Etapa 7: criar um perfil do IAM para cadernos do SageMaker
Se você planeja usar cadernos do SageMaker com endpoints de desenvolvimento, precisará conceder as permissões à função do IAM. Você fornece essas permissões usando o AWS Identity and Access Management (IAM), por meio de uma função do IAM.
Para criar uma função do IAM para cadernos do SageMaker
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação à esquerda, escolha Roles.
-
Selecione Criar função.
-
Em tipo de perfil, escolha Serviço da AWS, localize e escolha SageMaker, depois escolha o caso de uso SageMaker - Execução. Então, escolha Próximo: Permissões.
-
Na página Attach permissions policy (Anexar política de permissões), escolha as políticas que contêm as permissões necessárias; por exemplo, AmazonSageMakerFullAccess. Selecione Next: Review (Próximo: revisar).
Se você planeja acessar fontes e destinos do Amazon S3 que não foram criptografados com SSE-KMS, anexe uma política que permita que os cadernos descriptografem os dados, conforme mostrado no exemplo a seguir. Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS).
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:
account-id-without-hyphens
:key/key-id
" ] } ] } -
Em Role name (Nome da função), digite um nome para sua função. Para permitir que a função seja transmitida dos usuários do console para o SageMaker, use um nome com a string
AWSGlueServiceSageMakerNotebookRole
como prefixo. As políticas fornecidas pelo AWS Glue esperam que as funções do IAM comecem comAWSGlueServiceSageMakerNotebookRole
. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários a permissãoiam:PassRole
, para que as funções do IAM correspondam às suas convenções de nomenclatura.Por exemplom, insira
AWSGlueServiceSageMakerNotebookRole-Default
e escolha Create role (Criar função). -
Depois de criar a função, anexe a política que concede as permissões adicionais necessárias para criar cadernos do SageMaker pelo AWS Glue.
Abra a função que você acabou de criar,
AWSGlueServiceSageMakerNotebookRole-Default
, e escolha Attach policies (Anexar políticas). Anexe a política que você criou, denominadaAWSGlueSageMakerNotebook
, à função.