步骤 5: 为笔记本服务器创建 IAM 角色 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 5: 为笔记本服务器创建 IAM 角色

如果您计划将笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management (IAM) 通过 IAM 角色提供这些权限。

注意

使用 IAM 控制台创建 IAM 角色时,控制台自动创建实例配置文件,按相应的角色为文件命名。

为笔记本创建 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧导航窗格中,选择 Roles

  3. 选择创建角色

  4. 对于角色类型,选择 AWS Service (AWS 服务),找到并选择 EC2,选择 EC2 使用案例,然后选择 Next: (下一步:)。权限。

  5. Attach permissions policy (附加权限策略) 页面上,选择包含所需权限的策略;例如,AWSGlueServiceNotebookRole 表示一般 权限,AWS Glue 表示对 资源的访问权限。AmazonS3FullAccessAmazon S3接下来,选择 Next (下一步): 审核

    注意

    请确保此角色中的策略之一授予针对您的 Amazon S3 源和目标的权限。此外,确认您的策略支持对您在创建笔记本服务器时存储笔记本的位置的完全访问。您可能想要提供您自己的策略来访问特定 Amazon S3 资源。有关为您的资源创建 Amazon S3 策略的更多信息,请参阅在策略中指定资源

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,请附加一个允许笔记本解密数据的策略。有关更多信息,请参阅通过将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用来保护数据

    以下是 示例:

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色输入一个名称。使用以字符串 AWSGlueServiceNotebookRole 为前缀的名称创建角色以允许角色从控制台用户传递到笔记本服务器。AWS Glue 提供了要求 IAM 服务角色以 AWSGlueServiceNotebookRole 开头的策略。 否则,您必须向您的用户添加一个策略以允许 iam:PassRole 角色的 IAM 权限与您的命名约定匹配。例如,输入 AWSGlueServiceNotebookRoleDefault。 然后选择 Create role