Étape 5 : créer un rôle IAM pour les serveurs de blocs-notes

Si vous prévoyez d'utiliser des bloc-notes avec des points de terminaison de développement, vous devez accorder les autorisations de rôles IAM. Vous fournissez ces autorisations grâce à AWS Identity and Access Management IAM par le biais d'un rôle IAM.

Note

Lorsque vous créez un rôle IAM à l'aide de la console IAM, celle-ci crée automatiquement un profil d'instance et lui attribue le même nom qu'au rôle auquel il correspond.

Pour créer un rôle IAM pour des bloc-notes

Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de gauche, choisissez Rôles.
Sélectionnez Create role (Créer un rôle).
Pour le type de rôle, sélectionnez Service AWS, recherchez et sélectionnez EC2, sélectionnez le cas d'utilisation EC2, puis Suivant : autorisations.
Sur la page Attach permissions policy (Joindre la politique d'autorisations), sélectionnez les politiques contenant les autorisations requises ; par exemple, AWSGlueServiceNotebookRole pour les autorisations AWS Glue générales et la politique AmazonS3FullAccess gérée par AWS pour l'accès aux ressources Amazon S3. Choisissez ensuite Next: Review.
Note
Assurez-vous que l'une des politiques de ce rôle accorde des autorisations à vos sources et cibles Amazon S3. Confirmez également que votre politique autorise un accès complet à l'emplacement dans lequel vous stockez votre bloc-notes lors de la création d'un serveur de bloc-notes. Vous pouvez vouloir fournir votre propre politique pour l'accès à certaines ressources Amazon S3. Pour plus d'informations sur la création d'une politique Amazon S3 pour vos ressources, consultez Spécification des ressources d'une politique.
Si vous prévoyez d'accéder à des sources et cibles Amazon S3 chiffrées avec SSE-KMS, attachez une politique permettant aux bloc-notes de déchiffrer les données. Pour plus d'informations, consultez la page Protection des données grâce au chiffrement côté serveur avec les clés gérées par AWS KMS KMS (SSE-KMS).
Voici un exemple.
```
{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}
```
Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Créez le rôle avec un nom portant comme préfixe la chaîne AWSGlueServiceNotebookRole afin de permettre au rôle d'être transmis entre les utilisateurs de la console et le serveur de bloc-notes. Les politiques fournies par AWS Glue prévoient que les rôles de service IAM commencent par AWSGlueServiceNotebookRole. Sinon, vous devez ajouter une politique à vos utilisateurs accordant l'autorisation iam:PassRole aux rôles IAM de correspondre à votre convention de dénomination. Par exemple, saisissez AWSGlueServiceNotebookRoleDefault. Puis choisissez Create role (Créer un rôle).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 4 : créer une politique IAM pour les serveurs de blocs-notes

Étape 6 : créer une politique IAM pour les bloc-notes SageMaker