

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EMR Studio を作成および管理するための管理者のアクセス許可
<a name="emr-studio-admin-permissions"></a>

このページで説明する IAM アクセス許可により、EMR Studio を作成および管理できます。必要な各アクセス許可の詳細については、「[EMR Studio を管理するために必要なアクセス許可](#emr-studio-admin-permissions-table)」を参照してください。

## EMR Studio を管理するために必要なアクセス許可
<a name="emr-studio-admin-permissions-table"></a>

次の表に、EMR Studio の作成と管理に関連するオペレーションを示します。この表には、各オペレーションに必要なアクセス許可も表示されています。

**注記**  
IAM Identity Center 認証モードを使用する場合は、IAM Identity Center および Studio `SessionMapping` アクションのみが必要です。


**EMR Studio を作成および管理するためのアクセス許可**  

<table>
<thead>
  <tr><th>運用</th><th>アクセス許可</th></tr>
</thead>
<tbody>
  <tr><td>Studio を作成する</td><td> <pre>"elasticmapreduce:CreateStudio", <br />"sso:CreateApplication",<br />"sso:PutApplicationAuthenticationMethod",<br />"sso:PutApplicationGrant",<br />"sso:PutApplicationAccessScope",<br />"sso:PutApplicationAssignmentConfiguration",<br />"iam:PassRole"</pre> </td></tr>
  <tr><td>Studio について記述する</td><td> <pre>"elasticmapreduce:DescribeStudio",<br />"sso:GetManagedApplicationInstance"</pre> </td></tr>
  <tr><td>Studio をリストする</td><td> <pre>"elasticmapreduce:ListStudios"</pre> </td></tr>
  <tr><td>Studio を削除する</td><td> <pre>"elasticmapreduce:DeleteStudio",<br />"sso:DeleteApplication",<br />"sso:DeleteApplicationAuthenticationMethod",<br />"sso:DeleteApplicationAccessScope",<br />"sso:DeleteApplicationGrant"</pre> </td></tr>
  <tr><td colspan="2">Additional permissions required when you use IAM Identity Center mode</td></tr>
  <tr><td>Studio にユーザーまたはグループを割り当てる</td><td> <pre>"elasticmapreduce:CreateStudioSessionMapping",<br />"sso:GetProfile",<br />"sso:ListDirectoryAssociations",<br />"sso:ListProfiles",<br />"sso:AssociateProfile",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListInstances",<br />"sso:CreateApplicationAssignment",<br />"sso:DescribeInstance",<br />"organizations:DescribeOrganization",<br />"organizations:ListDelegatedAdministrators",<br />"sso:CreateInstance",<br />"sso:DescribeRegisteredRegions",<br />"sso:GetSharedSsoConfiguration",<br />"iam:ListPolicies"</pre> </td></tr>
  <tr><td>特定のユーザーまたはグループの Studio 割り当ての詳細を取得する</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"elasticmapreduce:GetStudioSessionMapping"</pre> </td></tr>
  <tr><td>Studio に割り当てられているすべてのユーザーとグループをリストする</td><td> <pre>"elasticmapreduce:ListStudioSessionMappings"</pre> </td></tr>
  <tr><td>Studio に割り当てられているユーザーまたはグループにアタッチされたセッションポリシーを更新する</td><td> <pre>"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"elasticmapreduce:UpdateStudioSessionMapping"</pre> </td></tr>
  <tr><td>Studio からユーザーまたはグループを削除する</td><td> <pre>"elasticmapreduce:DeleteStudioSessionMapping",<br />"sso-directory:SearchUsers",<br />"sso-directory:SearchGroups",<br />"sso-directory:DescribeUser",<br />"sso-directory:DescribeGroup",<br />"sso:ListDirectoryAssociations",<br />"sso:GetProfile",<br />"sso:DescribeApplication",<br />"sso:DescribeInstance",<br />"sso:ListProfiles",<br />"sso:DisassociateProfile",<br />"sso:DeleteApplicationAssignment",<br />"sso:ListApplicationAssignments"<br /></pre> </td></tr>
</tbody>
</table>


**EMR Studio の管理者のアクセス許可を使用してポリシーを作成するには**

1. 「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」の指示に従って、次の例のいずれかを使用してポリシーを作成します。必要なアクセス許可は、[EMR Studio の認証モード](emr-studio-authentication.md)によって異なります。

   次の項目に独自の値を挿入します。
   + {{`<your-resource-ARN>` }}を置き換え、ステートメントが自身のユースケースでカバーするオブジェクトの Amazon リソースネーム (ARN) を指定します。
   + {{<region>}} を、Studio を作成する予定の AWS リージョン のコードに置き換えます。
   + {{<aws-account\_id>}} を、Studio の AWS アカウントの ID に置き換えます。
   + {{<EMRStudio-Service-Role>}} および {{<EMRStudio-User-Role>}} を、[EMR Studio サービスロール](emr-studio-service-role.md)および [EMR Studio ユーザーロール](emr-studio-user-permissions.md#emr-studio-create-user-role)の名前に置き換えます。  
**Example ポリシーの例: IAM 認証モードを使用する場合の管理者のアクセス許可**  

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudioServiceRole"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       }
     ]
   }
   ```

------  
**Example ポリシーの例: IAM Identity Center 認証モードを使用する場合の管理者のアクセス許可**  
**注記**  
Identity Center および Identity Center ディレクトリ API では、IAM ポリシーステートメントの resource 要素での ARN の指定はサポートされていません。IAM Identity Center と IAM Identity Center Directory へのアクセスを許可するには、以下のアクセス許可で IAM Identity Center アクションにすべてのリソース ("Resource":"\*") を指定します。詳細については、「[IAM Identity Center Directory のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsssodirectory.html#awsssodirectory-actions-as-permissions)」を参照してください。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:elasticmapreduce:*:123456789012:studio/*"
         ],
         "Action": [
           "elasticmapreduce:CreateStudio",
           "elasticmapreduce:DescribeStudio",
           "elasticmapreduce:DeleteStudio",
           "elasticmapreduce:CreateStudioSessionMapping",
           "elasticmapreduce:GetStudioSessionMapping",
           "elasticmapreduce:UpdateStudioSessionMapping",
           "elasticmapreduce:DeleteStudioSessionMapping"
         ],
         "Sid": "AllowELASTICMAPREDUCECreatestudio"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "elasticmapreduce:ListStudios",
           "elasticmapreduce:ListStudioSessionMappings"
         ],
         "Sid": "AllowELASTICMAPREDUCEListstudios"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "arn:aws:iam::123456789012:role/EMRStudio-SvcRole",
           "arn:aws:iam::123456789012:role/EMRStudio-User-Role"
         ],
         "Action": [
           "iam:PassRole"
         ],
         "Sid": "AllowIAMPassrole"
       },
       {
         "Effect": "Allow",
         "Resource": [
           "*"
         ],
         "Action": [
           "sso:CreateApplication",
           "sso:PutApplicationAuthenticationMethod",
           "sso:PutApplicationGrant",
           "sso:PutApplicationAccessScope",
           "sso:PutApplicationAssignmentConfiguration",
           "sso:DescribeApplication",
           "sso:DeleteApplication",
           "sso:DeleteApplicationAuthenticationMethod",
           "sso:DeleteApplicationAccessScope",
           "sso:DeleteApplicationGrant",
           "sso:ListInstances",
           "sso:CreateApplicationAssignment",
           "sso:DeleteApplicationAssignment",
           "sso:ListApplicationAssignments",
           "sso:DescribeInstance",
           "sso:AssociateProfile",
           "sso:DisassociateProfile",
           "sso:GetProfile",
           "sso:ListDirectoryAssociations",
           "sso:ListProfiles",
           "sso-directory:SearchUsers",
           "sso-directory:SearchGroups",
           "sso-directory:DescribeUser",
           "sso-directory:DescribeGroup",
           "organizations:DescribeOrganization",
           "organizations:ListDelegatedAdministrators",
           "sso:CreateInstance",
           "sso:DescribeRegisteredRegions",
           "sso:GetSharedSsoConfiguration",
           "iam:ListPolicies"
         ],
         "Sid": "AllowSSOCreateapplication"
       }
     ]
   }
   ```

------

1. 次に、IAM ID (ユーザー、ロール、またはグループ) にポリシーをアタッチします。手順については、「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。
運用	アクセス許可
Studio を作成する	"elasticmapreduce:CreateStudio", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "iam:PassRole"
Studio について記述する	"elasticmapreduce:DescribeStudio", "sso:GetManagedApplicationInstance"
Studio をリストする	"elasticmapreduce:ListStudios"
Studio を削除する	"elasticmapreduce:DeleteStudio", "sso:DeleteApplication", "sso:DeleteApplicationAuthenticationMethod", "sso:DeleteApplicationAccessScope", "sso:DeleteApplicationGrant"
Additional permissions required when you use IAM Identity Center mode
Studio にユーザーまたはグループを割り当てる	"elasticmapreduce:CreateStudioSessionMapping", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:AssociateProfile", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListInstances", "sso:CreateApplicationAssignment", "sso:DescribeInstance", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "sso:CreateInstance", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "iam:ListPolicies"
特定のユーザーまたはグループの Studio 割り当ての詳細を取得する	"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "elasticmapreduce:GetStudioSessionMapping"
Studio に割り当てられているすべてのユーザーとグループをリストする	"elasticmapreduce:ListStudioSessionMappings"
Studio に割り当てられているユーザーまたはグループにアタッチされたセッションポリシーを更新する	"sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:DescribeApplication", "sso:DescribeInstance", "elasticmapreduce:UpdateStudioSessionMapping"
Studio からユーザーまたはグループを削除する	"elasticmapreduce:DeleteStudioSessionMapping", "sso-directory:SearchUsers", "sso-directory:SearchGroups", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso:ListDirectoryAssociations", "sso:GetProfile", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListProfiles", "sso:DisassociateProfile", "sso:DeleteApplicationAssignment", "sso:ListApplicationAssignments"