Разрешение учетной записи AWS только для EMR

У нас есть должность инженера по обработке данных, которая будет работать исключительно в области EMR.

Наша корпоративная учетная запись AWS имеет важные серверы EC2 и корзины S3, которыми мы не можем позволить себе поделиться с инженером данных.

Как я могу предоставить права пользователя IAM только для создания / запуска / завершения кластеров EMR и доступа только к определенным сегментам?