Permissões de administrador para criar e gerenciar um EMR Studio - Amazon EMR
Permissões obrigatórias para gerenciar um EMR Studio

Permissões de administrador para criar e gerenciar um EMR Studio

As permissões do IAM descritas nesta página permitem criar e gerenciar um EMR Studio. Para obter informações detalhadas sobre cada permissão obrigatória, consulte Permissões obrigatórias para gerenciar um EMR Studio.

Permissões obrigatórias para gerenciar um EMR Studio

A tabela a seguir lista as operações relacionadas à criação e ao gerenciamento de um EMR Studio. A tabela também exibe as permissões necessárias para cada operação.

nota

Você precisa somente de ações SessionMapping do Centro de Identidade do IAM e do Studio ao usar o modo de autenticação do Centro de Identidade do IAM.

Permissões para criar e gerenciar um EMR Studio
Operação Permissões
Criar um Studio 
"elasticmapreduce:CreateStudio", 
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"iam:PassRole"
Descrever um Studio 
"elasticmapreduce:DescribeStudio",
"sso:GetManagedApplicationInstance"
Listar Studios 
"elasticmapreduce:ListStudios"
Excluir um Studio 
"elasticmapreduce:DeleteStudio",
"sso:DeleteApplication",
"sso:DeleteApplicationAuthenticationMethod",
"sso:DeleteApplicationAccessScope",
"sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode

Atribuir usuários ou grupos a um Studio

 
"elasticmapreduce:CreateStudioSessionMapping",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListInstances",
"sso:CreateApplicationAssignment",
"sso:DescribeInstance",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"sso:CreateInstance",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"iam:ListPolicies"

Recuperar detalhes de atribuição do Studio para um usuário ou um grupo específico

 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"elasticmapreduce:GetStudioSessionMapping"
Listar todos os usuários e os grupos atribuídos a um Studio 
"elasticmapreduce:ListStudioSessionMappings"
Atualizar a política de sessão anexada a um usuário ou a um grupo atribuído a um Studio 
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeApplication",
"sso:DescribeInstance",
"elasticmapreduce:UpdateStudioSessionMapping"
Remover um usuário ou um grupo de um Studio 
"elasticmapreduce:DeleteStudioSessionMapping",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:ListDirectoryAssociations",
"sso:GetProfile",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:ListProfiles",
"sso:DisassociateProfile",
"sso:DeleteApplicationAssignment",
"sso:ListApplicationAssignments"
Criar uma política com permissões de administrador para o EMR Studio

  1. Siga as instruções em Criação de políticas do IAM para criar uma política usando um dos exemplos apresentados a seguir. As permissões necessárias dependem do seu modo de autenticação para o EMR Studio.

    Insira seus próprios valores para estes itens:

    • Substitua <your-resource-ARN> para especificar o nome do recurso da Amazon (ARN) do objeto ou dos objetos que a instrução abrange para seus casos de uso.

    • Substitua <region> pelo código da Região da AWS em que você planeja criar o Studio.

    • Substitua <aws-account_id> pelo ID da conta AWS para o Studio.

    • Substitua <EMRStudio-Service-Role> e <EMRStudio-User-Role> pelos nomes do perfil de serviço do EMR Studio e do perfil de usuário do EMR Studio.

    exemplo Política de exemplo: permissões de administrador ao usar o modo de autenticação do IAM
    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Action": [
        "elasticmapreduce:CreateStudio",
        "elasticmapreduce:DescribeStudio",
        "elasticmapreduce:DeleteStudio"
      ],
      "Sid": "AllowELASTICMAPREDUCECreatestudio"
    },
    {
      "Effect": "Allow",
      "Resource": [
        "*"
      ],
      "Action": [
        "elasticmapreduce:ListStudios"
      ],
      "Sid": "AllowELASTICMAPREDUCEListstudios"
    },
    {
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::123456789012:role/EMRStudioServiceRole"
      ],
      "Action": [
        "iam:PassRole"
      ],
      "Sid": "AllowIAMPassrole"
    }
  ]
}
    exemplo Política de exemplo: permissões de administrador ao usar o modo de autenticação do Centro de Identidade do IAM
    nota

    As APIs do Centro de Identidade e do diretório do Centro de Identidade não oferecem suporte à especificação de um ARN no elemento de recurso de uma instrução de política do IAM. Para permitir o acesso ao Centro de Identidade do IAM e ao diretório do Centro de Identidade do IAM, as permissões apresentadas a seguir especificam todos os recursos, “Resource”:“*”, para as ações do Centro de Identidade do IAM. Para obter mais informações, consulte Actions, resources, and condition keys for IAM Identity Center Directory.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Action": [
        "elasticmapreduce:CreateStudio",
        "elasticmapreduce:DescribeStudio",
        "elasticmapreduce:DeleteStudio",
        "elasticmapreduce:CreateStudioSessionMapping",
        "elasticmapreduce:GetStudioSessionMapping",
        "elasticmapreduce:UpdateStudioSessionMapping",
        "elasticmapreduce:DeleteStudioSessionMapping"
      ],
      "Sid": "AllowELASTICMAPREDUCECreatestudio"
    },
    {
      "Effect": "Allow",
      "Resource": [
        "*"
      ],
      "Action": [
        "elasticmapreduce:ListStudios",
        "elasticmapreduce:ListStudioSessionMappings"
      ],
      "Sid": "AllowELASTICMAPREDUCEListstudios"
    },
    {
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
        "arn:aws:iam::123456789012:role/EMRStudio-User-Role"
      ],
      "Action": [
        "iam:PassRole"
      ],
      "Sid": "AllowIAMPassrole"
    },
    {
      "Effect": "Allow",
      "Resource": [
        "*"
      ],
      "Action": [
        "sso:CreateApplication",
        "sso:PutApplicationAuthenticationMethod",
        "sso:PutApplicationGrant",
        "sso:PutApplicationAccessScope",
        "sso:PutApplicationAssignmentConfiguration",
        "sso:DescribeApplication",
        "sso:DeleteApplication",
        "sso:DeleteApplicationAuthenticationMethod",
        "sso:DeleteApplicationAccessScope",
        "sso:DeleteApplicationGrant",
        "sso:ListInstances",
        "sso:CreateApplicationAssignment",
        "sso:DeleteApplicationAssignment",
        "sso:ListApplicationAssignments",
        "sso:DescribeInstance",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfiles",
        "sso-directory:SearchUsers",
        "sso-directory:SearchGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeGroup",
        "organizations:DescribeOrganization",
        "organizations:ListDelegatedAdministrators",
        "sso:CreateInstance",
        "sso:DescribeRegisteredRegions",
        "sso:GetSharedSsoConfiguration",
        "iam:ListPolicies"
      ],
      "Sid": "AllowSSOCreateapplication"
    }
  ]
}

  2. Anexe a política à sua identidade do IAM (usuário, perfil ou grupo). Para obter instruções, consulte Adicionar e remover permissões de identidade do IAM.