Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin administrator untuk membuat dan mengelola EMR Studio
Izin IAM yang dijelaskan di halaman ini memungkinkan Anda untuk membuat dan mengelola Studio EMR. Untuk informasi mendetail tentang tiap izin yang diperlukan, lihat Izin yang diperlukan untuk mengelola EMR Studio.
Izin yang diperlukan untuk mengelola EMR Studio
Tabel berikut mencantumkan operasi yang terkait dengan membuat dan mengelola EMR Studio. Tabel juga menampilkan izin yang diperlukan untuk setiap operasi.
catatan
Anda hanya memerlukan SessionMapping tindakan Pusat Identitas IAM dan Studio saat Anda menggunakan mode autentikasi Pusat Identitas IAM.
| Operasi | Izin |
|---|---|
| Membuat Studio |
|
| Menjelaskan Studio |
|
| Daftar Studio |
|
| Menghapus Studio |
|
| Additional permissions required when you use IAM Identity Center mode | |
|
Menetapkan pengguna atau grup ke Studio |
|
|
Ambil detail tugas Studio untuk pengguna atau grup tertentu |
|
| Mencantumkan semua pengguna dan grup yang ditetapkan ke Studio |
|
| Memperbarui kebijakan sesi yang dilampirkan ke pengguna atau grup yang ditetapkan ke Studio |
|
| Menghapus pengguna atau grup dari Studio |
|
Untuk membuat kebijakan dengan izin admin untuk EMR Studio
-
Ikuti petunjuk dalam Membuat kebijakan IAM untuk membuat kebijakan menggunakan salah satu contoh berikut. Izin yang Anda butuhkan bergantung pada mode otentikasi Anda untuk EMR Studio.
Masukkan nilai Anda sendiri untuk item ini:
-
Ganti
<your-resource-ARN> -
Ganti
<region>dengan kode Wilayah AWS tempat Anda berencana membuat Studio. -
Ganti
<aws-account_id>dengan ID AWS akun untuk Studio. -
Ganti
<EMRStudio-Service-Role>dan<EMRStudio-User-Role>dengan nama peran layanan EMR Studio dan peran pengguna EMR Studio.
contoh Contoh kebijakan: Izin admin saat Anda menggunakan mode autentikasi IAM
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>" ], "Action": "iam:PassRole" } ] }contoh Contoh kebijakan: Izin admin saat Anda menggunakan mode autentikasi Pusat Identitas IAM
catatan
Direktori Pusat Identitas dan Pusat Identitas APIs tidak mendukung penetapan ARN dalam elemen sumber daya pernyataan kebijakan IAM. Untuk mengizinkan akses ke IAM Identity Center dan IAM Identity Center Directory, izin berikut menentukan semua sumber daya, “Resource” :"*”, untuk tindakan IAM Identity Center. Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Direktori Pusat Identitas IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:elasticmapreduce:<region>:<aws-account-id>:studio/*", "Action": [ "elasticmapreduce:CreateStudio", "elasticmapreduce:DescribeStudio", "elasticmapreduce:DeleteStudio", "elasticmapreduce:CreateStudioSessionMapping", "elasticmapreduce:GetStudioSessionMapping", "elasticmapreduce:UpdateStudioSessionMapping", "elasticmapreduce:DeleteStudioSessionMapping" ] }, { "Effect": "Allow", "Resource": "<your-resource-ARN>", "Action": [ "elasticmapreduce:ListStudios", "elasticmapreduce:ListStudioSessionMappings" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::<aws-account-id>:role/<EMRStudio-Service-Role>", "arn:aws:iam::<aws-account-id>:role/<EMRStudio-User-Role>" ], "Action": "iam:PassRole" }, { "Effect": "Allow", "Resource": "*", "Action": [ "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "sso:DescribeApplication", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments", "sso:DescribeInstance", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies" ] } ] } -
-
Lampirkan kebijakan ke identitas IAM Anda (pengguna, peran, atau grup). Untuk instruksinya, lihat Menambahkan dan menghapus izin identitas IAM.
