Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# EMR-Studio-Benutzer zuweisen und verwalten
<a name="emr-studio-manage-users"></a>

Nachdem Sie ein EMR Studio erstellt haben, können Sie ihm Benutzer und Gruppen zuweisen. Die Methode, mit der Sie Benutzer zuweisen, aktualisieren und entfernen, hängt vom Studio-Authentifizierungsmodus ab. 
+ Wenn Sie den IAM-Authentifizierungsmodus verwenden, konfigurieren Sie die Benutzerzuweisung und die Berechtigungen von EMR Studio in IAM oder mit IAM und Ihrem Identitätsanbieter. 
+ Im IAM Identity Center-Authentifizierungsmodus verwenden Sie die Amazon EMR-Verwaltungskonsole oder die, AWS CLI um Benutzer zu verwalten.

Weitere Informationen zur Authentifizierung für Amazon EMR Studio finden Sie unter [Einen Authentifizierungsmodus für Amazon EMR Studio auswählen](emr-studio-authentication.md).

## Weisen Sie EMR Studio einen Benutzer oder eine Gruppe zu
<a name="emr-studio-assign-users-groups"></a>

------
#### [ IAM ]

Wenn Sie[IAM-Authentifizierungsmodus für Amazon EMR Studio einrichten](emr-studio-authentication.md#emr-studio-iam-authentication) verwenden, müssen Sie die `CreateStudioPresignedUrl`-Aktion in der IAM-Berechtigungsrichtlinie eines Benutzers zulassen und den Benutzer auf ein bestimmtes Studio beschränken. Sie können `CreateStudioPresignedUrl` in Ihre eigene [Benutzerberechtigungen für den IAM-Authentifizierungsmodus](how-emr-studio-works.md#emr-studio-iam-authorization) aufnehmen oder eine separate Richtlinie verwenden.

Um einen Benutzer auf ein Studio (oder eine Gruppe von Studios) zu beschränken, können Sie die attributbasierte Zugriffskontrolle (ABAC) verwenden oder den Amazon-Ressourcennamen (ARN) eines Studios im `Resource` Element der Berechtigungsrichtlinie angeben. 

**Example Weisen Sie einem Studio mithilfe eines Studio-ARN einen Benutzer zu**  
Die folgende Beispielrichtlinie gewährt einem Benutzer Zugriff auf ein bestimmtes EMR Studio, indem die `CreateStudioPresignedUrl`-Aktion zugelassen und der Amazon-Ressourcenname (ARN) des Studios im `Resource`-Element angegeben wird.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-id"
      ]
    }
  ]
}
```

**Example Einem Studio mit ABAC einen Benutzer für die IAM-Authentifizierung zuweisen**  
Es gibt mehrere Möglichkeiten, attributbasierte Zugriffskontrolle (ABAC) für ein Studio zu konfigurieren. Sie können beispielsweise ein oder mehrere Tags an ein EMR Studio anhängen und dann eine IAM-Richtlinie erstellen, die die `CreateStudioPresignedUrl`-Aktion auf ein bestimmtes Studio oder eine Gruppe von Studios mit diesen Tags beschränkt.   
Sie können Tags während oder nach der Erstellung von Studio hinzufügen. Verwenden Sie den Befehl [AWS CLI`emr add-tags`](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/emr/add-tags.html), um Tags zu einem bestehenden Studio hinzuzufügen. Das folgende Beispiel fügt einem EMR Studio ein Tag mit dem Schlüssel-Wert-Paar `Team = Data Analytics` hinzu.   

```
aws emr add-tags --resource-id {{<example-studio-id>}} --tags Team="Data Analytics"
```
Die folgende Beispiel-Berechtigungsrichtlinie ermöglicht die `CreateStudioPresignedUrl`-Aktion für EMR Studios mit dem Tag key-value pair `Team = DataAnalytics`. Weitere Informationen zur Verwendung von Tags zur Zugriffssteuerung finden Sie unter [Zugriffskontrolle für Benutzer und Rollen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) oder [Zugriffskontrolle auf AWS -Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:*:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": "Data Analytics"
        }
      }
    }
  ]
}
```

**Example Weisen Sie einem Studio mithilfe des SourceIdentity globalen Bedingungsschlüssels aws: einen Benutzer zu**  
Wenn Sie den IAM-Verbund verwenden, können Sie den globalen Bedingungsschlüssel `aws:SourceIdentity` in einer Berechtigungsrichtlinie verwenden, um Benutzern Studio-Zugriff zu gewähren, wenn sie Ihre IAM-Rolle für den Verbund übernehmen.   
Sie müssen zunächst Ihren Identitätsanbieter (IdP) so konfigurieren, dass er eine identifizierende Zeichenfolge zurückgibt, z. B. eine E-Mail-Adresse oder einen Benutzernamen, wenn sich ein Benutzer authentifiziert und Ihre IAM-Rolle für den Verbund übernimmt. IAM setzt den globalen Bedingungsschlüssel `aws:SourceIdentity` auf die identifizierende Zeichenfolge, die von Ihrem IdP zurückgegeben wurde.  
Weitere Informationen finden Sie im Blogbeitrag [Wie man die IAM-Rollenaktivität mit der Unternehmensidentität in Beziehung](https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/) setzt im AWS Sicherheits-Blog und in der Referenz [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceidentity) in SourceIdentity der Referenz zu den globalen Bedingungsschlüsseln.   
Die folgende Beispielrichtlinie ermöglicht die `CreateStudioPresignedUrl` Aktion und gewährt Benutzern mit einer`aws:SourceIdentity`, die dem von {{<example-studio-arn>}} angegebenen {{<example-source-identity>}} Zugriff auf das EMR Studio entspricht.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/studio-name"
      ],
      "Condition": {
        "StringLike": {
          "aws:SourceIdentity": "example-source-identity"
        }
      },
      "Sid": "AllowELASTICMAPREDUCECreatestudiopresignedurl"
    }
  ]
}
```

------
#### [ IAM Identity Center ]

Wenn Sie einem EMR Studio einen Benutzer oder eine Gruppe zuweisen, geben Sie eine Sitzungsrichtlinie an, die detaillierte Berechtigungen für diesen Benutzer oder diese Gruppe definiert, z. B. die Möglichkeit, einen neuen EMR-Cluster zu erstellen. Amazon EMR speichert diese Zuordnungen von Sitzungsrichtlinien. Sie können die Sitzungsrichtlinie eines Benutzers oder einer Gruppe nach der Zuweisung aktualisieren.

**Anmerkung**  
Die endgültigen Berechtigungen für einen Benutzer oder eine Gruppe sind eine Schnittmenge der in Ihrer EMR-Studio-Benutzerrolle definierten Berechtigungen und den in der Sitzungsrichtlinie für diesen Benutzer oder diese Gruppe definierten Berechtigungen. Wenn ein Benutzer zu mehr als einer Gruppe gehört, die dem Studio zugewiesen ist, verwendet EMR Studio eine Kombination von Berechtigungen für diesen Benutzer.

**So weisen Sie einem EMR Studio mithilfe der Amazon-EMR-Konsole Benutzer oder Gruppen zu**

1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.

1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.

1. Wählen Sie die **Benutzer hinzufügen** um die Suchtabelle **Benutzer** und **Gruppen** anzuzeigen.

1. Wählen Sie die Registerkarte **Benutzer** oder die Registerkarte **Gruppen** und geben Sie einen Suchbegriff in die Suchleiste ein, um einen Benutzer oder eine Gruppe zu finden. 

1. Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Suchergebnisliste aus. Sie können zwischen der Registerkarte **Benutzer** und der Registerkarte **Gruppen** hin- und herwechseln.

1. Nachdem Sie Benutzer und Gruppen ausgewählt haben, die Sie dem Studio hinzufügen möchten, wählen Sie **Hinzufügen**. Sie sollten sehen, dass die Benutzer und Gruppen in der **Studio-Benutzerliste** angezeigt werden. Es kann einige Sekunden dauern, bis die Liste aktualisiert wird.

1. Folgen Sie den Anweisungen unter [Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist](#emr-studio-update-user), um die Studio-Berechtigungen für einen Benutzer oder eine Gruppe zu verfeinern.

**Wie Sie EMR Studio einen Benutzer oder eine Gruppe mit AWS CLI zuweisen**

Fügen Sie Ihre eigenen Werte für die folgenden `create-studio-session-mapping`-Argumente ein. Weitere Informationen über den Befehl `create-studio-session-mapping` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/create-studio-session-mapping.html).
+ **`--studio-id`** – Die ID des Studios, dem Sie den Benutzer oder die Gruppe zuweisen möchten. Anleitungen zum Abrufen einer Studio-ID finden Sie unter [Studio-Details anzeigen](emr-studio-manage-studio.md#emr-studio-get-studio-id).
+ `--identity-name` – Der Name des Benutzers oder der Gruppe aus dem Identitätsspeicher. Weitere Informationen finden Sie unter [UserName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_User.html#singlesignon-Type-User-UserName)Für Benutzer und [DisplayName](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Group.html#singlesignon-Type-Group-DisplayName)für Gruppen in der *Identity Store-API-Referenz.*
+ **`--identity-type`** – Verwenden Sie entweder `USER` oder `GROUP`, um den Identitätstyp anzugeben.
+ **`--session-policy-arn`** – Der Amazon-Ressourcenname (ARN) für die Sitzungsrichtlinie, die Sie mit dem Benutzer oder der Gruppe verknüpfen möchten. Beispiel, `arn:aws:iam::{{<aws-account-id>}}:policy/{{EMRStudio_Advanced_User_Policy}}`. Weitere Informationen finden Sie unter [Berechtigungsrichtlinien für EMR-Studio-Benutzer erstellen](emr-studio-user-permissions.md#emr-studio-permissions-policies).

```
aws emr create-studio-session-mapping \
 --studio-id {{<example-studio-id>}} \
 --identity-name {{<example-identity-name>}} \
 --identity-type {{<USER-or-GROUP>}} \
 --session-policy-arn {{<example-session-policy-arn>}}
```

**Anmerkung**  
Linux-Zeilenfortsetzungszeichen (\\) sind aus Gründen der Lesbarkeit enthalten. Sie können entfernt oder in Linux-Befehlen verwendet werden. Entfernen Sie sie unter Windows oder ersetzen Sie sie durch ein Caret-Zeichen (^).

Verwenden Sie den `get-studio-session-mapping`-Befehl, um die neue Zuweisung zu überprüfen. {{<example-identity-name>}}Ersetzen Sie es durch den IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.

```
aws emr get-studio-session-mapping \
 --studio-id {{<example-studio-id>}} \
 --identity-type {{<USER-or-GROUP>}} \
 --identity-name {{<user-or-group-name>}} \
```

------

## Aktualisieren Sie die Berechtigungen für einen Benutzer oder eine Gruppe, die einem Studio zugewiesen ist
<a name="emr-studio-update-user"></a>

------
#### [ IAM ]

Um Benutzer- oder Gruppenberechtigungen zu aktualisieren, wenn Sie den IAM-Authentifizierungsmodus verwenden, verwenden Sie IAM, um die IAM-Berechtigungsrichtlinien zu ändern, die Ihren IAM-Identitäten (Benutzern, Gruppen oder Rollen) zugeordnet sind. 

Weitere Informationen finden Sie unter [Benutzerberechtigungen für den IAM-Authentifizierungsmodus](how-emr-studio-works.md#emr-studio-iam-authorization).

------
#### [ IAM Identity Center ]

****So aktualisieren Sie die EMR-Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der Konsole****

1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.

1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.

1. Suchen Sie in der **Studio-Benutzerliste** auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aktualisieren möchten. Sie können nach Namen oder Identitätstyp suchen.

1. Wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie aktualisieren möchten, und wählen Sie **Richtlinie zuweisen**, um das Dialogfeld **Sitzungsrichtlinie** zu öffnen.

1. Wählen Sie eine Richtlinie aus, die auf den Benutzer oder die Gruppe angewendet werden soll, den Sie in Schritt 5 ausgewählt haben, und klicken Sie dann auf **Richtlinie anwenden**. In der Liste **Studio-Benutzer** sollte der Richtlinienname in der Spalte **Sitzungsrichtlinie** für den Benutzer oder die Gruppe angezeigt werden, den Sie aktualisiert haben.

**So aktualisieren Sie die EMR Studio-Berechtigungen für einen Benutzer oder eine Gruppe mithilfe der AWS CLI**

Fügen Sie Ihre eigenen Werte für die folgenden `update-studio-session-mappings`-Argumente ein. Weitere Informationen über den Befehl `update-studio-session-mappings` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/update-studio-session-mapping.html).

```
aws emr update-studio-session-mapping \
 --studio-id {{<example-studio-id>}} \
 --identity-name {{<name-of-user-or-group-to-update>}} \
 --session-policy-arn {{<new-session-policy-arn-to-apply>}} \
 --identity-type {{<USER-or-GROUP>}} \
```

Verwenden Sie den `get-studio-session-mapping`-Befehl, um die neue Zuweisung der Sitzungsrichtlinie zu überprüfen. {{<example-identity-name>}}Ersetzen Sie es durch den IAM Identity Center-Namen des Benutzers oder der Gruppe, den Sie aktualisiert haben.

```
aws emr get-studio-session-mapping \
 --studio-id {{<example-studio-id>}} \
 --identity-type {{<USER-or-GROUP>}} \
 --identity-name {{<user-or-group-name>}} \
```

------

## Einen Benutzer oder eine Gruppe aus einem Studio entfernen
<a name="emr-studio-remove-user"></a>

------
#### [ IAM ]

Um einen Benutzer oder eine Gruppe aus einem EMR Studio zu entfernen, wenn Sie den IAM-Authentifizierungsmodus verwenden, müssen Sie dem Benutzer den Zugriff auf das Studio entziehen, indem Sie die IAM-Berechtigungsrichtlinie des Benutzers neu konfigurieren. 

Gehen Sie in der folgenden Beispielrichtlinie davon aus, dass Sie über ein EMR Studio mit dem Tag-Schlüsselwertpaar `Team = Quality Assurance` verfügen. Gemäß der Richtlinie kann der Benutzer auf Studios zugreifen, die mit dem `Team`-Schlüssel gekennzeichnet sind, dessen Wert entweder `Data Analytics` oder `Quality Assurance` entspricht. Um den Benutzer aus dem Studio zu entfernen, das mit `Team = Quality Assurance` markiert ist, entfernen Sie `Quality Assurance` aus der Liste der Tag-Werte.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateStudioPresignedUrl",
      "Effect": "Allow",
      "Action": [
        "elasticmapreduce:CreateStudioPresignedUrl"
      ],
      "Resource": [
        "arn:aws:elasticmapreduce:us-east-1:123456789012:studio/*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticmapreduce:ResourceTag/Team": [
            "Data Analytics",
            "Quality Assurance"
          ]
        }
      }
    }
  ]
}
```

------

------
#### [ IAM Identity Center ]

****So entfernen Sie einen Benutzer oder eine Gruppe mithilfe der Konsole aus einem EMR Studio****

1. Navigieren Sie zur neuen Amazon-EMR-Konsole und wählen Sie in der Seitennavigation die Option **Zur alten Konsole wechseln** aus. Weitere Informationen darüber, was Sie erwartet, wenn Sie zur alten Konsole wechseln, finden Sie unter [Verwenden der alten Konsole](https://docs.aws.amazon.com/emr/latest/ManagementGuide/whats-new-in-console.html#console-opt-in).

1. Wählen Sie in der linken Navigationsleiste **EMR Studio** aus.

1. Wählen Sie Ihren Studio-Namen aus der **Studio-Liste** oder wählen Sie das Studio aus und klicken Sie auf **Details anzeigen**, um die Studio-Detailseite zu öffnen.

1. Suchen Sie in der Liste **Studio-Benutzer** auf der Studio-Detailseite nach dem Benutzer oder der Gruppe, die Sie aus dem Studio entfernen möchten. Sie können nach Namen oder Identitätstyp suchen.

1. Wählen Sie den Benutzer oder die Gruppe aus, die Sie löschen möchten, wählen Sie **Löschen** und bestätigen Sie das Löschen. Der Benutzer oder die Gruppe, den Sie gelöscht haben, verschwindet aus der Liste **Studio-Benutzer**.

**Wie Sie einen Benutzer oder eine Gruppe aus einem EMR Studio mit der AWS CLI entfernen**

Fügen Sie Ihre eigenen Werte für die folgenden `delete-studio-session-mapping`-Argumente ein. Weitere Informationen über den Befehl `delete-studio-session-mapping` finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html](https://docs.aws.amazon.com/cli/latest/reference/emr/delete-studio-session-mapping.html).

```
aws emr delete-studio-session-mapping \
 --studio-id {{<example-studio-id>}} \
 --identity-type {{<USER-or-GROUP>}} \
 --identity-name {{<name-of-user-or-group-to-delete>}} \
```

------