# Etapa 5: criar um perfil do IAM para servidores de cadernos
<a name="create-an-iam-role-notebook"></a>

Se você planeja usar cadernos com endpoints de desenvolvimento, precisará conceder as permissões à função do IAM. Você fornece essas permissões usando o AWS Identity and Access Management IAM, por meio de um perfil do IAM.

**nota**  
Se você criar um perfil do IAM usando o console do IAM o console criará automaticamente um perfil de instância e dará a ele o mesmo nome da função correspondente.

**Para criar um perfil do IAM para cadernos**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, selecione **Perfis**.

1. Selecione **Criar perfil**.

1. Em tipo de perfil, escolha **Serviço da AWS**, localize e escolha **EC2**, depois escolha o caso de uso **EC2** e, em seguida, escolha **Próximo: permissões**.

1. Na página **Anexar política de permissões**, escolha as políticas que contenham as permissões necessárias, por exemplo, **AWSGlueServiceNotebookRole** para permissões gerais do AWS Glue e a política gerenciada pela AWS **AmazonS3FullAccess** para acesso aos recursos do Amazon S3. Então, escolha **Próximo: Análise**.
**nota**  
Verifique se uma das políticas nessa função concede permissões aos seus destinos e fontes do Amazon S3. Confirme também se a sua política concede acesso total ao local onde você armazena o notebook ao criar um servidor de notebook. Convém fornecer sua própria política de acesso a recursos específicos do Amazon S3. Para obter mais informações sobre como criar uma política do Amazon S3 para os seus recursos, consulte [Especificar recursos em uma política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html).  
Se você pretende acessar as fontes e os destinos do Amazon S3 que foram criptografados com SSE-KMS, anexe uma política para permitir que os cadernos descriptografem os dados. Para obter mais informações, consulte [Proteção de dados usando criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).   
Veja um exemplo a seguir.  

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": [
           "arn:aws:kms:*:111122223333:key/key-id"
         ]
       }
     ]
   }
   ```

1. Em **Role name (Nome da função)**, digite um nome para sua função. Crie a função com um nome que tenha a string `AWSGlueServiceNotebookRole` como prefixo para permitir que a função seja transmitida dos usuários do console para o serviço de caderno. As políticas fornecidas pelo AWS Glue esperam que as funções de serviço do IAM comecem com `AWSGlueServiceNotebookRole`. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários a permissão `iam:PassRole`, para que as funções do IAM correspondam às suas convenções de nomenclatura. Por exemplo, digite `AWSGlueServiceNotebookRoleDefault`. Então, escolha **Criar perfil**.