步骤 7:为 SageMaker 笔记本创建 IAM 角色 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 7:为 SageMaker 笔记本创建 IAM 角色

如果您计划将 SageMaker 笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 Amazon Identity and Access Management(IAM)通过 IAM 角色提供这些权限。

为 SageMaker 笔记本创建 IAM 角色

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧导航窗格中,选择 Roles (角色)

  3. 选择 Create role(创建角色)。

  4. 对于角色类型,选择 Amazon Service (亚马逊云科技服务),找到并选择 SageMaker,然后选择 SageMaker - Execution (SageMaker - 执行) 使用案例。然后选择 Next: Permissions (下一步:权限)

  5. Attach permissions policy (附加权限策略) 页面上,选择包含所需权限的策略;例如,AmazonSageMakerFullAccess。选择 Next: Review(下一步: 审核)。

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,则附加一个允许笔记本解密数据的策略,如以下示例所示。有关更多信息,请参阅使用具有 Amazon KMS 托管式密钥的服务器端加密(SSE-KMS)保护数据

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色输入一个名称。要允许角色从控制台用户传递到 SageMaker,请使用以字符串AWSGlueServiceSageMakerNotebookRole 为前缀的名称。Amazon Glue 提供了要求 IAM 角色以 AWSGlueServiceSageMakerNotebookRole 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 iam:PassRole 权限与您的命名约定匹配。

    例如,输入 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Create role (创建角色)

  7. 创建角色之后,附加策略以允许从 Amazon Glue 创建 SageMaker 笔记本所需的其他权限。

    选择您刚刚创建的角色 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Attach policy (附加策略)。将您创建的名为 AWSGlueSageMakerNotebook 的策略附加到角色。