步骤 7: 为 IAM 笔记本创建 SageMaker 角色 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 7: 为 IAM 笔记本创建 SageMaker 角色

如果您计划将 SageMaker 笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management (IAM) 通过 IAM 角色提供这些权限。

创建用于 SageMaker 笔记本的 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧导航窗格中,选择 Roles

  3. 选择创建角色

  4. 对于角色类型,选择 AWS Service (AWS 服务),查找并选择 SageMaker,然后选择 SageMaker - Execution ( - 执行) 使用案例。接下来,选择 Next (下一步):权限。

  5. Attach permissions policy (附加权限策略) 页面上,选择包含所需权限的策略;例如 AmazonSageMakerFullAccess。 选择 Next: (下一步:)。 审核

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,则附加一个允许笔记本解密数据的策略,如以下示例所示。有关更多信息,请参阅通过将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用来保护数据

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色输入一个名称。要允许将角色从控制台用户传递到 SageMaker,请使用以字符串 AWSGlueServiceSageMakerNotebookRole 为前缀的名称。AWS Glue 提供了要求 IAM 角色以 AWSGlueServiceSageMakerNotebookRole 开头的策略。 否则,您必须向您的用户添加一个策略以允许 iam:PassRole 角色的 IAM 权限与您的命名约定匹配。

    例如,输入 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Create role (创建角色)

  7. 创建角色之后,附加策略以允许从 AWS Glue 创建 SageMaker 笔记本所需的其他权限。

    打开您刚刚创建的角色 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Attach policies (附加策略)。将您创建的名为 AWSGlueSageMakerNotebook 的策略附加到角色。