步骤 7:创建用于 SageMaker 笔记本的 IAM 角色 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

步骤 7:创建用于 SageMaker 笔记本的 IAM 角色

如果您计划将 SageMaker 笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management (IAM) 通过 IAM 角色提供这些权限。

创建用于 SageMaker 笔记本的 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧导航窗格中,选择 Roles

  3. 选择 Create role (创建角色)

  4. 对于角色类型,选择 AWS Service (AWS 服务),找到并选择 SageMaker,然后选择 SageMaker - Execution (SageMaker - 执行) 使用案例。然后选择 Next: Permissions

  5. Attach permissions policy (附加权限策略) 页面上,选择包含所需权限的策略;例如,AmazonSageMakerFullAccess。 选择 Next: Review (下一步: 审核)

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,则附加一个允许笔记本解密数据的策略,如以下示例所示。有关更多信息,请参阅通过将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用来保护数据

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色输入一个名称。要允许角色从控制台用户传递到 SageMaker,请使用以字符串 AWSGlueServiceSageMakerNotebookRole 为前缀的名称。AWS Glue 提供了要求 IAM 角色以 AWSGlueServiceSageMakerNotebookRole 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 iam:PassRole 权限与您的命名约定匹配。

    例如,输入 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Create role (创建角色)

  7. 创建角色之后,附加策略以允许从 AWS Glue 创建 SageMaker 笔记本所需的其他权限。

    打开您刚刚创建的角色 AWSGlueServiceSageMakerNotebookRole-Default,然后选择 Attach policies (附加策略)。将您创建的名为 AWSGlueSageMakerNotebook 的策略附加到该角色。