步骤 5:创建用于笔记本服务器的 IAM 角色 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 5:创建用于笔记本服务器的 IAM 角色

如果您计划将笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 Amazon Identity and Access Management(IAM)通过 IAM 角色提供这些权限。

注意

使用 IAM 控制台创建 IAM 角色时,控制台自动创建实例配置文件,按相应的角色为文件命名。

为笔记本创建 IAM 角色

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧导航窗格中,选择 Roles (角色)

  3. 选择 Create role(创建角色)。

  4. 对于角色类型,选择 Amazon Service(服务),找到并选择 EC2,然后选择 EC2 使用案例,再选择 Next: Permissions(下一步:权限)

  5. 附加权限策略页面上,选择包含所需权限的策略;例如,用于常规Amazon Glue权限的策略和AWSGlueServiceNotebookRoleFullAccess用于访问 Amazon S3 资源的Amazon托管策略 Ama zonS3。然后选择 Next: Review

    注意

    请确保此角色中的策略之一授予针对您的 Amazon S3 源和目标的权限。此外,确认您的策略支持对您在创建笔记本服务器时存储笔记本的位置的完全访问。您可能想要提供您自己的策略来访问特定 Amazon S3 资源。有关为您的资源创建 Amazon S3 策略的更多信息,请参阅在策略中指定资源

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,请附加一个允许笔记本解密数据的策略。有关更多信息,请参阅使用具有 Amazon KMS 托管式密钥的服务器端加密(SSE-KMS)保护数据

    以下是示例。

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}

  6. 对于 Role name (角色名称),为您的角色输入一个名称。使用以字符串 AWSGlueServiceNotebookRole 为前缀的名称创建角色,以允许角色从控制台用户传递到笔记本服务器。Amazon Glue 提供了要求 IAM 服务角色以 AWSGlueServiceNotebookRole 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 iam:PassRole 权限与您的命名约定匹配。例如,输入 AWSGlueServiceNotebookRoleDefault。然后选择 Create role (创建角色)