# Etapa 4: criar uma política do IAM para servidores de cadernos Se você planeja usar notebooks com endpoints de desenvolvimento, precisará especificar permissões ao criar o servidor de notebook. Você concede essas permissões usando o AWS Identity and Access Management (IAM). Essa política concede permissão a algumas ações do Amazon S3 para o gerenciamento dos recursos na sua conta que são exigidos pelo AWS Glue quando ele assume uma função usando essa política. Alguns dos recursos especificados nessa política referem-se a nomes padrão que são usados ​​pelo AWS Glue para buckets do Amazon S3, scripts de ETL do Amazon S3 e recursos do Amazon EC2. Por questões de simplicidade, o AWS Glue grava por padrão alguns objetos do Amazon S3 em buckets da sua conta com o prefixo `aws-glue-*`. **nota** Você pode ignorar esta etapa se usar a política gerenciada pela AWS **`AWSGlueServiceNotebookRole`**. Nesta etapa, você cria uma política semelhante a `AWSGlueServiceNotebookRole`. Você pode encontrar a versão mais atual da `AWSGlueServiceNotebookRole` no console do IAM. **Para criar uma política do IAM para cadernos** 1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. No painel de navegação à esquerda, escolha **Políticas**. 1. Escolha **Create Policy**. 1. Na tela **Create Policy**, navegue até uma guia para editar o JSON. Crie um documento de política com as seguintes instruções JSON e escolha **Review policy**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreatePartition", "glue:CreateTable", "glue:DeleteDatabase", "glue:DeletePartition", "glue:DeleteTable", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartition", "glue:GetPartitions", "glue:GetTable", "glue:GetTableVersions", "glue:GetTables", "glue:UpdateDatabase", "glue:UpdatePartition", "glue:UpdateTable", "glue:GetJobBookmark", "glue:ResetJobBookmark", "glue:CreateConnection", "glue:CreateJob", "glue:DeleteConnection", "glue:DeleteJob", "glue:GetConnection", "glue:GetConnections", "glue:GetDevEndpoint", "glue:GetDevEndpoints", "glue:GetJob", "glue:GetJobs", "glue:UpdateJob", "glue:BatchDeleteConnection", "glue:UpdateConnection", "glue:GetUserDefinedFunction", "glue:UpdateUserDefinedFunction", "glue:GetUserDefinedFunctions", "glue:DeleteUserDefinedFunction", "glue:CreateUserDefinedFunction", "glue:BatchGetPartition", "glue:BatchDeletePartition", "glue:BatchCreatePartition", "glue:BatchDeleteTable", "glue:UpdateDevEndpoint", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue*" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-glue*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws-glue-service-resource" ] } }, "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*" ] } ] } ``` ------ A tabela a seguir descreve as permissões concedidas por esta política. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/glue/latest/dg/create-notebook-policy.html) 1. Na tela **Review Policy (Revisar política)**, digite o **Policy Name (Nome da política)**, por exemplo, **GlueServiceNotebookPolicyDefault**. Digite uma descrição opcional e, quando estiver satisfeito com a política, escolha **Create policy (Criar política)**.