# 步骤 5:创建用于笔记本服务器的 IAM 角色 如果您计划将笔记本与开发终端节点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management(IAM)通过 IAM 角色提供这些权限。 **注意** 使用 IAM 控制台创建 IAM 角色时,控制台自动创建实例配置文件,按相应的角色为文件命名。 **为笔记本创建 IAM 角色** 1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。 1. 在左侧导航窗格中,选择 **Roles (角色)**。 1. 选择**创建角色**。 1. 对于角色类型,选择 **AWS Service(服务)**,找到并选择 **EC2**,然后选择 **EC2** 使用案例,再选择 **Next: Permissions(下一步:权限)**。 1. 在**附加权限策略**页面上,选择包含所需权限的策略;例如,适用于一般 AWS Glue 权限的 **AWSGlueServiceNotebookRole** 和适用于对 Amazon S3 资源的访问权限的 AWS 托管式策略 **AmazonS3FullAccess**。然后选择 **Next: Review**。 **注意** 请确保此角色中的策略之一授予针对您的 Amazon S3 源和目标的权限。此外,确认您的策略支持对您在创建笔记本服务器时存储笔记本的位置的完全访问。您可能想要提供您自己的策略来访问特定 Amazon S3 资源。有关为您的资源创建 Amazon S3 策略的更多信息,请参阅[在策略中指定资源](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html)。 如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,请附加一个允许笔记本解密数据的策略。有关更多信息,请参阅[使用具有 AWS KMS 托管式密钥的服务器端加密(SSE-KMS)保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。 示例如下: **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:*:{{111122223333}}:key/{{key-id}}" ] } ] } ``` 1. 对于**角色名称**,请为您的角色输入一个名称。使用以字符串 `AWSGlueServiceNotebookRole` 为前缀的名称创建角色,以允许角色从控制台用户传递到笔记本服务器。AWS Glue 提供了要求 IAM 服务角色以 `AWSGlueServiceNotebookRole` 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 `iam:PassRole` 权限与您的命名约定匹配。例如,输入 `AWSGlueServiceNotebookRoleDefault`。然后选择**创建角色**。