Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autorizzazioni di amministratore per creare e gestire un EMR Studio
<a name="emr-studio-admin-permissions"></a>

Le autorizzazioni IAM descritte in questa pagina consentono di creare e gestire un EMR Studio. Per informazioni dettagliate su ciascuna autorizzazione necessaria, consulta [Autorizzazioni necessarie per gestire un EMR Studio](#emr-studio-admin-permissions-table).

## Autorizzazioni necessarie per gestire un EMR Studio
<a name="emr-studio-admin-permissions-table"></a>

Nella tabella seguente sono elencate le operazioni relative alla creazione e alla gestione di un EMR Studio. Nella tabella vengono inoltre visualizzate le autorizzazioni necessarie per ciascuna operazione.

**Nota**  
Le operazioni di `SessionMapping` di IAM Identity Center e Studio ti occorrono soltanto quando utilizzi la modalità di autenticazione IAM Identity Center.


**Autorizzazioni per creare e gestire un EMR Studio**  

<table>
<thead>
  <tr><th>Operation</th><th>Permissions</th></tr>
</thead>
<tbody>
  <tr><td>Creazione di uno Studio</td><td> <pre>"elasticmapreduce:CreateStudio", <br />"sso:CreateApplication",<br />"sso:PutApplicationAuthenticationMethod",<br />"sso:PutApplicationGrant",<br />"sso:PutApplicationAccessScope",<br />"sso:PutApplicationAssignmentConfiguration",<br />"iam:PassRole"</pre> </td></tr>
  <tr><td>Descrizione di uno Studio</td><td> <pre>"elasticmapreduce:DescribeStudio",<br />"sso:GetManagedApplicationInstance"</pre> </td></tr>
  <tr><td>Elencazione degli Studio</td><td> <pre>"elasticmapreduce:ListStudios"</pre> </td></tr>
  <tr><td>Eliminazione di uno Studio</td><td> <pre>"elasticmapreduce:DeleteStudio",<br />"sso:DeleteApplication",<br />"sso:DeleteApplicationAuthenticationMethod",<br />"sso:DeleteApplicationAccessScope",<br />"sso:DeleteApplicationGrant"</pre> </td></tr>
  <tr><td colspan="2">Additional permissions required when you use IAM Identity Center mode</td></tr>
  <tr><td>Assegnazione di utenti o gruppi a uno Studio</td><td> <pre>"elasticmapreduce:CreateStudioSessionMapping",<br />"sso:GetProfile",<br />"sso:ListDirectoryAssociations",<br />"sso:ListProfiles",<br />"sso:AssociateProfile",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListInstances",<br />"sso:CreateApplicationAssignment",<br />"sso:DescribeInstance",<br />"organizations:DescribeOrganization",<br />"organizations:ListDelegatedAdministrators",<br />"sso:CreateInstance",<br />"sso:DescribeRegisteredRegions",<br />"sso:GetSharedSsoConfiguration",<br />"iam:ListPolicies"</pre> </td></tr>
  <tr><td>Recupero dei dettagli delle assegnazioni Studio per un utente o un gruppo</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"elasticmapreduce:GetStudioSessionMapping"</pre> </td></tr>
  <tr><td>Elencazione di tutti gli utenti e i gruppi assegnati a uno Studio</td><td> <pre>"elasticmapreduce:ListStudioSessionMappings"</pre> </td></tr>
  <tr><td>Aggiornamento della policy di sessione associata a un utente o a un gruppo assegnato a uno Studio</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"elasticmapreduce:UpdateStudioSessionMapping"</pre> </td></tr>
  <tr><td>Rimozione di un utente o un gruppo da uno Studio</td><td> <pre>"elasticmapreduce:DeleteStudioSessionMapping",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListDirectoryAssociations",<br />"sso:GetProfile",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"sso:ListProfiles",<br />"sso:DisassociateProfile",<br />"sso:DeleteApplicationAssignment",<br />"sso:ListApplicationAssignments"<br /></pre> </td></tr>
</tbody>
</table>


**Creare una policy con le autorizzazioni di amministrazione per EMR Studio**

1. Segui le istruzioni in [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) per creare una policy utilizzando uno dei seguenti esempi. Le autorizzazioni di cui hai bisogno dipendono dalla tua [modalità di autenticazione per EMR Studio](emr-studio-authentication.md). 

   Inserisci valori personalizzati per questi elementi:
   + Sostituisci {{`<your-resource-ARN>` }} per specificare l'Amazon Resource Name (ARN) dell'oggetto o degli oggetti coperti dall'istruzione per i tuoi casi d'uso.
   + Sostituiscilo {{<region>}} con il codice del Regione AWS luogo in cui intendi creare lo Studio.
   + Sostituiscilo {{<aws-account\_id>}} con l'ID dell' AWS account per lo Studio.
   + Sostituisci {{<EMRStudio-Service-Role>}} e {{<EMRStudio-User-Role>}} con i nomi del tuo ruolo di [servizio EMR Studio e del ruolo](emr-studio-service-role.md) utente di [EMR](emr-studio-user-permissions.md#emr-studio-create-user-role) Studio.  
**Example Policy di esempio: autorizzazioni di amministrazione quando si utilizza la modalità di autenticazione IAM**  

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudioServiceRole"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       }
     ]
   }
   ```

------  
**Example Policy di esempio: autorizzazioni di amministrazione quando si utilizza la modalità di autenticazione IAM Identity Center**  
**Nota**  
Le directory Identity Center e Identity Center APIs non supportano la specificazione di un ARN nell'elemento risorsa di una dichiarazione di policy IAM. Per consentire l'accesso a IAM Identity Center e IAM Identity Center Directory, le seguenti autorizzazioni specificano tutte le risorse, "Resource":"\*", per le operazioni di IAM Identity Center. Per ulteriori informazioni, consulta la sezione [Operazioni, risorse e chiavi di condizione per la directory IAM Identity Center](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsssodirectory.html#awsssodirectory-actions-as-permissions).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio",
           "elasticmapreduce:CreateStudioSessionMapping",
           "elasticmapreduce:GetStudioSessionMapping",
           "elasticmapreduce:UpdateStudioSessionMapping",
           "elasticmapreduce:DeleteStudioSessionMapping"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios",
           "elasticmapreduce:ListStudioSessionMappings"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
           "arn:aws:iam::123456789012:role/EMRStudio-User-Role"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "sso:CreateApplication",
           "sso:PutApplicationAuthenticationMethod",
           "sso:PutApplicationGrant",
           "sso:PutApplicationAccessScope",
           "sso:PutApplicationAssignmentConfiguration",
           "sso:DescribeApplication",
           "sso:DeleteApplication",
           "sso:DeleteApplicationAuthenticationMethod",
           "sso:DeleteApplicationAccessScope",
           "sso:DeleteApplicationGrant",
           "sso:ListInstances",
           "sso:CreateApplicationAssignment",
           "sso:DeleteApplicationAssignment",
           "sso:ListApplicationAssignments",
           "sso:DescribeInstance",
           "sso:AssociateProfile",
           "sso:DisassociateProfile",
           "sso:GetProfile",
           "sso:ListDirectoryAssociations",
           "sso:ListProfiles",
           "sso-directory:SearchUsers",
           "sso-directory:SearchGroups",
           "sso-directory:DescribeUser",
           "sso-directory:DescribeGroup",
           "organizations:DescribeOrganization",
           "organizations:ListDelegatedAdministrators",
           "sso:CreateInstance",
           "sso:DescribeRegisteredRegions",
           "sso:GetSharedSsoConfiguration",
           "iam:ListPolicies"
         ],
         "Sid": "AllowSSOCreateapplication"
       }
     ]
   }
   ```

------

1. Collega la policy all'identità IAM (utente, ruolo o gruppo). Per ricevere istruzioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).