本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 允許使用者和群組以建立和修改角色
<a name="emr-iam-roles-create-permissions"></a>

必須允許建立、修改和指定叢集角色 (包括預設角色) 的 IAM 主體 (使用者和群組) 執行下列動作。如需有關每個動作的詳細資訊，請參閱《IAM API 參考》**中的[動作](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html)。
+ `iam:CreateRole`
+ `iam:PutRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:AddRoleToInstanceProfile`
+ `iam:ListRoles`
+ `iam:GetPolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetPolicyVersion`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`

`iam:PassRole` 許可會允許叢集建立。剩餘的許可允許預設角色的建立。

如需有關將許可指派給使用者的詳細資訊，請參閱《IAM 使用者指南》**中的[變更使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。