기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# EMR Studio를 생성 및 관리하는 관리자 권한
이 페이지에 설명된 IAM 권한을 통해 EMR Studio를 생성하고 관리할 수 있습니다. 필요한 각 권한에 대한 자세한 내용은 [EMR Studio를 관리하는 데 필요한 권한](#emr-studio-admin-permissions-table) 섹션을 참조하세요.
## EMR Studio를 관리하는 데 필요한 권한
다음 테이블에는 EMR Studio 생성 및 관리와 관련된 작업이 나열되어 있습니다. 이 테이블에는 각 작업에 필요한 권한도 표시됩니다.
**참고**
IAM Identity Center 인증 모드를 사용할 때는 IAM Identity Center 및 Studio `SessionMapping` 작업만 필요합니다.
**EMR Studio를 생성 및 관리하는 권한**
| 연산 | 권한 |
| --- | --- |
| Studio 생성 | "elasticmapreduce:CreateStudio",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
|
| Studio 설명 | "elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
|
| Studio 나열 | "elasticmapreduce:ListStudios"
|
| Studio 삭제 | "elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
|
| Additional permissions required when you use IAM Identity Center mode |
| EMR Studio에 사용자 또는 그룹 할당 | "elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"
|
| 특정 사용자 또는 그룹의 Studio 할당 세부 정보 검색 | "sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
|
| Studio에 할당된 모든 사용자 및 그룹 나열 | "elasticmapreduce:ListStudioSessionMappings"
|
| Studio에 할당된 사용자 또는 그룹에 연결된 세션 정책 업데이트 | "sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
|
| Studio에서 사용자 또는 그룹 제거 | "elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
|
**EMR Studio에 대한 관리자 권한이 포함된 정책을 생성하는 방법**
1. [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) 지침에 따라 다음 예제 중 하나를 사용하여 정책을 생성합니다. 필요한 권한은 [EMR Studio의 인증 모드](emr-studio-authentication.md)에 따라 달라집니다.
다음 항목에 대한 고유한 값을 삽입합니다.
+ 명령문이 사용 사례에서 다루는 객체 또는 객체의 Amazon 리소스 이름(ARN)을 지정하도록 *``*을 바꿉니다.
+ **을 Studio를 생성할 AWS 리전 의 코드로 바꿉니다.
+ **를 Studio의 AWS 계정 ID로 바꿉니다.
+ ** 및 **을 [EMR Studio 서비스 역할](emr-studio-service-role.md) 및 [EMR Studio 사용자 역할](emr-studio-user-permissions.md#emr-studio-create-user-role) 이름으로 바꿉니다.
**Example 정책 예제: IAM 인증 모드를 사용할 때 관리자 권한**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Action": [
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio"
],
"Sid": "AllowELASTICMAPREDUCECreatestudio"
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"elasticmapreduce:ListStudios"
],
"Sid": "AllowELASTICMAPREDUCEListstudios"
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::123456789012:role/EMRStudioServiceRole"
],
"Action": [
"iam:PassRole"
],
"Sid": "AllowIAMPassrole"
}
]
}
```
------
**Example 예제 정책: IAM Identity Center 인증 모드를 사용할 때 관리자 권한**
**참고**
Identity Center 및 Identity Center 디렉터리 API는 IAM 정책 명령문의 리소스 요소에 ARN을 지정하는 기능을 지원하지 않습니다. IAM Identity Center 및 IAM Identity Center 디렉터리에 대한 액세스를 허용하기 위해 다음 권한은 IAM Identity Center 작업에 대한 모든 리소스("Resource":"\$1")를 지정합니다. 자세한 내용은 [ IAM Identity Center 디렉터리에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsssodirectory.html#awsssodirectory-actions-as-permissions)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Action": [
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio",
"elasticmapreduce:CreateStudioSessionMapping",
"elasticmapreduce:GetStudioSessionMapping",
"elasticmapreduce:UpdateStudioSessionMapping",
"elasticmapreduce:DeleteStudioSessionMapping"
],
"Sid": "AllowELASTICMAPREDUCECreatestudio"
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"elasticmapreduce:ListStudios",
"elasticmapreduce:ListStudioSessionMappings"
],
"Sid": "AllowELASTICMAPREDUCEListstudios"
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
"arn:aws:iam::123456789012:role/EMRStudio-User-Role"
],
"Action": [
"iam:PassRole"
],
"Sid": "AllowIAMPassrole"
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"sso:DescribeApplication",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"
],
"Sid": "AllowSSOCreateapplication"
}
]
}
```
------
1. 정책을 IAM 자격 증명(사용자, 그룹 또는 역할)에 연결합니다. 관련 지침은 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.