本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 允许用户和组创建和修改角色
<a name="emr-iam-roles-create-permissions"></a>

必须允许为集群创建、修改和指定角色的 IAM 委托人（用户和组，包括默认角色）执行以下操作。有关每个操作的详细信息，请参阅《IAM API 参考》[https://docs.amazonaws.cn/IAM/latest/APIReference/API_Operations.html](https://docs.amazonaws.cn/IAM/latest/APIReference/API_Operations.html)中的*操作*。
+ `iam:CreateRole`
+ `iam:PutRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:AddRoleToInstanceProfile`
+ `iam:ListRoles`
+ `iam:GetPolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetPolicyVersion`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`

`iam:PassRole` 权限允许创建集群。其余权限允许创建默认角色。

有关向用户分配权限的信息，请参阅《IAM 用户指南》**中的[更改用户的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html)。