ステップ 5: ノートブックサービスの IAM ロールを作成する - AWS Glue

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

ステップ 5: ノートブックサービスの IAM ロールを作成する

開発エンドポイントでノートブックを使用する予定がある場合は、IAM ロールアクセス権限を与える必要があります。IAM ロールを通して AWS Identity and Access Management IAM を使用してアクセス許可を提供できます。

注記

IAM コンソールを使用して IAM ロールを作成すると、コンソールによりインスタンスプロファイルが自動的に作成され、対応するロールと同じ名前が付けられます。

ノートブックの IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。

  3. [Create role (ロールの作成)] を選択します。

  4. ロールタイプについては、[AWS サービス] を選択し、[EC2] を見つけて選択して、[EC2] ユースケースを選択し、[次へ: アクセス権限] を選択します。

  5. [Attach permissions policy (アクセス権限ポリシーをアタッチする)] ページで、一般的な AWS Glue の AWS 管理ポリシー [AWSGlueServiceNotebookRole]、および Amazon S3 リソースにアクセスするための AWS 管理ポリシー [AmazonS3FullAccess] などの必要なアクセス権限を含むポリシーを選択します。続いて、[Next: Review (次へ: レビュー)] を選択します。

    注記

    このロールのポリシーの 1 つが Amazon S3 のソースとターゲットにアクセス権限を与えていることを確認してください。また、ノートブックサーバーの作成時にノートブックを保管する場所へのフルアクセスがポリシーで許可されていることを確認してください。特定の Amazon S3 リソースにアクセスするための独自のポリシーを提供します。リソースの Amazon S3 ポリシーの作成の詳細については、「ポリシーでのリソースの指定」を参照してください。

    SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、ノートブックがデータを復号化できるポリシーをアタッチしてください。詳細については、「AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。

    次に例を示します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. [Role name] に、ロールの名前を入力します。コンソールユーザーからノートブックサーバーにロールを渡すには、文字列 [AWSGlueServiceNotebookRole] のプレフィックスが付けられたロールを作成します。AWS Glue が提供するポリシーでは、IAM サービスロールが [AWSGlueServiceNotebookRole] で始まると予測しています。それ以外の場合は、ポリシーを追加して、IAM ロールの iam:PassRole アクセス権限がユーザーの命名規則に一致するようにする必要があります。たとえば、[AWSGlueServiceNotebookRoleDefault] と入力します。 続いて、[Create role (ロールの作成)] を選択します。