ステップ 5: ノートブックサービス用に IAM ロールを作成する

開発エンドポイントでノートブックを使用する予定がある場合は、IAM ロールのアクセス許可を付与する必要があります。AWS Identity and Access Management IAM を使用しながら IAM ロールを介して、これらのアクセス許可を付与できます。

注記

IAM コンソールを使用して IAM ロールを作成すると、コンソールによりインスタンスプロファイルが自動的に作成され、対応するロールと同じ名前が付けられます。

ノートブック用に IAM ロールを作成するには

AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
左のナビゲーションペインで、[Roles] (ロール) を選択します。
[Create role] (ロールの作成) を選択します。
ロールタイプについては、[AWS Service] (サービス) を選択した後に [EC2] を見つけて選択し、ユースケースで [EC2] を選択した後、[Next: Permissions] (次へ: アクセス許可) をクリックします。
[アクセス権限ポリシーを添付する] のページで、必要なアクセス権を含むポリシーを選択します。例えば、一般的な AWS Glue 許可には AWSGlueServiceNotebookRole、Amazon S3 リソースへのアクセスには AWS マネージドポリシー AmazonS3FullAccess を選択します。続いて、[Next: Review] をクリックします。
注記
Amazon S3 のソースとターゲットに対するアクセス許可を、このロールのポリシーの 1 つにより付与してください。また、ノートブックサーバーの作成時にノートブックを保管する場所へのフルアクセスがポリシーで許可されていることを確認してください。独自のポリシーを、特定の Amazon S3 リソースにアクセスするために指定します。リソースの Amazon S3 ポリシーの作成については、「Specifying Resources in a Policy」を参照してください。
SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、ノートブックがデータを復号化できるようにポリシーをアタッチします。詳細については、「Protecting Data Using Server-Side Encryption with AWS KMS-Managed Keys (SSE-KMS)」を参照してください。
次に例を示します。
```
{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}
```
[ロール名] に、ロールの名前を入力します。コンソールユーザーからノートブックサーバーにロールを渡すには、名前に文字列 AWSGlueServiceNotebookRole のプレフィックスが付けられたロールを作成します。AWS Glue が提供するポリシーでは、IAM サービスロールが AWSGlueServiceNotebookRole で始まることを想定しています。それ以外の場合は、ユーザーにポリシーを追加して、IAM ロールに対する iam:PassRole の許可を命名規則に一致させる必要があります。たとえば、AWSGlueServiceNotebookRoleDefaultと入力します。次に、[Create role] (ロールの作成) を選択します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ステップ 4: ノートブックサービス用に IAM ポリシーを作成する

ステップ 6: SageMaker ノートブック用に IAM ポリシーを作成する