步驟 7:建立適用於 SageMaker AI 筆記本的 IAM 角色 - AWS Glue

步驟 7:建立適用於 SageMaker AI 筆記本的 IAM 角色

如果您計劃將 SageMaker AI 筆記本與開發端點搭配使用,您需要授予 IAM 角色許可。您可透過 IAM 角色使用 AWS Identity and Access Management (IAM) 來提供這些許可。

建立適用於 SageMaker AI 筆記本的 IAM 角色

  1. 簽署 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 選擇建立角色

  4. 針對角色類型,選擇 AWS Service (AWS 服務),尋找並選擇 SageMaker,接著選擇 SageMaker - Execution (SageMaker - 執行) 使用案例。然後選擇下一步:許可

  5. Attach permissions policy (連接許可政策) 頁面上,選擇包含所需許可的政策;例如 AmazonSageMakerFullAccess。選擇下一步:檢閱

    如果您計劃存取使用 SSE-KMS 加密的 Amazon S3 來源和目標,請連接允許筆記本解密資料的政策,如以下範例所示。如需詳細資訊,請參閱搭配使用伺服器端加密與 AWS KMS 受管金鑰 (SSE-KMS) 來保護資料

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/key-id"
      ]
    }
  ]
}

  6. 針對 Role name (角色名稱),輸入您的角色名稱。若要允許從主控台使用者將角色傳送到 SageMaker AI,請使用字首為 AWSGlueServiceSageMakerNotebookRole 字串的名稱。AWS Glue​ 提供的政策預期 IAM​ 角色的開頭應為 AWSGlueServiceSageMakerNotebookRole。否則,您必須為使用者新增政策,允許其取得 iam:PassRole 許可,使 IAM 角色符合您的命名慣例。

    例如,輸入 AWSGlueServiceSageMakerNotebookRole-Default,然後選擇 Create role (建立角色)

  7. 在您建立角色之後,即可連接政策以允許從 AWS Glue 建立 SageMaker AI 筆記本所需的額外許可。

    開啟您剛才建立的角色 AWSGlueServiceSageMakerNotebookRole-Default,然後選擇 Attach policies (連接政策)。將您建立的名為 AWSGlueSageMakerNotebook 的政策連接至角色。