步骤 5:创建用于笔记本服务器的 IAM 角色 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

步骤 5:创建用于笔记本服务器的 IAM 角色

如果您计划将笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management (IAM) 通过 IAM 角色提供这些权限。

注意

使用 IAM 控制台创建 IAM 角色时,控制台自动创建实例配置文件,按相应的角色为文件命名。

为笔记本创建 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧导航窗格中,选择 Roles

  3. 选择 Create role (创建角色)

  4. 对于角色类型,选择 AWS Service (AWS 服务),找到并选择 EC2,选择 EC2 使用案例,然后选择 Next: Permissions (下一步: 权限)。

  5. Attach permissions policy (附加权限策略) 页面上,选择包含所需权限的策略;例如,适用于一般 AWS Glue 权限的 AWSGlueServiceNotebookRole 和适用于访问 Amazon S3 资源的 AWS 托管策略 AmazonS3FullAccess。然后选择 Next: Review

    注意

    请确保此角色中的策略之一授予针对您的 Amazon S3 源和目标的权限。此外,确认您的策略支持对您在创建笔记本服务器时存储笔记本的位置的完全访问。您可能想要提供您自己的策略来访问特定 Amazon S3 资源。有关为您的资源创建 Amazon S3 策略的更多信息,请参阅在策略中指定资源

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,请附加一个允许笔记本解密数据的策略。有关更多信息,请参阅通过将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用来保护数据

    以下是示例。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色输入一个名称。使用以字符串 AWSGlueServiceNotebookRole 为前缀的名称创建角色以允许角色从控制台用户传递到笔记本服务器。AWS Glue 提供了要求 IAM 服务角色以 AWSGlueServiceNotebookRole 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 iam:PassRole 权限与您的命名约定匹配。例如,输入 AWSGlueServiceNotebookRoleDefault。然后选择 Create role (创建角色)