [Definir la propiedad de la colaboración en el espacio de trabajo](#emr-studio-workspace-collaboration-permissions)
+ [Creación de una política de secretos de Git de nivel de usuario](#emr-studio-permissions-policies-git)
+ [Asociación de la política de permisos a la identidad de IAM](#emr-studio-permissions-policies-attach)
**nota**
Para configurar los permisos de acceso a Amazon S3 para almacenar los archivos de cuadernos y establecer los permisos de acceso de AWS Secrets Manager para leer secretos al vincular espacios de trabajo a los repositorios de Git, utilice el rol de servicio de EMR Studio.
### Creación de las políticas de permisos
Cree una o varias políticas de permisos de IAM que especifiquen qué acciones puede realizar un usuario en su Studio. Por ejemplo, puede crear tres políticas independientes para los usuarios [básicos](), [intermedios]() y [avanzados]() de Studio con los ejemplos de políticas de esta página.
Para ver un desglose de todas las operaciones que puede realizar un usuario de Studio junto con las acciones mínimas de IAM necesarias para realizar esa operación, consulte [AWS Identity and Access Management permisos para los usuarios de EMR Studio](#emr-studio-iam-permissions-table). Para ver los pasos para crear las políticas, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía el usuario de IAM*.
La política de permisos debe incluir las siguientes instrucciones.
```
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
}
```
### Definir la propiedad de la colaboración en el espacio de trabajo
La colaboración en el espacio de trabajo permite que varios usuarios trabajen simultáneamente en el mismo espacio de trabajo y se puede configurar con el panel **Colaboración** de la interfaz de usuario del espacio de trabajo. Para ver y utilizar el panel **Colaboración**, el usuario debe tener los siguientes permisos. Cualquier usuario con estos permisos puede ver y usar el panel **Colaboración**.
```
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
```
Para restringir el acceso al panel **Colaboración**, puede utilizar el control de acceso basado en etiquetas. Cuando un usuario crea un espacio de trabajo, EMR Studio aplica una etiqueta predeterminada con una clave de `creatorUserId` cuyo valor es el ID del usuario que crea el espacio de trabajo.
**nota**
EMR Studio agrega la etiqueta `creatorUserId` a los espacios de trabajo creados después del 16 de noviembre de 2021. Para restringir quién puede configurar la colaboración en espacios de trabajo que usted creó antes, le recomendamos que agregue manualmente la etiqueta `creatorUserId` a su espacio de trabajo y, a continuación, utilice el control de acceso basado en etiquetas en sus políticas de permisos de usuario.
La siguiente instrucción de ejemplo permite a un usuario configurar la colaboración para cualquier espacio de trabajo con la clave de etiqueta `creatorUserId` cuyo valor coincida con el ID del usuario (indicado por la variable de política `aws:userId`). En otras palabras, la instrucción permite al usuario configurar la colaboración para los espacios de trabajo que cree. Para obtener más información sobre variables de políticas, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
```
{
"Sid": "UserRolePermissionsForCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userid}"
}
}
}
```
### Creación de una política de secretos de Git de nivel de usuario
**Topics**
+ [Para usar permisos de nivel de usuario](#emr-studio-permissions-policies-user)
+ [Para pasar de los permisos de nivel de servicio a los permisos de nivel de usuario](#emr-studio-permissions-policies-transition)
+ [Para usar permisos de nivel de servicio](#emr-studio-permissions-policies-service)
#### Para usar permisos de nivel de usuario
EMR Studio agrega automáticamente la etiqueta `for-use-with-amazon-emr-managed-user-policies` cuando crea secretos de Git. Si quiere controlar el acceso a los secretos de Git a nivel de usuario, agregue permisos basados en etiquetas a la **política de roles de usuario** de EMR Studio con `secretsmanager:GetSecretValue` como se muestra en la siguiente sección [Para pasar de los permisos de nivel de servicio a los permisos de nivel de usuario](#emr-studio-permissions-policies-transition).
Si ya tiene permisos para `secretsmanager:GetSecretValue` en la **política de roles de servicio** de EMR Studio debe eliminarlos.
#### Para pasar de los permisos de nivel de servicio a los permisos de nivel de usuario
**nota**
La etiqueta `for-use-with-amazon-emr-managed-user-policies` garantiza que los permisos del **paso 1** a continuación concedan al creador del espacio de trabajo acceso al secreto de Git. Sin embargo, si enlazó los repositorios de Git antes del 1 de septiembre de 2023, se denegará el acceso a los secretos de Git correspondientes porque no tienen la etiqueta `for-use-with-amazon-emr-managed-user-policies` aplicada. Para aplicar permisos a nivel de usuario, debes volver a crear los antiguos secretos JupyterLab y volver a vincular los repositorios de Git correspondientes.
Para obtener más información sobre las variables de las políticas, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
1. Agregue los siguientes permisos a la [**política de roles de usuario** de EMR Studio](emr-studio-service-role.md). Utiliza la clave `for-use-with-amazon-emr-managed-user-policies` con el valor `"${aws:userid}"`.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/for-use-with-amazon-emr-managed-user-policies": "${aws:userid}"
}
}
}
```
1. Si está presente, elimine el siguiente permiso de la [política de **roles de servicio** de EMR Studio](emr-studio-service-role.md). Como la política de rol de servicio se aplica a todos los secretos definidos por cada usuario, solo tiene que hacerlo una vez.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
}
```
#### Para usar permisos de nivel de servicio
A partir del 1 de septiembre de 2023, EMR Studio agrega automáticamente la etiqueta `for-use-with-amazon-emr-managed-user-policies` para el control de acceso a nivel de usuario. Como se trata de una capacidad adicional, puede seguir utilizando el acceso a nivel de servicio que está disponible mediante el permiso `GetSecretValue` en el [rol de servicio de EMR Studio](emr-studio-service-role.md).
Para los secretos creados antes del 1 de septiembre de 2023, EMR Studio no agregó la etiqueta `for-use-with-amazon-emr-managed-user-policies`. Para seguir utilizando los permisos de nivel de servicio, simplemente conserve sus permisos actuales de [rol de servicio de EMR Studio](emr-studio-service-role.md) y rol de usuario. Sin embargo, para restringir quién puede acceder a un secreto individual, le recomendamos que siga los pasos en [Para usar permisos de nivel de usuario](#emr-studio-permissions-policies-user) para agregar manualmente la etiqueta `for-use-with-amazon-emr-managed-user-policies` a sus secretos y, a continuación, utilice el control de acceso basado en etiquetas en sus políticas de permisos de usuario.
Para obtener más información sobre las variables de las políticas, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
### Asociación de la política de permisos a la identidad de IAM
En la siguiente tabla se resume la identidad de IAM a la que se asocia una política de permisos, según el modo de autenticación de EMR Studio. Para obtener instrucciones acerca de cómo asociar una política, consulte [Agregar y quitar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
****
| Si usa… | Asociar la política a… |
| --- | --- |
| Autenticación de IAM | Sus identidades de IAM (usuarios, grupos de usuarios o roles). Por ejemplo, puede asociar una política de permisos a un usuario en su Cuenta de AWS. |
| Federación de IAM con un proveedor de identidades (IdP) externo | El rol o roles de IAM que cree para su IdP externo. Por ejemplo, una federación de IAM para SAML 2.0. EMR Studio usa los permisos que asocia a sus roles de IAM para los usuarios con acceso federado a un estudio. |
| IAM Identity Center | Su rol de usuario de Amazon EMR Studio. |
## Ejemplo de políticas de usuario
La siguiente política de usuario básico permite la mayoría de las acciones de EMR Studio, pero no permite que un usuario cree nuevos clústeres de Amazon EMR.
### Política básica
**importante**
La política de ejemplo no incluye el permiso `CreateStudioPresignedUrl`, que debe conceder a un usuario al utilizar el modo de autenticación de IAM. Para obtener más información, consulte [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La política de ejemplo incluye elementos `Condition` para aplicar el control de acceso basado en etiquetas (TBAC) de modo que pueda utilizar la política con el rol de servicio de ejemplo para EMR Studio. Para obtener más información, consulte [Crear un rol de servicio de EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role>"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-aws-111122223333>-region>/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
La siguiente política de usuario intermedio permite la mayoría de las acciones de EMR Studio y permite al usuario crear nuevos clústeres de Amazon EMR mediante una plantilla de clústeres.
### Política intermedia
**importante**
La política de ejemplo no incluye el permiso `CreateStudioPresignedUrl`, que debe conceder a un usuario al utilizar el modo de autenticación de IAM. Para obtener más información, consulte [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La política de ejemplo incluye elementos `Condition` para aplicar el control de acceso basado en etiquetas (TBAC) de modo que pueda utilizar la política con el rol de servicio de ejemplo para EMR Studio. Para obtener más información, consulte [Crear un rol de servicio de EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:us-west-1:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
}
]
}
```
------
La siguiente política de usuario avanzada admite todas las acciones de EMR Studio y permite al usuario crear nuevos clústeres de Amazon EMR mediante una plantilla de clústeres o proporcionando una configuración de clúster.
### Política avanzada
**importante**
La política de ejemplo no incluye el permiso `CreateStudioPresignedUrl`, que debe conceder a un usuario al utilizar el modo de autenticación de IAM. Para obtener más información, consulte [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
La política de ejemplo incluye elementos `Condition` para aplicar el control de acceso basado en etiquetas (TBAC) de modo que pueda utilizar la política con el rol de servicio de ejemplo para EMR Studio. Para obtener más información, consulte [Crear un rol de servicio de EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:*:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRCreateClusterAdvancedActions",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role",
"arn:aws:iam::*:role/EMR_DefaultRole_V2",
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "SageMakerDataWranglerForEMRStudio",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowCodeWhisperer",
"Effect": "Allow",
"Action": [
"codewhisperer:GenerateRecommendations"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowAthenaSQL",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
La siguiente política de usuario contiene los permisos de usuario básicos que se necesitan para utilizar una aplicación interactiva de EMR sin servidor con espacios de trabajo de EMR Studio.
### Política interactiva de EMR sin servidor
[En este ejemplo de política que tiene permisos de usuario para las aplicaciones interactivas EMR Serverless con EMR Studio, sustituya los marcadores de posición por y por el rol de [servicio](emr-studio-service-role.md) EMR Studio y el *serverless-runtime-role* rol de tiempo de *emr-studio-service-role* ejecución EMR Serverless correctos.](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:UpdateStudio",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio",
"elasticmapreduce:ListStudios",
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningEMRServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndGetPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS Identity and Access Management permisos para los usuarios de EMR Studio
En la tabla siguiente se indican todas las operaciones de Amazon EMR Studio que puede realizar un usuario y se enumeran las acciones de IAM mínimas necesarias para realizar esa operación. Puede permitir estas acciones en sus políticas de permisos de IAM (al usar la autenticación de IAM) o en sus políticas de sesión con roles de usuario (al usar la autenticación de IAM Identity Center) para EMR Studio.
En la tabla también se muestran las operaciones permitidas en cada una de las políticas de permisos de ejemplo para EMR Studio. Para obtener más información acerca de las políticas de permisos de ejemplo, consulte [Creación de políticas de permisos para los usuarios de EMR Studio](#emr-studio-permissions-policies).
| Action | Basic | Intermedia | Avanzado | Acciones asociadas |
| --- | --- | --- | --- | --- |
| Crear y eliminar espacios de trabajo | Sí | Sí | Sí | "elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:DeleteEditor"
|
| Consulte el panel Colaboración, habilite la colaboración en el espacio de trabajo y agregue a colaboradores. Para obtener más información, consulte [Establecer la propiedad de la colaboración en el espacio de trabajo](#emr-studio-workspace-collaboration-permissions). | Sí | Sí | Sí | "elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
|
| Consulte una lista de depósitos de Amazon S3 Control almacenamiento en la misma cuenta que Studio al crear un nuevo clúster de EMR y acceda a los registros del contenedor cuando utilice una interfaz de usuario web para depurar aplicaciones | Sí | Sí | Sí | "s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
|
| Acceder a los espacios de trabajo | Sí | Sí | Sí | "elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:OpenEditorInConsole"
|
| Asociar o separar los clústeres de Amazon EMR existentes asociados al espacio de trabajo | Sí | Sí | Sí | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions"
|
| Asociar o separar clústeres de Amazon EMR en EKS | Sí | Sí | Sí | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:GetManagedEndpointSessionCredentials"
|
| Adjuntar o desconectar las aplicaciones de EMR sin servidor asociadas al espacio de trabajo | No | Sí | Sí | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints",
"iam:PassRole"
El permiso `PassRole` es necesario para pasar el rol de tiempo de ejecución del trabajo de EMR sin servidor. Para obtener más información, consulte [Roles de tiempo de ejecución de trabajo](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) en la *Guía del usuario de Amazon EMR sin servidor*. |
| Depurar Amazon EMR en trabajos de EC2 con interfaces de usuario de aplicaciones persistentes | Sí | Sí | Sí | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:DescribeCluster",
"s3:ListBucket",
"s3:GetObject"
|
| Depurar Amazon EMR en trabajos de EC2 con interfaces de usuario de aplicaciones en clústeres | Sí | Sí | Sí | "elasticmapreduce:GetOnClusterAppUIPresignedURL"
|
| Depurar Amazon EMR en ejecuciones de trabajos de EKS mediante el servidor de historial de Spark | Sí | Sí | Sí | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListJobRuns",
"emr-containers:DescribeJobRun",
"s3:ListBucket",
"s3:GetObject"
|
| Crear y eliminar repositorios de Git | Sí | Sí | Sí | "elasticmapreduce:CreateRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository",
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets",
"secretsmanager:TagResource"
|
| Vincular y desvincular repositorios de Git | Sí | Sí | Sí | "elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository"
|
| Crear nuevos clústeres a partir de plantillas de clústeres predefinidas | No | Sí | Sí | "servicecatalog:SearchProducts",
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"cloudformation:DescribeStackResources",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| Brinde una configuración de clúster para crear nuevos clústeres. | No | No | Sí | "elasticmapreduce:RunJobFlow",
"iam:PassRole",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| [Asigne un usuario a un Studio cuando utilice el modo de autenticación de IAM.](emr-studio-manage-users.md#emr-studio-assign-users-groups) | No | No | No | "elasticmapreduce:CreateStudioPresignedUrl"
|
| Describir los objetos de la red. | Sí | Sí | Sí | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
}
]
}
``` |
| Enumerar los roles de IAM. | Sí | Sí | Sí | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
``` |
| [Conéctese a EMR Studio desde Amazon SageMaker AI Studio y utilice la interfaz visual Data Wrangler.](https://aws.amazon.com/blogs/machine-learning/prepare-data-from-amazon-emr-for-machine-learning-using-amazon-sagemaker-data-wrangler/) | No | No | Sí | "sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
|
| [Utilice Amazon CodeWhisperer en su estudio de EMR.](emr-studio-codewhisperer.md) | No | No | Sí | "codewhisperer:GenerateRecommendations"
|
| [Acceda al editor SQL de Amazon Athena desde EMR Studio.](emr-studio-athena.md) Es posible que esta lista no incluya todos los permisos que necesita para usar todas las características de Athena. Para obtener la mayor parte up-to-date de la lista, consulte la [política de acceso completo de Athena](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy). | No | No | Sí | "athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetBucketLocation",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
|
# Crear un EMR Studio
Puede crear un EMR Studio para su equipo con la consola de Amazon EMR o la AWS CLI. La creación de una instancia de Studio forma parte de la configuración de Amazon EMR Studio.
**Requisitos previos**
Antes de crear un estudio, asegúrese de haber completado las tareas anteriores de [Configurar un EMR Studio](emr-studio-set-up.md).
Para crear un estudio con AWS CLI, debe tener instalada la última versión. Para obtener más información, consulte [Instalación o actualización de la versión de AWS CLI más reciente](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**importante**
Desactive las herramientas de administración de proxy, como FoxyProxy o SwitchyOmega en el navegador, antes de crear un Studio. Los proxies activos pueden provocar un mensaje de **error de red** al seleccionar **Crear estudio**.
Amazon EMR le proporciona una experiencia de consola sencilla para crear un Studio, de forma que pueda empezar rápidamente con la configuración predeterminada para ejecutar cargas de trabajo interactivas o trabajos por lotes con la configuración predeterminada. La creación de un EMR Studio también crea una aplicación EMR sin servidor lista para sus trabajos interactivos.
Si desea tener el control total de los ajustes de su Studio, puede elegir **Personalizado**, lo que le permitirá configurar todos los ajustes adicionales.
------
#### [ Interactive workloads ]
**Para crear un EMR Studio para cargas de trabajo interactivas**
1. [Abra la consola Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. En **EMR Studio**, en el panel de navegación de la izquierda, elija **Comenzar**. También puede crear un estudio nuevo desde la página **Studios**.
1. Amazon EMR le proporciona la configuración predeterminada si va a crear un EMR Studio para cargas de trabajo interactivas, pero puede editar esta configuración. Los ajustes configurables incluyen el nombre de EMR Studio, la ubicación S3 de su espacio de trabajo, el rol de servicio que debe usar, los espacios de trabajo que desea usar, el nombre de la aplicación EMR sin servidor y el rol de tiempo de ejecución asociado.
1. Seleccione **Crear un Studio y lanzar un espacio de trabajo** para terminar y vaya a la página **Studios**. El nuevo estudio aparecerá en la lista con detalles como el **nombre del estudio**, la **fecha de creación** y la **URL de acceso al estudio**. Se abrirá su espacio de trabajo en una pestaña nueva en su navegador.
------
#### [ Batch jobs ]
**Para crear un EMR Studio para cargas de trabajo interactivas**
1. [Abra la consola Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. En **EMR Studio**, en el panel de navegación de la izquierda, elija **Comenzar**. También puede crear un estudio nuevo desde la página **Studios**.
1. Amazon EMR le proporciona la configuración predeterminada si va a crear un EMR Studio para trabajos por lotes, pero puede editar esta configuración. Los ajustes configurables incluyen el nombre de EMR Studio, el nombre de la aplicación EMR sin servidor y el rol de tiempo de ejecución asociado.
1. Seleccione **Crear un Studio y lanzar un espacio de trabajo** para terminar y vaya a la página **Studios**. El nuevo estudio aparecerá en la lista con detalles como el **nombre del estudio**, la **fecha de creación** y la **URL de acceso al estudio**. Se abrirá su EMR Studio en una pestaña nueva en su navegador.
------
#### [ Custom settings ]
**Para crear un EMR Studio con ajustes personalizados**
1. [Abra la consola Amazon EMR en https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. En **EMR Studio**, en el panel de navegación de la izquierda, elija **Comenzar**. También puede crear un estudio nuevo desde la página **Studios**.
1. Seleccione **Crear un estudio** para abrir la página **Crear un estudio**.
1. Introduzca un **nombre de Studio**.
1. Elija crear un bucket de S3 nuevo o utilizar una ubicación existente.
1. Elija el espacio de trabajo que desee añadir al Studio. Puede agregar hasta 3 espacios de trabajo.
1. En **Autenticación**, seleccione un modo de autenticación para el estudio y proporcione la información según la siguiente tabla. Para obtener más información sobre la autenticación en EMR Studio, consulte [Elija un modo de autenticación para Amazon EMR Studio](emr-studio-authentication.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. En VPC, seleccione una Amazon Virtual Private Cloud (**VPC**) para el Studio en la lista desplegable.
1. En **Subredes**, seleccione un máximo de cinco subredes en tu VPC para asociarlas al estudio. Tiene la opción de agregar más subredes después de crear el estudio.
1. En **Grupos de seguridad**, seleccione los grupos de seguridad predeterminados o grupos de seguridad personalizados. Para obtener más información, consulte [Definir grupos de seguridad para controlar el tráfico de red de EMR Studio](emr-studio-security-groups.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Añadir etiquetas a su Studio y otros recursos. Para obtener más información acerca de las etiquetas, consulte [Clústeres de equitetas](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags.html).
1. Seleccione **Crear un Studio y lanzar un espacio de trabajo** para terminar y vaya a la página **Studios**. El nuevo estudio aparecerá en la lista con detalles como el **nombre del estudio**, la **fecha de creación** y la **URL de acceso al estudio**.
Después de crear el estudio, siga las instrucciones que aparecen en [Asignar un usuario o grupo a un EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
------
#### [ CLI ]
**nota**
Se incluyen caracteres de continuación de línea de Linux (\$1) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).
**Example - Creación de un EMR Studio que utilice IAM para la autenticación**
El siguiente AWS CLI comando de ejemplo crea un EMR Studio con el modo de autenticación de IAM. Cuando utiliza la autenticación o federación de IAM del estudio, no tiene que especificar un `--user-role`.
Para permitir que los usuarios federados inicien sesión con la URL de Studio y las credenciales de su proveedor de identidades (IdP), especifique su `--idp-auth-url` y `--idp-relay-state-parameter-name`. Para obtener una lista de RelayState nombres URLs y autenticaciones de IdP, consulte. [RelayState Parámetros y autenticación del proveedor de identidades URLs](#emr-studio-idp-reference-table)
```
aws emr create-studio \
--name \
--auth-mode IAM \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role studio-user-role-name \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location \
--idp-auth-url \
--idp-relay-state-parameter-name
```
**Example - Creación de un EMR Studio que utilice Identity Center para la autenticación**
El siguiente comando de AWS CLI ejemplo crea un EMR Studio que utiliza el modo de autenticación de IAM Identity Center. Al utilizar la autenticación de IAM Identity Center, debe especificar un `--user-role`.
Para obtener más información acerca del modo de autenticación de IAM Identity Center, consulte [Configuración del modo de autenticación de IAM Identity Center para Amazon EMR Studio](emr-studio-authentication.md#emr-studio-enable-sso).
```
aws emr create-studio \
--name \
--auth-mode SSO \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn
```
**Example - Salida de la CLI para `aws emr create-studio`**
A continuación, se muestra un ejemplo de la salida que aparece después de crear un estudio.
```
{
StudioId: "es-123XXXXXXXXX",
Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}
```
Para obtener más información sobre el comando `create-studio`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html).
------
## RelayState Parámetros y autenticación del proveedor de identidades URLs
Si utilizas la federación de IAM y quieres que los usuarios inicien sesión con la URL de Studio y las credenciales de tu proveedor de identidad (IdP), puedes especificar la URL de inicio de **sesión **RelayState**y el nombre del parámetro de tu proveedor de identidad (IdP)** cuando lo hagas. [Crear un EMR Studio](#emr-studio-create-studio)
En la siguiente tabla se muestran la URL de autenticación estándar y el nombre del RelayState parámetro de algunos proveedores de identidad populares.
| Proveedor de identidades | Parámetro | URL de autenticación |
| --- | --- | --- |
| Auth0 | RelayState | https://.auth0.com/samlp/ |
| Cuentas de Google | RelayState | https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false |
| Microsoft Azure | RelayState | https://myapps.microsoft.com/signin//?tenantId= |
| Okta | RelayState | https://.okta.com/app///sso/saml |
| PingFederate | TargetResource | https:///idp//startSSO.ping?PartnerSpId= |
| PingOne | TargetResource | https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid= |
# Asignar y administrar usuarios de EMR Studio
Después de crear un EMR Studio, puede asignarle usuarios y grupos. El método que utilice para asignar, actualizar y eliminar usuarios depende del modo de autenticación de Studio.
+ Cuando utiliza el modo de autenticación de IAM, debe configurar la asignación de usuarios y los permisos de EMR Studio en IAM o con IAM y su proveedor de identidades.
+ Con el modo de autenticación de IAM Identity Center, utiliza la consola de administración de Amazon EMR o AWS CLI la para gestionar los usuarios.
Para obtener más información sobre la autenticación en Amazon EMR Studio, consulte [Elija un modo de autenticación para Amazon EMR Studio](emr-studio-authentication.md).
## Asignar un usuario o grupo a un EMR Studio
------
#### [ IAM ]
Cuando utilice [Configuración del modo de autenticación de IAM para Amazon EMR Studio](emr-studio-authentication.md#emr-studio-iam-authentication), debe permitir la acción `CreateStudioPresignedUrl` en la política de permisos de IAM de un usuario y restringirlo a un estudio concreto. Puede incluir `CreateStudioPresignedUrl` en su [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization) o utilizar una política independiente.
Para restringir a un usuario a un estudio (o conjunto de estudios), puede usar el control de acceso basado en atributos (ABAC) o especificar el nombre de recurso de Amazon (ARN) de un estudio en el elemento `Resource` de la política de permisos.
**Example Asignar un usuario a un estudio mediante el ARN del estudio**
El siguiente ejemplo de política proporciona a un usuario acceso a un EMR Studio concreto al permitir la acción `CreateStudioPresignedUrl` y especificar el nombre de recurso de Amazon (ARN) del estudio en el elemento `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
]
}
]
}
```
**Example Asignar un usuario a un estudio con ABAC para la autenticación de IAM**
Hay varias formas de configurar el control de acceso basado en atributos (ABAC) en un estudio. Por ejemplo, puede asociar una o más etiquetas a un EMR Studio y, a continuación, crear una política de IAM que restrinja la acción `CreateStudioPresignedUrl` a un estudio concreto o a un conjunto de estudios con esas etiquetas.
Puede agregar etiquetas durante o después de la creación del estudio. Para agregar etiquetas a un estudio existente, puede utilizar el comando [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html). El siguiente ejemplo agrega una etiqueta con el par clave-valor `Team = Data Analytics` a un EMR Studio.
```
aws emr add-tags --resource-id --tags Team="Data Analytics"
```
El siguiente ejemplo de política de permisos permite la acción `CreateStudioPresignedUrl` para los estudios de EMR Studio con el par clave-valor de etiqueta `Team = DataAnalytics`. Para obtener más información sobre el uso de etiquetas para el control de acceso, consulte [Controlar el acceso a y para los usuarios y roles utilizando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) o [Controlar el acceso a los recursos de AWS utilizando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": "Data Analytics"
}
}
}
]
}
```
**Example Asigne un usuario a un estudio mediante la clave de condición aws: SourceIdentity global**
Al utilizar la federación de IAM, puede utilizar la clave de condición global `aws:SourceIdentity` en una política de permisos para que los usuarios accedan a Studio cuando asuman su rol de IAM para la federación.
Primero debe configurar su proveedor de identidades (IdP) para que devuelva una cadena de identificación, como una dirección de correo electrónico o un nombre de usuario, cuando un usuario se autentique y asuma su rol de IAM para la federación. IAM establece la clave de condición global `aws:SourceIdentity` en la cadena de identificación devuelta por el IdP.
Para obtener más información, consulte la entrada del blog [Cómo relacionar la actividad del rol de IAM con la identidad corporativa](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) en el blog de AWS seguridad y la referencia [aws: SourceIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) entry in the global condition keys.
El siguiente ejemplo de política permite la `CreateStudioPresignedUrl` acción y proporciona a los usuarios un acceso `aws:SourceIdentity` que coincide con el ** acceso al EMR Studio especificado por. **
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
],
"Condition": {
"StringLike": {
"aws:SourceIdentity": "example-source-identity"
}
},
"Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
}
]
}
```
------
#### [ IAM Identity Center ]
Al asignar un usuario o un grupo a un EMR Studio, debe especificar una política de sesión que define permisos detallados, como la capacidad de crear un nuevo clúster de EMR, para ese usuario o grupo. Amazon EMR almacena estas asignaciones de políticas de sesión. Puede actualizar la política de sesión de un usuario o grupo después de la asignación.
**nota**
Los permisos finales de un usuario o grupo son una intersección de los permisos definidos en su rol de usuario de EMR Studio y los permisos definidos en la política de sesión para ese usuario o grupo. Si un usuario pertenece a más de un grupo asignado al estudio, EMR Studio utiliza una unión de permisos para ese usuario.
**Para asignar usuarios o grupos a un EMR Studio mediante la consola de Amazon EMR**
1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.
1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.
1. Elija la pestaña **Agregar usuarios** para ver la tabla de búsqueda **Usuarios** y **Grupos**.
1. Seleccione la pestaña **Usuarios** o la pestaña **Grupos** e introduzca un término de búsqueda en la barra de búsqueda para buscar un usuario o grupo.
1. Seleccione uno o más usuarios o grupos de la lista de resultados de la búsqueda. Puede cambiar de una pestaña a otra de **Usuarios** y **Grupos**.
1. Tras seleccionar los usuarios y grupos para agregarlos al estudio, seleccione **Agregar**. Debería ver los usuarios y grupos en la lista **Usuarios del estudio**. La lista puede tardar unos segundos en actualizarse.
1. Siga las instrucciones que se indican en [Actualizar los permisos de un usuario o grupo asignado a un estudio](#emr-studio-update-user) para ajustar los permisos de Studio de un usuario o un grupo.
**Para asignar un usuario o grupo a un EMR Studio con la AWS CLI**
Inserte sus propios valores para los siguientes argumentos de `create-studio-session-mapping`. Para obtener más información sobre el comando `create-studio-session-mapping`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`**: el ID del estudio al que quiere asignar el usuario o grupo. Para obtener instrucciones sobre cómo recuperar un ID de Studio, consulte [Ver detalles del estudio](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name`: el nombre del usuario o grupo del Almacén de identidades. Para obtener más información, consulte la [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)sección sobre usuarios y [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)grupos en la *referencia de la API de Identity Store*.
+ **`--identity-type`**: utilice `USER` o `GROUP` para especificar el tipo de identidad.
+ **`--session-policy-arn`**: el Nombre de recurso de Amazon (ARN) de la política de sesión que desee asociar al usuario o grupo. Por ejemplo, `arn:aws:iam:::policy/EMRStudio_Advanced_User_Policy`. Para obtener más información, consulte [Creación de políticas de permisos para los usuarios de EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
```
aws emr create-studio-session-mapping \
--studio-id \
--identity-name \
--identity-type \
--session-policy-arn
```
**nota**
Se incluyen caracteres de continuación de línea de Linux (\$1) para facilitar la lectura. Se pueden eliminar o utilizar en los comandos de Linux. En Windows, elimínelos o sustitúyalos por un signo de intercalación (^).
Utilice el comando `get-studio-session-mapping` para comprobar la nueva asignación. **Sustitúyalo por el nombre del centro de identidad de IAM del usuario o grupo que actualizaste.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Actualizar los permisos de un usuario o grupo asignado a un estudio
------
#### [ IAM ]
Para actualizar los permisos de un usuario o grupo al utilizar el modo de autenticación de IAM, debe utilizar IAM para cambiar las políticas de permisos de IAM asociadas a sus identidades de IAM (usuarios, grupos o roles).
Para obtener más información, consulte [Permisos de usuario para el modo de autenticación de IAM](how-emr-studio-works.md#emr-studio-iam-authorization).
------
#### [ IAM Identity Center ]
****Para actualizar los permisos de EMR Studio de un usuario o grupo mediante la consola****
1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.
1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.
1. En la lista **Usuarios del estudio** de la página de detalles del estudio, busque el usuario o grupo que desee actualizar. Puede buscar por nombre o tipo de identidad.
1. Seleccione el usuario o grupo que desee actualizar y seleccione **Asignar política** para abrir el cuadro de diálogo **Política de sesión**.
1. Seleccione una política para aplicarla al usuario o grupo que eligió en el paso 5 y seleccione **Aplicar política**. La lista **Usuarios del estudio** mostrará el nombre de la política en la columna **Política de sesión** del usuario o grupo que haya actualizado.
**Para actualizar los permisos de EMR Studio para un usuario o un grupo mediante AWS CLI**
Inserte sus propios valores para los siguientes argumentos de `update-studio-session-mappings`. Para obtener más información sobre el comando `update-studio-session-mappings`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).
```
aws emr update-studio-session-mapping \
--studio-id \
--identity-name \
--session-policy-arn \
--identity-type \
```
Utilice el comando `get-studio-session-mapping` para comprobar la nueva asignación de la política de sesión. **Sustitúyalo por el nombre del centro de identidad de IAM del usuario o grupo que actualizó.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Eliminar un usuario o grupo de un estudio
------
#### [ IAM ]
Para eliminar un usuario o un grupo de un EMR Studio al utilizar el modo de autenticación de IAM, debe revocar el acceso del usuario al estudio reconfigurando la política de permisos de IAM del usuario.
En el siguiente ejemplo de política, suponga que tiene un EMR Studio con el par clave-valor de etiqueta `Team = Quality Assurance`. Según la política, el usuario puede acceder a los estudios etiquetados con la clave `Team` cuyo valor sea igual a `Data Analytics` o `Quality Assurance`. Para eliminar al usuario del estudio etiquetado con `Team = Quality Assurance`, elimine `Quality Assurance` de la lista de valores de etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": [
"Data Analytics",
"Quality Assurance"
]
}
}
}
]
}
```
------
------
#### [ IAM Identity Center ]
****Para eliminar un usuario o un grupo de un EMR Studio mediante la consola****
1. Vaya hasta la nueva consola de Amazon EMR y seleccione **Ir a la consola antigua** en el panel de navegación lateral. Para más información sobre lo que puede esperar al cambiar a la consola antigua, consulte [Uso de la consola antigua](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Seleccione **EMR Studio** en el menú de navegación de la izquierda.
1. Elija el nombre de su estudio en la lista **Studios** o seleccione el estudio y elija **Ver detalles** para abrir la página de detalles del estudio.
1. En la lista **Usuarios del estudio**, en la página de detalles del estudio, busque el usuario o grupo que desee eliminar del estudio. Puede buscar por nombre o tipo de identidad.
1. Seleccione el usuario o grupo que desea eliminar, seleccione **Eliminar** y confirme la eliminación. El usuario o grupo que ha eliminado desaparece de la lista **Usuarios del estudio**.
**Para eliminar un usuario o un grupo de un EMR Studio mediante la AWS CLI**
Inserte sus propios valores para los siguientes argumentos de `delete-studio-session-mapping`. Para obtener más información sobre el comando `delete-studio-session-mapping`, consulte la [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).
```
aws emr delete-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------