As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Atribua e gerencie usuários do EMR Studio
<a name="emr-studio-manage-users"></a>

Após criar um EMR Studio, você poderá atribuir usuários e grupos a ele. O método usado para atribuir, atualizar e remover usuários depende do modo de autenticação do Studio. 
+ Ao usar o modo de autenticação do IAM, você configura a atribuição e as permissões de usuários do EMR Studio no IAM ou usando o IAM e seu provedor de identidades. 
+ Com o modo de autenticação do IAM Identity Center, você usa o console de gerenciamento do Amazon EMR ou o AWS CLI para gerenciar usuários.

Para saber mais sobre a autenticação para o Amazon EMR Studio, consulte [Escolha um modo de autenticação para o Amazon EMR Studio](emr-studio-authentication.md).

## Atribuir um usuário ou um grupo a um EMR Studio
<a name="emr-studio-assign-users-groups"></a>

------
#### [ IAM ]

Ao usar [Configuração do modo de autenticação do IAM para o Amazon EMR Studio](emr-studio-authentication.md#emr-studio-iam-authentication), você deve permitir a ação `CreateStudioPresignedUrl` na política de permissões do IAM para um usuário e restringir o usuário a um Studio específico. Você pode incluir `CreateStudioPresignedUrl` em suas [Permissões de usuários para o modo de autenticação do IAM](how-emr-studio-works.md#emr-studio-iam-authorization) ou usar uma política separada.

Para restringir um usuário a um Studio (ou a um conjunto de Studios), você pode usar o controle de acesso por atributo (ABAC) ou especificar o nome do recurso da Amazon (ARN) de um Studio no elemento `Resource` da política de permissões. 

**Example Atribuição de um usuário a um Studio usando um ARN do Studio**  
O exemplo de política a seguir fornece ao usuário o acesso a um EMR Studio específico ao permitir a ação `CreateStudioPresignedUrl` e especificar o nome do recurso da Amazon (ARN) do Studio no elemento `Resource`.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
      ]
    }
  ]
}
```

**Example Atribuição de um usuário a um Studio com ABAC para a autenticação do IAM**  
Há diversas maneiras de configurar o controle de acesso por atributo (ABAC) para um Studio. Por exemplo, é possível anexar uma ou mais etiquetas a um EMR Studio e, em seguida, criar uma política do IAM que restrinja a ação `CreateStudioPresignedUrl` a um determinado Studio ou a um conjunto de Studios com essas etiquetas.   
Você pode adicionar etiquetas durante ou após a criação do Studio. Para adicionar etiquetas a um Studio existente, você pode usar o comando [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html). O exemplo apresentado a seguir adiciona uma etiqueta com o par de valores-chave `Team = Data Analytics` a um EMR Studio.   

```
aws emr add-tags --resource-id <example-studio-id> --tags Team="Data Analytics"
```
O exemplo de política de permissões a seguir permite a ação `CreateStudioPresignedUrl` para EMR Studios com o par de valores-chave `Team = DataAnalytics` na etiqueta. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte [Controle de acesso para usuários e funções do IAM usando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) ou [Controlar o acesso a recursos da AWS usando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": "Data Analytics"
        }
      }
    }
  ]
}
```

**Example Atribua um usuário a um Studio usando a chave de condição SourceIdentity global aws:**  
Ao usar a federação do IAM, é possível usar a chave de condição global `aws:SourceIdentity` em uma política de permissões para conceder aos usuários o acesso ao Studio quando eles assumirem seu perfil do IAM para a federação.   
Primeiro, você deve configurar o provedor de identidades (IdP) para retornar uma string de identificação, como um endereço de e-mail ou um nome de usuário, quando um usuário se autenticar e assumir seu perfil do IAM para a federação. O IAM define a chave de condição global `aws:SourceIdentity` para a string de identificação retornada pelo seu IdP.  
Para obter mais informações, consulte a postagem do blog [Como relacionar a atividade da função do IAM à identidade corporativa](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) no AWS Security Blog e a SourceIdentity entrada [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) na referência global de chaves de condição.   
O exemplo de política a seguir permite a `CreateStudioPresignedUrl` ação e fornece aos usuários um `aws:SourceIdentity` que corresponde ao *<example-source-identity>* acesso ao EMR Studio especificado por. *<example-studio-arn>*    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "example-source-identity"
        }
      },
      "Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
    }
  ]
}
```

------
#### [ IAM Identity Center ]

Ao atribuir um usuário ou um grupo a um EMR Studio, você especifica uma política de sessão que define permissões detalhadas, como a capacidade de criar um novo cluster do EMR, para esse usuário ou para esse grupo. O Amazon EMR armazena esses mapeamentos de políticas de sessão. É possível atualizar a política de sessão de um usuário ou de um grupo após a atribuição.

**nota**  
As permissões finais para um usuário ou para um grupo são uma interseção entre as permissões definidas em seu perfil de usuário do EMR Studio e as permissões definidas na política de sessão desse usuário ou desse grupo. Se um usuário pertencer a mais de um grupo atribuído ao Studio, o EMR Studio usará uma união de permissões para esse usuário.

**Atribuir usuários ou grupos a um EMR Studio usando o console do Amazon EMR**

1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Escolha **EMR Studio** no painel de navegação à esquerda.

1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.

1. Escolha **Adicionar usuários** para visualizar a tabela de pesquisa para **Usuários** e **Grupos**.

1. Selecione a guia **Usuários** ou a guia **Grupos** e insira um termo de pesquisa na barra de pesquisa para localizar um usuário ou um grupo. 

1. Selecione um ou mais usuários ou grupos na lista de resultados da pesquisa. É possível alternar entre as guias **Usuários** e **Grupos**.

1. Após selecionar os usuários e os grupos a serem adicionados ao Studio, escolha **Adicionar**. Você deve visualizar os usuários e os grupos na lista **Usuários do Studio**. Pode demorar alguns segundos para que a lista seja atualizada.

1. Siga as instruções em [Atualizar permissões para um usuário ou um grupo atribuído a um Studio](#emr-studio-update-user) para aprimorar as permissões do Studio para um usuário ou um grupo.

**Atribuir um usuário ou um grupo a um EMR Studio usando a AWS CLI**

Insira seus próprios valores para os argumentos `create-studio-session-mapping` a seguir. Para obter mais informações sobre o comando `create-studio-session-mapping`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`**: o ID do Studio ao qual você deseja atribuir o usuário ou o grupo. Para obter instruções sobre como recuperar um ID do Studio, consulte [Visualização de detalhes do Studio](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name`: o nome do usuário ou do grupo no repositório de identidades. Para obter mais informações, consulte [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)para usuários e [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)grupos na *Referência da API Identity Store*.
+ **`--identity-type`**: use `USER` ou `GROUP` para especificar o tipo de identidade.
+ **`--session-policy-arn`**: o nome do recurso da Amazon (ARN) da política de sessão que você deseja associar ao usuário ou ao grupo. Por exemplo, .`arn:aws:iam::<aws-account-id>:policy/EMRStudio_Advanced_User_Policy` Para obter mais informações, consulte [Criação de políticas de permissões para usuários do EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).

```
aws emr create-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <example-identity-name> \
 --identity-type <USER-or-GROUP> \
 --session-policy-arn <example-session-policy-arn>
```

**nota**  
Os caracteres de continuação de linha do Linux (\$1) são incluídos para facilitar a leitura. Eles podem ser removidos ou usados ​​em comandos do Linux. No Windows, remova-os ou substitua-os por um sinal de interpolação (^).

Use o comando `get-studio-session-mapping` para verificar a nova atribuição. *<example-identity-name>*Substitua pelo nome do IAM Identity Center do usuário ou grupo que você atualizou.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Atualizar permissões para um usuário ou um grupo atribuído a um Studio
<a name="emr-studio-update-user"></a>

------
#### [ IAM ]

Para atualizar as permissões de usuários ou de grupos ao usar o modo de autenticação do IAM, use o IAM para alterar as políticas de permissões do IAM anexadas às suas identidades do IAM (usuários, grupos ou perfis). 

Para obter mais informações, consulte [Permissões de usuários para o modo de autenticação do IAM](how-emr-studio-works.md#emr-studio-iam-authorization).

------
#### [ IAM Identity Center ]

****Atualizar as permissões do EMR Studio para um usuário ou um grupo usando o console****

1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Escolha **EMR Studio** no painel de navegação à esquerda.

1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.

1. Na lista de **Usuários do Studio** na página de detalhes do Studio, pesquise o usuário ou o grupo que você deseja atualizar. É possível pesquisar por nome ou por tipo de identidade.

1. Selecione o usuário ou o grupo que deseja atualizar e escolha **Atribuir política** para abrir a caixa de diálogo **Política de sessão**.

1. Selecione uma política para aplicar ao usuário ou ao grupo escolhido na etapa 5 e escolha **Aplicar política**. A lista **Usuários do Studio** deve exibir o nome da política na coluna **Política de sessão** para o usuário ou para o grupo que você atualizou.

**Para atualizar as permissões do EMR Studio para um usuário ou grupo usando o AWS CLI**

Insira seus próprios valores para os argumentos `update-studio-session-mappings` a seguir. Para obter mais informações sobre o comando `update-studio-session-mappings`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).

```
aws emr update-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-name <name-of-user-or-group-to-update> \
 --session-policy-arn <new-session-policy-arn-to-apply> \
 --identity-type <USER-or-GROUP> \
```

Use o comando `get-studio-session-mapping` para verificar a nova atribuição de política de sessão. *<example-identity-name>*Substitua pelo nome do IAM Identity Center do usuário ou grupo que você atualizou.

```
aws emr get-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <user-or-group-name> \
```

------

## Remover um usuário ou um grupo de um Studio
<a name="emr-studio-remove-user"></a>

------
#### [ IAM ]

Para remover um usuário ou um grupo de um EMR Studio ao usar o modo de autenticação do IAM, você deve revogar o acesso do usuário ao Studio ao configurar novamente a política de permissões do IAM para o usuário. 

Na política de exemplo apresentada a seguir, suponha que você tenha um EMR Studio com o par de valores-chave `Team = Quality Assurance` na etiqueta. De acordo com a política, o usuário pode acessar os Studios etiquetados com a chave `Team` cujo valor é igual a `Data Analytics` ou `Quality Assurance`. Para remover o usuário do Studio etiquetado com `Team = Quality Assurance`, remova `Quality Assurance` da lista de valores de etiqueta.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": [
            "Data Analytics",
            "Quality Assurance"
          ]
        }
      }
    }
  ]
}
```

------

------
#### [ IAM Identity Center ]

****Remover um usuário ou um grupo de um EMR Studio usando o console****

1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Escolha **EMR Studio** no painel de navegação à esquerda.

1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.

1. Na lista de **Usuários do Studio** na página de detalhes do Studio, localize o usuário ou o grupo que você deseja remover do Studio. É possível pesquisar por nome ou por tipo de identidade.

1. Selecione o usuário ou o grupo que deseja excluir, escolha **Excluir** e confirme. O usuário ou o grupo excluído desaparecerá da lista **Usuários do Studio**.

**Remover um usuário ou um grupo de um EMR Studio usando a AWS CLI**

Insira seus próprios valores para os argumentos `delete-studio-session-mapping` a seguir. Para obter mais informações sobre o comando `delete-studio-session-mapping`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).

```
aws emr delete-studio-session-mapping \
 --studio-id <example-studio-id> \
 --identity-type <USER-or-GROUP> \
 --identity-name <name-of-user-or-group-to-delete> \
```

------