Étape 7 : créer un rôle IAM pour les blocs-notes SageMaker AI - AWS Glue

Étape 7 : créer un rôle IAM pour les blocs-notes SageMaker AI

Si vous prévoyez d’utiliser des blocs-notes SageMaker AI avec des points de terminaison de développement, vous devez accorder les autorisations de rôles IAM. Vous fournissez ces autorisations grâce à AWS Identity and Access Management (IAM) par le biais d’un rôle IAM.

Pour créer un rôle IAM pour des blocs-notes SageMaker AI

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Rôles.

  3. Sélectionnez Create role (Créer un rôle).

  4. Pour le type de rôle, choisissez Service AWS, recherchez et choisissez SageMaker, puis choisissez le cas d’utilisation SageMaker - Exécution. Choisissez ensuite Suivant : Autorisations.

  5. Sur la page Attach permissions policy (Attacher la politique d’autorisations), sélectionnez les politiques qui contiennent les autorisations requises, par exemple AmazonSageMakerFullAccess. Choisissez Suivant : Vérification.

    Si vous prévoyez d’accéder à des sources et cibles Amazon S3 qui sont chiffrées avec SSE-KMS, vous devrez attacher une politique permettant aux blocs-notes de déchiffrer les données, comme illustré dans l’exemple suivant. Pour plus d’informations, consultez la page Protection des données grâce au chiffrement côté serveur avec les clés gérées par AWS KMS KMS (SSE-KMS).

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/key-id"
      ]
    }
  ]
}

  6. Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Pour permettre que le rôle soit transmis des utilisateurs de la console à SageMaker AI, utilisez un nom dont le préfixe est la chaîne AWSGlueServiceSageMakerNotebookRole. Les politiques fournies par AWS Glue s’attendent à ce que les rôles IAM commencent par AWSGlueServiceSageMakerNotebookRole. Sinon, vous devez ajouter une politique à vos utilisateurs accordant l’autorisation iam:PassRole aux rôles IAM de correspondre à votre convention de dénomination.

    Par exemple, saisissez AWSGlueServiceSageMakerNotebookRole-Default, puis sélectionnez Create role (Créer le rôle).

  7. Une fois que vous avez créé le rôle, attachez la politique qui permet les autorisations supplémentaires requises pour créer des blocs-notes SageMaker AI à partir d’AWS Glue.

    Ouvrez le rôle que vous venez de créer, AWSGlueServiceSageMakerNotebookRole-Default, puis sélectionnez Attach policies (Attacher des politiques). Attachez la politique nommée AWSGlueSageMakerNotebook que vous avez créée au rôle.