/start
```
## Configuração do modo de autenticação do Centro de Identidade do IAM para o Amazon EMR Studio
Para se preparar Centro de Identidade do AWS IAM para o EMR Studio, você deve configurar sua fonte de identidade e provisionar usuários e grupos. O provisionamento é o processo de disponibilização de informações de usuários e de grupos para o uso pelo Centro de Identidade do IAM e por aplicações que usam o Centro de Identidade do IAM. Para obter mais informações, consulte [User and group provisioning](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#user-group-provision).
O EMR Studio oferece suporte ao uso dos seguintes provedores de identidades para o Centro de Identidade do IAM:
+ **AWS Managed Microsoft AD e Active Directory autogerenciado** — Para obter mais informações, consulte [Connect to your Microsoft AD directory](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html).
+ **Provedores baseados em SAML**: para obter uma lista completa, consulte [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html).
+ **Diretório do Centro de Identidade do IAM**: para obter mais informações, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html).
**Configurar o Centro de Identidade do IAM para o EMR Studio**
1. Para configurar o Centro de Identidade do IAM para o EMR Studio, você precisa do seguinte:
+ Uma conta de gerenciamento em sua AWS organização se você usar várias contas em sua organização.
**nota**
Você deve usar a conta de gerenciamento somente para habilitar o Centro de Identidade do IAM e *provisionar* usuários e grupos. Após configurar o Centro de Identidade do IAM, use uma conta de membro para criar um EMR Studio e *atribuir* usuários e grupos. Para saber mais sobre AWS terminologia, consulte [AWS Organizations terminologia e conceitos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Se você ativou o IAM Identity Center antes de 25 de novembro de 2019, talvez seja necessário habilitar aplicativos que usam o IAM Identity Center para as contas AWS da sua organização. Para obter mais informações, consulte [Habilitar aplicativos integrados ao IAM Identity Center em AWS contas](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html#enable-app-enablement).
+ Certifique-se de ter os pré-requisitos listados na página de [pré-requisitos do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).
1. Siga as instruções em [Ativar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) para habilitar o IAM Identity Center no Região da AWS local em que você deseja criar o EMR Studio.
1. Conecte o Centro de Identidade do IAM ao seu provedor de identidades e provisione os usuários e os grupos que você deseja atribuir ao Studio.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-studio-authentication.html)
Agora você pode atribuir usuários e grupos do seu repositório de identidades a um EMR Studio. Para instruções, consulte [Atribuir um usuário ou um grupo a um EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
# Crie um perfil de serviço do EMR Studio
## Sobre o perfil de serviço do EMR Studio
Cada EMR Studio usa uma função do IAM com permissões que permitem que o Studio interaja com outros AWS serviços. Essa função de serviço deve incluir permissões que permitam ao EMR Studio estabelecer um canal de rede seguro entre espaços de trabalho e clusters, armazenar arquivos do notebook e acessá-los AWS Secrets Manager enquanto vincula um espaço de trabalho a um repositório Git. Amazon S3 Control
Use o perfil de serviço do Studio (em vez das políticas de sessão) para definir todas as permissões de acesso do Amazon S3 para armazenar arquivos de cadernos e para definir as permissões de acesso do AWS Secrets Manager .
## Como criar um perfil de serviço para o EMR Studio no Amazon EC2 ou no Amazon EKS
1. Siga as instruções em [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para criar a função de serviço com a seguinte política de confiança.
**Importante**
A política de confiança a seguir inclui as chaves de condição globais [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) para limitar as permissões que você concede ao EMR Studio para recursos específicos em sua conta. Fazer isso pode proteger você contra [o problema de “confused deputy”](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Remova as permissões de perfil padrão. Em seguida, inclua as permissões do exemplo de política de permissões do IAM a seguir. Como alternativa, você pode criar uma política personalizada que use as [Permissões de perfil de serviço do EMR Studio](#emr-studio-service-role-permissions-table).
**Importante**
Para que o controle de acesso baseado em tags do Amazon EC2 funcione com o EMR Studio, você deve definir o acesso à API `ModifyNetworkInterfaceAttribute` conforme mostrado na política a seguir.
Para que o EMR Studio funcione com o perfil de serviço, você não deve alterar as seguintes instruções: `AllowAddingEMRTagsDuringDefaultSecurityGroupCreation` e `AllowAddingTagsDuringEC2ENICreation`.
Para usar a política de exemplo, você deve etiquetar os recursos apresentados a seguir com a chave `"for-use-with-amazon-emr-managed-policies"` e o valor `"true"`.
Sua Amazon Virtual Private Cloud (VPC) para o EMR Studio.
Cada sub-rede que deseja usar com o Studio.
Qualquer grupo de segurança personalizado do EMR Studio. Você deve etiquetar todos os grupos de segurança criados durante o período de pré-visualização do EMR Studio se desejar continuar a usá-los.
Segredos mantidos nos AWS Secrets Manager quais os usuários do Studio usam para vincular repositórios Git a um espaço de trabalho.
Você pode aplicar etiquetas aos recursos usando a guia **Etiquetas** na tela de recursos relevantes no Console de gerenciamento da AWS.
Quando aplicável, altere `*` em `"Resource":"*"` na política apresentada a seguir para especificar o nome do recurso da Amazon (ARN) dos recursos abrangidos pela instrução para o seu caso de uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRReadOnlyActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowEC2ENIActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENIAttributeAction",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2SecurityGroupActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsDuringEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Sid": "AllowEC2ReadOnlyActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowWorkspaceCollaboration",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Conceda ao seu perfil de serviço o acesso de leitura e de gravação ao local do Amazon S3 para o EMR Studio. Use o conjunto mínimo de permissões apresentado a seguir. Para obter mais informações, consulte o exemplo [Amazon S3: permite acesso de leitura e gravação a objetos em um bucket do S3 de forma programática e no console](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket-console.html).
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Se você criptografar seu bucket do Amazon S3, inclua as permissões a seguir para o AWS Key Management Service.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
1. Se você quiser controlar o acesso aos segredos do Git no nível do usuário, adicione permissões baseadas em tags a `secretsmanager:GetSecretValue` na **política de perfil de usuário** do EMR Studio e remova as permissões da política `secretsmanager:GetSecretValue` da **política de perfil de serviço** do EMR Studio. Para obter mais informações sobre como configurar as permissões refinadas de usuário, consulte [Criação de políticas de permissões para usuários do EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
## Perfil de serviço mínimo para o EMR Serverless
Se quiser executar workloads interativas com o EMR Serverless por meio de cadernos do EMR Studio, use a mesma política de confiança usada para configurar o EMR Studio na seção anterior, [Como criar um perfil de serviço para o EMR Studio no Amazon EC2 ou no Amazon EKS](#emr-studio-service-role-instructions).
Para sua política do IAM, a política mínima viável tem as permissões a seguir. Atualize `bucket-name` com o nome do bucket que planeja usar ao configurar o EMR Studio e o Workspace. O EMR Studio usa o bucket para fazer backup dos Workspaces e dos arquivos de caderno no seu Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
Se usar um bucket criptografado do Amazon S3, inclua as seguintes permissões na sua política:
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
## Permissões de perfil de serviço do EMR Studio
A tabela a seguir lista as operações que o EMR Studio executa usando o perfil de serviço, em conjunto com as ações do IAM obrigatórias para cada operação.
| Operation | Ações |
| --- | --- |
| Estabelecimento de um canal de rede seguro entre um Workspace e um cluster do EMR e execução das ações de limpeza necessárias. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| Use as credenciais do Git armazenadas para AWS Secrets Manager vincular os repositórios do Git a um espaço de trabalho. | "secretsmanager:GetSecretValue"
|
| Aplique AWS tags à interface de rede e aos grupos de segurança padrão que o EMR Studio cria ao configurar o canal de rede seguro. Para obter mais informações, consulte [Etiquetar recursos da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). | "ec2:CreateTags"
|
| Acesso ou upload de arquivos e metadados de cadernos para o Amazon S3. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
Se você usar um bucket criptografado do Amazon S3, inclua as permissões a seguir. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
| Habilitação e configuração da colaboração no Workspace. | "iam:GetUser",
"iam:GetRole",
"iam:ListUsers",
"iam:ListRoles",
"sso:GetManagedApplicationInstance",
"sso-directory:SearchUsers",
"sso:DescribeApplication",
"sso:DescribeInstance"
|
| [Criptografe cadernos e arquivos do espaço de trabalho do EMR Studio usando chaves gerenciadas pelo cliente (CMK) com AWS Key Management Service](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-workspace-storage-encryption) | "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
# Configurar permissões de usuário do EMR Studio para Amazon EC2 ou Amazon EKS
Você deve configurar políticas de permissões de usuário para o Amazon EMR Studio para definir permissões detalhadas de usuários e de grupos. Para obter informações sobre como as permissões de usuário funcionam no EMR Studio, consulte [Controle de acesso](how-emr-studio-works.md#emr-studio-access-control) em [Como o Amazon EMR Studio funciona](how-emr-studio-works.md).
**nota**
As permissões abordadas nesta seção não impõem controle de acesso a dados. Para gerenciar o acesso aos conjuntos de dados de entrada, você deve configurar permissões para os clusters que seu Studio usa. Para obter mais informações, consulte [Segurança no Amazon EMR](emr-security.md).
## Criação de um perfil de usuário do EMR Studio para o modo de autenticação do Centro de Identidade do IAM
Você deve criar um perfil de usuário do EMR Studio ao usar o modo de autenticação do Centro de Identidade do IAM.
**Criar um perfil de usuário para o EMR Studio**
1. Siga as instruções em [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do AWS Identity and Access Management usuário* para criar uma função de usuário.
Ao criar o perfil, use a política de relação de confiança apresentada a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Resource": "arn:aws:iam::123456789012:role/EMRStudioServiceRole",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
1. Remova as permissões e as políticas de perfil padrão.
1. Antes de atribuir usuários e grupos a um Studio, anexe as políticas de sessão do EMR Studio ao perfil de usuário. Para obter instruções sobre como criar políticas de sessão, consulte [Criação de políticas de permissões para usuários do EMR Studio](#emr-studio-permissions-policies).
## Criação de políticas de permissões para usuários do EMR Studio
Consulte as seções a seguir para criar políticas de permissões do EMR Studio.
**Topics**
+ [Criação das políticas de permissões](#emr-studio-permissions-policies-create)
+ [Definição de propriedade para colaboração no Workspace](#emr-studio-workspace-collaboration-permissions)
+ [Criação de uma política de segredos do Git no nível de usuário](#emr-studio-permissions-policies-git)
+ [Anexe a política de permissões à sua identidade do IAM.](#emr-studio-permissions-policies-attach)
**nota**
Para estabelecer permissões de acesso do Amazon S3 para o armazenamento de arquivos de cadernos e permissões de acesso do AWS Secrets Manager para a leitura de segredos ao vincular Workspaces a repositórios Git, use o perfil de serviço do EMR Studio.
### Criação das políticas de permissões
Crie uma ou mais políticas de permissões do IAM que especifiquem quais ações um usuário pode realizar no seu Studio. Por exemplo, é possível criar três políticas separadas para tipos de usuários [básicos](), [intermediários]() e [avançados]() do Studio com os exemplos de políticas nesta página.
Para obter um detalhamento de cada operação do Studio que um usuário pode executar e as ações mínimas do IAM necessárias para executar cada operação, consulte [AWS Identity and Access Management permissões para usuários do EMR Studio](#emr-studio-iam-permissions-table). Para ver as etapas de criação das políticas, consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Sua política de permissões deve incluir as instruções apresentadas a seguir.
```
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
}
```
### Definição de propriedade para colaboração no Workspace
A colaboração no Workspace permite que vários usuários trabalhem simultaneamente no mesmo Workspace e pode ser configurada com o painel **Colaboração** na interface do usuário do Workspace. Para visualizar e usar o painel **Colaboração**, o usuário deve ter as permissões apresentadas a seguir. Qualquer usuário com essas permissões poderá visualizar e usar o painel **Colaboração**.
```
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
```
Para restringir o acesso ao painel **Colaboração**, é possível usar o controle de acesso por etiquetas. Quando um usuário cria um Workspace, o EMR Studio aplica uma etiqueta padrão com uma chave `creatorUserId` cujo valor é o ID do usuário que cria o Workspace.
**nota**
O EMR Studio adiciona a tag `creatorUserId` aos Workspaces criados após 16 de novembro de 2021. Para restringir quem pode configurar a colaboração dos espaços de trabalhos criados antes dessa data, recomendamos adicionar manualmente a tag `creatorUserId` ao seu Workspace e, em seguida, usar o controle de acesso por tags nas suas políticas de permissões de usuários.
A instrução de exemplo a seguir permite que um usuário configure a colaboração para qualquer Workspace com a chave de etiqueta `creatorUserId` cujo valor corresponde ao ID do usuário (indicado pela variável de política `aws:userId`). Em outras palavras, a instrução permite que um usuário configure a colaboração para os Workspaces criados por ele. Para saber mais sobre as variáveis de política, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
```
{
"Sid": "UserRolePermissionsForCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userid}"
}
}
}
```
### Criação de uma política de segredos do Git no nível de usuário
**Topics**
+ [Para usar permissões no nível de usuário](#emr-studio-permissions-policies-user)
+ [Para fazer a transição de permissões do nível de serviço para permissões do nível de usuário](#emr-studio-permissions-policies-transition)
+ [Para usar permissões no nível de serviço](#emr-studio-permissions-policies-service)
#### Para usar permissões no nível de usuário
O EMR Studio adiciona automaticamente a tag `for-use-with-amazon-emr-managed-user-policies` ao criar segredos do Git. Se você quiser controlar o acesso aos segredos do Git no nível do usuário, adicione permissões baseadas em tags à **política de perfil de usuário** do EMR Studio com `secretsmanager:GetSecretValue`, conforme mostrado na seção [Para fazer a transição de permissões do nível de serviço para permissões do nível de usuário](#emr-studio-permissions-policies-transition) abaixo.
Se você tiver permissões existentes para `secretsmanager:GetSecretValue` na **política de perfil de serviço** do EMR Studio, deverá remover essas permissões.
#### Para fazer a transição de permissões do nível de serviço para permissões do nível de usuário
**nota**
A tag `for-use-with-amazon-emr-managed-user-policies` garante que as permissões da **Etapa 1** abaixo concedam ao criador do espaço de trabalho acesso ao segredo do Git. No entanto, se você vinculou repositórios Git antes de 1.º de setembro de 2023, os segredos do Git correspondentes terão o acesso negado por não terem a tag `for-use-with-amazon-emr-managed-user-policies` aplicada. Para aplicar permissões em nível de usuário, você deve recriar os segredos antigos JupyterLab e vincular os repositórios Git apropriados novamente.
Para obter mais informações sobre as variáveis de política, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
1. Adicione as permissões a seguir à [**política de perfil de usuário** do EMR Studio](emr-studio-service-role.md). A política usa a chave `for-use-with-amazon-emr-managed-user-policies` com valor `"${aws:userid}"`.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/for-use-with-amazon-emr-managed-user-policies": "${aws:userid}"
}
}
}
```
1. Se presente, remova a permissão a seguir da [**política de perfil de serviço** do EMR Studio](emr-studio-service-role.md). Como a política de perfil de serviço se aplica a todos os segredos definidos por cada usuário, você só precisa fazer isso uma vez.
```
{
"Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
}
```
#### Para usar permissões no nível de serviço
A partir de 1.º de setembro de 2023, o EMR Studio adiciona automaticamente a tag `for-use-with-amazon-emr-managed-user-policies` para controle de acesso no nível de usuário. Como esse é um recurso adicional, você pode continuar usando o acesso no nível de serviço disponível por meio da permissão `GetSecretValue` no [perfil de serviço do EMR Studio](emr-studio-service-role.md).
Para segredos criados antes de 1.º de setembro de 2023, o EMR Studio não adicionou a tag `for-use-with-amazon-emr-managed-user-policies`. Para continuar usando as permissões no nível de serviço, basta reter as permissões existentes de perfil de usuário e de [perfil de serviço do EMR Studio](emr-studio-service-role.md). No entanto, para restringir quem pode acessar um segredo individual, recomendamos seguir as etapas em [Para usar permissões no nível de usuário](#emr-studio-permissions-policies-user) para adicionar manualmente a tag `for-use-with-amazon-emr-managed-user-policies` aos seus segredos e, em seguida, usar o controle de acesso por tags nas suas políticas de permissões de usuários.
Para obter mais informações sobre as variáveis de política, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
### Anexe a política de permissões à sua identidade do IAM.
A tabela a seguir resume a qual identidade do IAM você deve anexar uma política de permissões, dependendo do modo de autenticação do EMR Studio. Para obter instruções sobre como anexar uma política, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
****
| Se você usar... | Anexe a política para... |
| --- | --- |
| Autenticação do IAM | As suas identidades do IAM (usuários, grupos de usuários ou perfis). Por exemplo, é possível anexar uma política de permissões a um usuário em sua Conta da AWS. |
| Federação do IAM com um provedor de identidades (IdP) externo | O perfil ou os perfis do IAM que você cria para seu IdP externo. Por exemplo, uma federação do IAM para SAML 2.0. O EMR Studio usa as permissões que você atribui aos perfis do IAM para os usuários com acesso federado a um Studio. |
| Centro de Identidade do IAM | O seu perfil de usuário do Amazon EMR Studio. |
## Exemplo de políticas de usuário
A política de usuário básico apresentada a seguir permite a maioria das ações do EMR Studio, mas não permite que um usuário crie novos clusters do Amazon EMR.
### Política básica
**Importante**
A política de exemplo não inclui a permissão `CreateStudioPresignedUrl`, que você deve conceder a um usuário ao usar o modo de autenticação do IAM. Para obter mais informações, consulte [Atribuir um usuário ou um grupo a um EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
A política de exemplo inclui elementos `Condition` para impor o controle de acesso por etiquetas (TBAC) com a finalidade de que você possa usar a política com o perfil de serviço de exemplo para o EMR Studio. Para obter mais informações, consulte [Crie um perfil de serviço do EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role>"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-aws-111122223333>-region>/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
A política de usuário intermediário apresentada a seguir permite a maioria das ações do EMR Studio e possibilita que um usuário crie novos clusters do Amazon EMR usando um modelo de cluster.
### Política intermediária
**Importante**
A política de exemplo não inclui a permissão `CreateStudioPresignedUrl`, que você deve conceder a um usuário ao usar o modo de autenticação do IAM. Para obter mais informações, consulte [Atribuir um usuário ou um grupo a um EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
A política de exemplo inclui elementos `Condition` para impor o controle de acesso por etiquetas (TBAC) com a finalidade de que você possa usar a política com o perfil de serviço de exemplo para o EMR Studio. Para obter mais informações, consulte [Crie um perfil de serviço do EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:us-west-1:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
}
]
}
```
------
A política de usuário avançada apresentada a seguir permite todas as ações do EMR Studio e possibilita que um usuário crie novos clusters do Amazon EMR ao usar um modelo de cluster ou ao fornecer uma configuração de cluster.
### Política avançada
**Importante**
A política de exemplo não inclui a permissão `CreateStudioPresignedUrl`, que você deve conceder a um usuário ao usar o modo de autenticação do IAM. Para obter mais informações, consulte [Atribuir um usuário ou um grupo a um EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
A política de exemplo inclui elementos `Condition` para impor o controle de acesso por etiquetas (TBAC) com a finalidade de que você possa usar a política com o perfil de serviço de exemplo para o EMR Studio. Para obter mais informações, consulte [Crie um perfil de serviço do EMR Studio](emr-studio-service-role.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateRepository",
"elasticmapreduce:DescribeRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetOnClusterAppUIPresignedURL"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRContainersBasicActions",
"Action": [
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeJobRun",
"emr-containers:ListJobRuns"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowRetrievingManagedEndpointCredentials",
"Effect": "Allow",
"Action": [
"emr-containers:GetManagedEndpointSessionCredentials"
],
"Resource": [
"arn:aws:emr-containers:*:123456789012:/virtualclusters/virtual-cluster-id/endpoints/managed-endpoint-id"
],
"Condition": {
"StringEquals": {
"emr-containers:ExecutionRoleArn": [
"arn:aws:iam::123456789012:role/emr-on-eks-execution-role"
]
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:emr-studio-*"
]
},
{
"Sid": "AllowClusterTemplateRelatedIntermediateActions",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:ListLaunchPaths",
"servicecatalog:DescribeRecord",
"cloudformation:DescribeStackResources"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRCreateClusterAdvancedActions",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/your-emr-studio-service-role",
"arn:aws:iam::*:role/EMR_DefaultRole_V2",
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-123456789012-us-east-1/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "SageMakerDataWranglerForEMRStudio",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowCodeWhisperer",
"Effect": "Allow",
"Action": [
"codewhisperer:GenerateRecommendations"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowAthenaSQL",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
A política de usuário a seguir contém as permissões mínimas de usuário necessárias para usar uma aplicação interativa do EMR Serverless com os Workspaces do EMR Studio.
### Política interativa do EMR Serverless
[Neste exemplo de política que tem permissões de usuário para aplicativos interativos do EMR Serverless com o EMR Studio, substitua os espaços reservados para e por *emr-studio-service-role* sua função de serviço do EMR Studio e função de *serverless-runtime-role* tempo de execução do [EMR](emr-studio-service-role.md) Serverless corretas.](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowServerlessActions",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowEMRBasicActions",
"Action": [
"elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:UpdateStudio",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:DeleteStudio",
"elasticmapreduce:ListStudios",
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingRuntimeRoleForRunningEMRServerlessJob",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/serverless-runtime-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/emr-studio-service-role"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndGetPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS Identity and Access Management permissões para usuários do EMR Studio
A tabela a seguir inclui cada operação do Amazon EMR Studio que um usuário pode realizar e lista as ações mínimas do IAM que são necessárias para executar essa operação. Você permite essas ações nas suas políticas de permissões do IAM (ao usar a autenticação do IAM) ou nas políticas de sessão do perfil de usuário (ao usar a autenticação do Centro de Identidade do IAM) para o EMR Studio.
A tabela também exibe as operações permitidas em cada exemplo de política de permissões para o EMR Studio. Para obter mais informações sobre exemplos de políticas de permissões, consulte [Criação de políticas de permissões para usuários do EMR Studio](#emr-studio-permissions-policies).
| Ação | Básico | Intermediário | Advanced (Avançado) | Ações associadas |
| --- | --- | --- | --- | --- |
| Criação e exclusão de Workspaces | Sim | Sim | Sim | "elasticmapreduce:CreateEditor",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:DeleteEditor"
|
| Visualização do painel Colaboração, habilitação da colaboração no Workspace e adição de colaboradores. Para obter mais informações, consulte [Definição de propriedade para colaboração no Workspace](#emr-studio-workspace-collaboration-permissions). | Sim | Sim | Sim | "elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
|
| Veja uma lista de buckets de Amazon S3 Control armazenamento na mesma conta do Studio ao criar um novo cluster EMR e acesse os registros do contêiner ao usar uma interface de usuário da web para depurar aplicativos | Sim | Sim | Sim | "s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject"
|
| Acesso aos Workspaces. | Sim | Sim | Sim | "elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListEditors",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:OpenEditorInConsole"
|
| Anexo ou remoção do anexo para clusters existentes do Amazon EMR associados ao Workspace. | Sim | Sim | Sim | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions"
|
| Anexo ou remoção do anexo para clusters do Amazon EMR no EKS. | Sim | Sim | Sim | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListManagedEndpoints",
"emr-containers:DescribeManagedEndpoint",
"emr-containers:GetManagedEndpointSessionCredentials"
|
| Anexar ou desanexar aplicações do EMR Serverless associadas ao Workspace | Não | Sim | Sim | "elasticmapreduce:AttachEditor",
"elasticmapreduce:DetachEditor",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:AccessInteractiveEndpoints",
"iam:PassRole"
A permissão `PassRole` é necessária para passar a função de runtime de tarefas do EMR Serverless. Para obter mais informações, consulte [Funções de runtime de trabalho](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) no *Guia do usuário do Amazon EMR Serverless*. |
| Depuração do Amazon EMR em trabalhos do EC2 com interfaces do usuário de aplicações persistentes. | Sim | Sim | Sim | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListSteps",
"elasticmapreduce:DescribeCluster",
"s3:ListBucket",
"s3:GetObject"
|
| Depuração do Amazon EMR em trabalhos do EC2 com interfaces do usuário de aplicações no cluster. | Sim | Sim | Sim | "elasticmapreduce:GetOnClusterAppUIPresignedURL"
|
| Depuração de execuções de trabalhos do Amazon EMR no EKS usando o servidor de histórico do Spark. | Sim | Sim | Sim | "elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListJobRuns",
"emr-containers:DescribeJobRun",
"s3:ListBucket",
"s3:GetObject"
|
| Criação e exclusão de repositórios Git. | Sim | Sim | Sim | "elasticmapreduce:CreateRepository",
"elasticmapreduce:DeleteRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository",
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets",
"secretsmanager:TagResource"
|
| Vinculação e desvinculação de repositórios Git. | Sim | Sim | Sim | "elasticmapreduce:LinkRepository",
"elasticmapreduce:UnlinkRepository",
"elasticmapreduce:ListRepositories",
"elasticmapreduce:DescribeRepository"
|
| Criação de novos clusters a partir de modelos de cluster definidos previamente. | Não | Sim | Sim | "servicecatalog:SearchProducts",
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ProvisionProduct",
"servicecatalog:UpdateProvisionedProduct",
"servicecatalog:ListProvisioningArtifacts",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"cloudformation:DescribeStackResources",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| Forneça uma configuração de cluster para criar clusters. | Não | Não | Sim | "elasticmapreduce:RunJobFlow",
"iam:PassRole",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeCluster"
|
| [Atribuição de um usuário a um Studio ao usar o modo de autenticação do IAM.](emr-studio-manage-users.md#emr-studio-assign-users-groups) | Não | Não | Não | "elasticmapreduce:CreateStudioPresignedUrl"
|
| Descrição dos objetos das redes. | Sim | Sim | Sim | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
}
]
}
``` |
| Listagem dos perfis do IAM. | Sim | Sim | Sim | JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
``` |
| [Conecte-se ao EMR Studio a partir do Amazon SageMaker AI Studio e use a interface visual do Data Wrangler.](https://aws.amazon.com/blogs/machine-learning/prepare-data-from-amazon-emr-for-machine-learning-using-amazon-sagemaker-data-wrangler/) | Não | Não | Sim | "sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
|
| [Use a Amazon CodeWhisperer em seu EMR Studio.](emr-studio-codewhisperer.md) | Não | Não | Sim | "codewhisperer:GenerateRecommendations"
|
| [Acesso ao editor SQL do Amazon Athena por meio do EMR Studio.](emr-studio-athena.md) Essa lista pode não incluir todas as permissões necessárias para usar todos os recursos do Athena. Para ver a up-to-date lista completa, consulte a política de [acesso total do Athena](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy). | Não | Não | Sim | "athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryRuntimeStatistics",
"athena:GetQueryResults",
"athena:ListQueryExecutions",
"athena:BatchGetQueryExecution",
"athena:GetNamedQuery",
"athena:ListNamedQueries",
"athena:BatchGetNamedQuery",
"athena:UpdateNamedQuery",
"athena:DeleteNamedQuery",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreateNamedQuery",
"athena:GetPreparedStatement",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"lakeformation:GetDataAccess",
"s3:GetBucketLocation",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock",
"s3:ListAllMyBuckets"
|
# Crie um EMR Studio
É possível criar um EMR Studio para a sua equipe com o console do Amazon EMR ou a AWS CLI. A criação de uma instância do Studio faz parte da configuração do Amazon EMR Studio.
**Pré-requisitos**
Antes de criar um Studio, certifique-se de ter concluído as tarefas anteriores em [Configuração de um EMR Studio](emr-studio-set-up.md).
Para criar um Studio usando o AWS CLI, você deve ter a versão mais recente instalada. Para obter mais informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Importante**
Desative as ferramentas de gerenciamento de proxy, como FoxyProxy ou SwitchyOmega no navegador, antes de criar um Studio. Os proxies ativos podem resultar em uma mensagem de erro de **falha de rede** quando você escolhe **Criar Studio**.
O Amazon EMR oferece uma experiência de console simples para criar um Studio, de modo que você possa começar rapidamente com as configurações padrão e executar workloads interativas ou trabalhos em lotes com as configurações padrão. Criar um EMR Studio também cria uma aplicação do EMR Sem Servidor pronta para trabalhos interativos.
Se quiser ter controle total sobre as configurações do Studio, você pode escolher a opção **Personalizado**, que permite definir todas as configurações adicionais.
------
#### [ Interactive workloads ]
**Para criar um EMR Studio para workloads interativas**
1. [Abra o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. Em **EMR Studio**, no painel de navegação à esquerda, escolha **Conceitos básicos**. Você também pode criar um novo Studio na página **Studios**.
1. O Amazon EMR fornece configurações padrão para você se estiver criando um EMR Studio para workloads interativas, mas é possível editar essas configurações. As configurações editáveis incluem o nome do EMR Studio, a localização do S3 para o Workspace, o perfil de serviço a ser usado, os Workspaces que deseja usar, o nome da aplicação do EMR Sem Servidor e o perfil de runtime associado.
1. Escolha **Criar Studio e iniciar Workspace** para finalizar e navegue até a página **Studios**. Seu novo Studio aparece na lista com detalhes como o **Nome do Studio**, **Data de criação** e **URL de acesso do Studio**. O Workspace é aberto em uma nova guia do navegador.
------
#### [ Batch jobs ]
**Para criar um EMR Studio para workloads interativas**
1. [Abra o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. Em **EMR Studio**, no painel de navegação à esquerda, escolha **Conceitos básicos**. Você também pode criar um novo Studio na página **Studios**.
1. O Amazon EMR fornece configurações padrão para você se estiver criando um EMR Studio para trabalhos em lotes, mas é possível editar essas configurações. As configurações editáveis incluem o nome do EMR Studio, o nome da aplicação do EMR Sem Servidor e o perfil de runtime associado.
1. Escolha **Criar Studio e iniciar Workspace** para finalizar e navegue até a página **Studios**. Seu novo Studio aparece na lista com detalhes como o **Nome do Studio**, **Data de criação** e **URL de acesso do Studio**. O EMR Studio é aberto em uma nova guia do navegador.
------
#### [ Custom settings ]
**Para criar um EMR Studio com configurações personalizadas**
1. [Abra o console do Amazon EMR em https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)
1. Em **EMR Studio**, no painel de navegação à esquerda, escolha **Conceitos básicos**. Você também pode criar um novo Studio na página **Studios**.
1. Escolha **Criar um Studio** para abrir a página **Criar um Studio**.
1. Insira um **Nome de Studio**.
1. Escolha criar um bucket do S3 ou usar um local existente.
1. Escolha o Workspace a ser adicionado ao Studio. É possível adicionar até 3 Workspaces.
1. Em **Autenticação**, escolha um modo de autenticação para o Studio e forneça informações de acordo com a tabela a seguir. Para saber mais sobre a autenticação para o EMR Studio, consulte [Escolha um modo de autenticação para o Amazon EMR Studio](emr-studio-authentication.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Em VPC, escolha uma Amazon Virtual Private Cloud (**VPC**) para o Studio na lista suspensa.
1. Em **Sub-redes**, selecione, no máximo, cinco sub-redes em sua VPC para associar ao Studio. Você tem a opção de adicionar mais sub-redes após a criação do Studio.
1. Em **Grupos de segurança**, escolha os grupos de segurança padrão ou os grupos de segurança personalizados. Para obter mais informações, consulte [Definição de grupos de segurança para controlar o tráfego de rede do EMR Studio](emr-studio-security-groups.md).
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/emr/latest/ManagementGuide/emr-studio-create-studio.html)
1. Adicione tags ao Studio e outros recursos. Para obter mais informações sobre tags, consulte [Tag clusters](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags.html).
1. Escolha **Criar Studio e iniciar Workspace** para finalizar e navegue até a página **Studios**. Seu novo Studio aparece na lista com detalhes como o **Nome do Studio**, **Data de criação** e **URL de acesso do Studio**.
Depois de criar um Studio, siga as instruções em [Atribuir um usuário ou um grupo a um EMR Studio](emr-studio-manage-users.md#emr-studio-assign-users-groups).
------
#### [ CLI ]
**nota**
Os caracteres de continuação de linha do Linux (\$1) são incluídos para facilitar a leitura. Eles podem ser removidos ou usados em comandos do Linux. No Windows, remova-os ou substitua-os por um sinal de interpolação (^).
**Example – Crie um EMR Studio que use o IAM para autenticação**
O AWS CLI comando de exemplo a seguir cria um EMR Studio com o modo de autenticação IAM. Ao usar a autenticação ou a federação do IAM para o Studio, você não especifica um `--user-role`.
Para permitir que os usuários federados façam login usando o URL do Studio e as credenciais do seu provedor de identidades (IdP), especifique seu `--idp-auth-url` e seu `--idp-relay-state-parameter-name`. Para obter uma lista de RelayState nomes URLs e autenticação de IdP, consulte. [RelayState Parâmetros e autenticação do provedor de identidade URLs](#emr-studio-idp-reference-table)
```
aws emr create-studio \
--name \
--auth-mode IAM \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role studio-user-role-name \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location \
--idp-auth-url \
--idp-relay-state-parameter-name
```
**Example – Crie um EMR Studio que use o Centro de Identidade para autenticação**
O comando de AWS CLI exemplo a seguir cria um EMR Studio que usa o modo de autenticação do IAM Identity Center. Ao usar a autenticação do Centro de Identidade do IAM, você deve especificar um `--user-role`.
Para obter mais informações sobre o modo de autenticação do Centro de Identidade do IAM, consulte [Configuração do modo de autenticação do Centro de Identidade do IAM para o Amazon EMR Studio](emr-studio-authentication.md#emr-studio-enable-sso).
```
aws emr create-studio \
--name \
--auth-mode SSO \
--vpc-id \
--subnet-ids ... \
--service-role \
--user-role \
--workspace-security-group-id \
--engine-security-group-id \
--default-s3-location
--trusted-identity-propagation-enabled \
--idc-user-assignment OPTIONAL \
--idc-instance-arn
```
**Example – Saída da CLI para `aws emr create-studio`**
A seguir, é apresentado um exemplo da saída que aparece após a criação de um Studio.
```
{
StudioId: "es-123XXXXXXXXX",
Url: "https://es-123XXXXXXXXX.emrstudio-prod.us-east-1.amazonaws.com"
}
```
Para obter mais informações sobre o comando `create-studio`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio.html).
------
## RelayState Parâmetros e autenticação do provedor de identidade URLs
Ao usar a federação do IAM e quiser que os usuários façam login usando o URL do Studio e as credenciais do seu provedor de identidade (IdP), você pode especificar o URL de **login do provedor de identidade (IdP) **RelayState****e o nome do parâmetro quando quiser. [Crie um EMR Studio](#emr-studio-create-studio)
A tabela a seguir mostra o URL de autenticação padrão e o nome do RelayState parâmetro para alguns provedores de identidade populares.
| Provedor de identidades | Parâmetro | URL de autenticação |
| --- | --- | --- |
| Auth0 | RelayState | https://.auth0.com/samlp/ |
| Contas do Google | RelayState | https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false |
| Microsoft Azure | RelayState | https://myapps.microsoft.com/signin//?tenantId= |
| Okta | RelayState | https://.okta.com/app///sso/saml |
| PingFederate | TargetResource | https:///idp//startSSO.ping?PartnerSpId= |
| PingOne | TargetResource | https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid= |
# Atribua e gerencie usuários do EMR Studio
Após criar um EMR Studio, você poderá atribuir usuários e grupos a ele. O método usado para atribuir, atualizar e remover usuários depende do modo de autenticação do Studio.
+ Ao usar o modo de autenticação do IAM, você configura a atribuição e as permissões de usuários do EMR Studio no IAM ou usando o IAM e seu provedor de identidades.
+ Com o modo de autenticação do IAM Identity Center, você usa o console de gerenciamento do Amazon EMR ou o AWS CLI para gerenciar usuários.
Para saber mais sobre a autenticação para o Amazon EMR Studio, consulte [Escolha um modo de autenticação para o Amazon EMR Studio](emr-studio-authentication.md).
## Atribuir um usuário ou um grupo a um EMR Studio
------
#### [ IAM ]
Ao usar [Configuração do modo de autenticação do IAM para o Amazon EMR Studio](emr-studio-authentication.md#emr-studio-iam-authentication), você deve permitir a ação `CreateStudioPresignedUrl` na política de permissões do IAM para um usuário e restringir o usuário a um Studio específico. Você pode incluir `CreateStudioPresignedUrl` em suas [Permissões de usuários para o modo de autenticação do IAM](how-emr-studio-works.md#emr-studio-iam-authorization) ou usar uma política separada.
Para restringir um usuário a um Studio (ou a um conjunto de Studios), você pode usar o controle de acesso por atributo (ABAC) ou especificar o nome do recurso da Amazon (ARN) de um Studio no elemento `Resource` da política de permissões.
**Example Atribuição de um usuário a um Studio usando um ARN do Studio**
O exemplo de política a seguir fornece ao usuário o acesso a um EMR Studio específico ao permitir a ação `CreateStudioPresignedUrl` e especificar o nome do recurso da Amazon (ARN) do Studio no elemento `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
]
}
]
}
```
**Example Atribuição de um usuário a um Studio com ABAC para a autenticação do IAM**
Há diversas maneiras de configurar o controle de acesso por atributo (ABAC) para um Studio. Por exemplo, é possível anexar uma ou mais etiquetas a um EMR Studio e, em seguida, criar uma política do IAM que restrinja a ação `CreateStudioPresignedUrl` a um determinado Studio ou a um conjunto de Studios com essas etiquetas.
Você pode adicionar etiquetas durante ou após a criação do Studio. Para adicionar etiquetas a um Studio existente, você pode usar o comando [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html). O exemplo apresentado a seguir adiciona uma etiqueta com o par de valores-chave `Team = Data Analytics` a um EMR Studio.
```
aws emr add-tags --resource-id --tags Team="Data Analytics"
```
O exemplo de política de permissões a seguir permite a ação `CreateStudioPresignedUrl` para EMR Studios com o par de valores-chave `Team = DataAnalytics` na etiqueta. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte [Controle de acesso para usuários e funções do IAM usando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) ou [Controlar o acesso a recursos da AWS usando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": "Data Analytics"
}
}
}
]
}
```
**Example Atribua um usuário a um Studio usando a chave de condição SourceIdentity global aws:**
Ao usar a federação do IAM, é possível usar a chave de condição global `aws:SourceIdentity` em uma política de permissões para conceder aos usuários o acesso ao Studio quando eles assumirem seu perfil do IAM para a federação.
Primeiro, você deve configurar o provedor de identidades (IdP) para retornar uma string de identificação, como um endereço de e-mail ou um nome de usuário, quando um usuário se autenticar e assumir seu perfil do IAM para a federação. O IAM define a chave de condição global `aws:SourceIdentity` para a string de identificação retornada pelo seu IdP.
Para obter mais informações, consulte a postagem do blog [Como relacionar a atividade da função do IAM à identidade corporativa](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) no AWS Security Blog e a SourceIdentity entrada [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) na referência global de chaves de condição.
O exemplo de política a seguir permite a `CreateStudioPresignedUrl` ação e fornece aos usuários um `aws:SourceIdentity` que corresponde ao ** acesso ao EMR Studio especificado por. **
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
],
"Condition": {
"StringLike": {
"aws:SourceIdentity": "example-source-identity"
}
},
"Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
}
]
}
```
------
#### [ IAM Identity Center ]
Ao atribuir um usuário ou um grupo a um EMR Studio, você especifica uma política de sessão que define permissões detalhadas, como a capacidade de criar um novo cluster do EMR, para esse usuário ou para esse grupo. O Amazon EMR armazena esses mapeamentos de políticas de sessão. É possível atualizar a política de sessão de um usuário ou de um grupo após a atribuição.
**nota**
As permissões finais para um usuário ou para um grupo são uma interseção entre as permissões definidas em seu perfil de usuário do EMR Studio e as permissões definidas na política de sessão desse usuário ou desse grupo. Se um usuário pertencer a mais de um grupo atribuído ao Studio, o EMR Studio usará uma união de permissões para esse usuário.
**Atribuir usuários ou grupos a um EMR Studio usando o console do Amazon EMR**
1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Escolha **EMR Studio** no painel de navegação à esquerda.
1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.
1. Escolha **Adicionar usuários** para visualizar a tabela de pesquisa para **Usuários** e **Grupos**.
1. Selecione a guia **Usuários** ou a guia **Grupos** e insira um termo de pesquisa na barra de pesquisa para localizar um usuário ou um grupo.
1. Selecione um ou mais usuários ou grupos na lista de resultados da pesquisa. É possível alternar entre as guias **Usuários** e **Grupos**.
1. Após selecionar os usuários e os grupos a serem adicionados ao Studio, escolha **Adicionar**. Você deve visualizar os usuários e os grupos na lista **Usuários do Studio**. Pode demorar alguns segundos para que a lista seja atualizada.
1. Siga as instruções em [Atualizar permissões para um usuário ou um grupo atribuído a um Studio](#emr-studio-update-user) para aprimorar as permissões do Studio para um usuário ou um grupo.
**Atribuir um usuário ou um grupo a um EMR Studio usando a AWS CLI**
Insira seus próprios valores para os argumentos `create-studio-session-mapping` a seguir. Para obter mais informações sobre o comando `create-studio-session-mapping`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`**: o ID do Studio ao qual você deseja atribuir o usuário ou o grupo. Para obter instruções sobre como recuperar um ID do Studio, consulte [Visualização de detalhes do Studio](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name`: o nome do usuário ou do grupo no repositório de identidades. Para obter mais informações, consulte [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)para usuários e [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)grupos na *Referência da API Identity Store*.
+ **`--identity-type`**: use `USER` ou `GROUP` para especificar o tipo de identidade.
+ **`--session-policy-arn`**: o nome do recurso da Amazon (ARN) da política de sessão que você deseja associar ao usuário ou ao grupo. Por exemplo, .`arn:aws:iam:::policy/EMRStudio_Advanced_User_Policy` Para obter mais informações, consulte [Criação de políticas de permissões para usuários do EMR Studio](emr-studio-user-permissions.md#emr-studio-permissions-policies).
```
aws emr create-studio-session-mapping \
--studio-id \
--identity-name \
--identity-type \
--session-policy-arn
```
**nota**
Os caracteres de continuação de linha do Linux (\$1) são incluídos para facilitar a leitura. Eles podem ser removidos ou usados em comandos do Linux. No Windows, remova-os ou substitua-os por um sinal de interpolação (^).
Use o comando `get-studio-session-mapping` para verificar a nova atribuição. **Substitua pelo nome do IAM Identity Center do usuário ou grupo que você atualizou.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Atualizar permissões para um usuário ou um grupo atribuído a um Studio
------
#### [ IAM ]
Para atualizar as permissões de usuários ou de grupos ao usar o modo de autenticação do IAM, use o IAM para alterar as políticas de permissões do IAM anexadas às suas identidades do IAM (usuários, grupos ou perfis).
Para obter mais informações, consulte [Permissões de usuários para o modo de autenticação do IAM](how-emr-studio-works.md#emr-studio-iam-authorization).
------
#### [ IAM Identity Center ]
****Atualizar as permissões do EMR Studio para um usuário ou um grupo usando o console****
1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Escolha **EMR Studio** no painel de navegação à esquerda.
1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.
1. Na lista de **Usuários do Studio** na página de detalhes do Studio, pesquise o usuário ou o grupo que você deseja atualizar. É possível pesquisar por nome ou por tipo de identidade.
1. Selecione o usuário ou o grupo que deseja atualizar e escolha **Atribuir política** para abrir a caixa de diálogo **Política de sessão**.
1. Selecione uma política para aplicar ao usuário ou ao grupo escolhido na etapa 5 e escolha **Aplicar política**. A lista **Usuários do Studio** deve exibir o nome da política na coluna **Política de sessão** para o usuário ou para o grupo que você atualizou.
**Para atualizar as permissões do EMR Studio para um usuário ou grupo usando o AWS CLI**
Insira seus próprios valores para os argumentos `update-studio-session-mappings` a seguir. Para obter mais informações sobre o comando `update-studio-session-mappings`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).
```
aws emr update-studio-session-mapping \
--studio-id \
--identity-name \
--session-policy-arn \
--identity-type \
```
Use o comando `get-studio-session-mapping` para verificar a nova atribuição de política de sessão. **Substitua pelo nome do IAM Identity Center do usuário ou grupo que você atualizou.
```
aws emr get-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------
## Remover um usuário ou um grupo de um Studio
------
#### [ IAM ]
Para remover um usuário ou um grupo de um EMR Studio ao usar o modo de autenticação do IAM, você deve revogar o acesso do usuário ao Studio ao configurar novamente a política de permissões do IAM para o usuário.
Na política de exemplo apresentada a seguir, suponha que você tenha um EMR Studio com o par de valores-chave `Team = Quality Assurance` na etiqueta. De acordo com a política, o usuário pode acessar os Studios etiquetados com a chave `Team` cujo valor é igual a `Data Analytics` ou `Quality Assurance`. Para remover o usuário do Studio etiquetado com `Team = Quality Assurance`, remova `Quality Assurance` da lista de valores de etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateStudioPresignedUrl",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl"
],
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/Team": [
"Data Analytics",
"Quality Assurance"
]
}
}
}
]
}
```
------
------
#### [ IAM Identity Center ]
****Remover um usuário ou um grupo de um EMR Studio usando o console****
1. Navegue até o novo console do Amazon EMR e selecione **Alternar para o console antigo** na navegação lateral. Para obter mais informações sobre o que esperar ao alternar para o console antigo, consulte [Usar o console antigo](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).
1. Escolha **EMR Studio** no painel de navegação à esquerda.
1. Escolha o nome do seu Studio na lista **Studios** ou selecione o Studio e escolha **Visualizar detalhes** para abrir a página de detalhes do Studio.
1. Na lista de **Usuários do Studio** na página de detalhes do Studio, localize o usuário ou o grupo que você deseja remover do Studio. É possível pesquisar por nome ou por tipo de identidade.
1. Selecione o usuário ou o grupo que deseja excluir, escolha **Excluir** e confirme. O usuário ou o grupo excluído desaparecerá da lista **Usuários do Studio**.
**Remover um usuário ou um grupo de um EMR Studio usando a AWS CLI**
Insira seus próprios valores para os argumentos `delete-studio-session-mapping` a seguir. Para obter mais informações sobre o comando `delete-studio-session-mapping`, consulte [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).
```
aws emr delete-studio-session-mapping \
--studio-id \
--identity-type \
--identity-name \
```
------