As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como trabalhar com o S3 Access Grants em um cluster do EMR habilitado para o Centro de Identidade do IAM
<a name="emr-idc-s3ag"></a>

Você pode integrar o [S3 Access Grants ao](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) seu cluster EMR Centro de Identidade do AWS IAM habilitado.

Use o S3 Access Grants para autorizar o acesso aos seus conjuntos de dados de clusters que usam o Centro de Identidade. Crie concessões para aumentar as permissões definidas para usuários, grupos e perfis do IAM ou para um diretório corporativo. Para obter mais informações, consulte [Using S3 Access Grants with Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-access-grants.html).

**Topics**
+ [Como criar uma instância e localização da funcionalidade S3 Access Grants](#emr-idc-s3ag-instance)
+ [Como criar concessões para identidades do Centro de Identidade](#emr-idc-s3ag-identities)

## Como criar uma instância e localização da funcionalidade S3 Access Grants
<a name="emr-idc-s3ag-instance"></a>

Se você ainda não tiver uma, crie uma instância do S3 Access Grants na Região da AWS em que deseja executar seu cluster do EMR. 

Use o AWS CLI comando a seguir para criar uma nova instância chamada`MyInstance`:

```
aws s3control-access-grants create-access-grants-instance \
--account-id 12345678912 \
--identity-center-arn "identity-center-instance-arn" \
```

Em seguida, crie uma localização do S3 Access Grants, substituindo os valores vermelhos pelos seus próprios:

```
aws s3control-access-grants create-access-grants-location \
--account-id 12345678912 \
--location-scope s3:// \
--iam-role-arn "access-grant-role-arn" \
--region aa-example-1
```

**nota**  
Defina o parâmetro `iam-role-arn` como o ARN `accessGrantRole`.

## Como criar concessões para identidades do Centro de Identidade
<a name="emr-idc-s3ag-identities"></a>

Por fim, crie as concessões das identidades que têm acesso ao seu cluster:

```
aws s3control-access-grants create-access-grant \
--account-id 12345678912 \
--access-grants-location-id "default" \
--access-grants-location-configuration S3SubPrefix="s3-bucket-prefix"
--permission READ \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier="your-identity-center-user-id"
```

Exemplo de saída:

```
{
"CreatedAt": "2023-09-21T23:47:24.870000+00:00",
"AccessGrantId": "1234-12345-1234-1234567",
"AccessGrantArn": "arn:aws:s3:aa-example-1-1:123456789012:access-grants/default/grant/xxxx1234-1234-5678-1234-1234567890",
"Grantee": {
"GranteeType": "DIRECTORY_USER",
"GranteeIdentifier": "5678-56789-5678-567890"
},
"AccessGrantsLocationId": "default",
"AccessGrantsLocationConfiguration": {
"S3SubPrefix": "myprefix/*"
},
"Permission": "READ",
"GrantScope": "s3://myprefix/*"
}
```