Schritt 5: Erstellen einer IAM-Rolle für Notebook-Server - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 5: Erstellen einer IAM-Rolle für Notebook-Server

Wenn Sie vorhaben, Notebooks mit Entwicklungsendpunkten zu verwenden, müssen Sie der IAM-Rolle Berechtigungen erteilen. Sie stellen diese Berechtigungen bereit, indem Sie AWS Identity and Access Management (IAM) über eine IAM-Rolle verwenden.

Anmerkung

Wenn Sie eine IAM-Rolle mithilfe der IAM-Konsole erstellen, erzeugt die Konsole automatisch ein Instance-Profil und gibt ihm denselben Namen wie der entsprechenden Rolle.

So erstellen Sie eine IAM-Rolle für Notebooks
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Wählen Sie als Rollentyp AWS Service aus. Suchen und wählen Sie EC2 und den Anwendungsfall EC2 aus. Klicken Sie dann auf Next: Permissions (Weiter: Berechtigungen).

  5. Wählen Sie auf der Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) die Richtlinien mit den erforderlichen Berechtigungen aus, z. B. AWSGlueServiceNotebookRole für allgemeine AWS Glue-Berechtigungen und die von AWS verwaltete Richtlinie AmazonS3FullAccess (Amazon S3 Vollzugriff) für den Zugriff auf Amazon-S3-Ressourcen. Wählen Sie dann Next: Review aus.

    Anmerkung

    Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Vergewissern Sie sich außerdem, dass Ihre Richtlinie vollständigen Zugriff auf den Speicherort zulässt, an dem Sie Ihr Notebook ablegen, wenn Sie einen Notebook-Server erstellen. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter Festlegen von Ressourcen in einer Richtlinie.

    Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die Notebooks erlaubt, die Daten zu entschlüsseln. Weitere Informationen hierzu finden Sie unter Daten schützen durch serverseitige Verschlüsselung mit AWS KMS-verwalteten Schlüsseln (SSE-KMS).

    Im Folgenden wird ein Beispiel gezeigt.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Erstellen Sie die Rolle mit dem Namenspräfix AWSGlueServiceNotebookRole, damit die Rolle von Konsolenbenutzern an den Notebook-Server übergeben werden kann. Die von AWS Glue bereitgestellten Richtlinien erwarten, dass IAM-Servicerollen mit AWSGlueServiceNotebookRole beginnen. Andernfalls müssen Sie Ihren Benutzern eine Richtlinie hinzufügen, damit die iam:PassRole-Berechtigung für IAM-Rollen Ihren Benennungskonvention entspricht. Geben Sie z. B. ei AWSGlueServiceNotebookRoleDefault. Wählen Sie dann Create Role.