Etapa 7: criar um perfil do IAM para cadernos do SageMaker - AWS Glue

Etapa 7: criar um perfil do IAM para cadernos do SageMaker

Se você planeja usar cadernos do SageMaker com endpoints de desenvolvimento, precisará conceder as permissões à função do IAM. Você fornece essas permissões usando o AWS Identity and Access Management (IAM), por meio de uma função do IAM.

Para criar uma função do IAM para cadernos do SageMaker
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Roles.

  3. Selecione Criar função.

  4. Em tipo de perfil, escolha Serviço da AWS, localize e escolha SageMaker, depois escolha o caso de uso SageMaker - Execução. Então, escolha Próximo: Permissões.

  5. Na página Attach permissions policy (Anexar política de permissões), escolha as políticas que contêm as permissões necessárias; por exemplo, AmazonSageMakerFullAccess. Selecione Next: Review (Próximo: revisar).

    Se você planeja acessar fontes e destinos do Amazon S3 que não foram criptografados com SSE-KMS, anexe uma política que permita que os cadernos descriptografem os dados, conforme mostrado no exemplo a seguir. Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS).

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. Em Role name (Nome da função), digite um nome para sua função. Para permitir que a função seja transmitida dos usuários do console para o SageMaker, use um nome com a string AWSGlueServiceSageMakerNotebookRole como prefixo. As políticas fornecidas pelo AWS Glue esperam que as funções do IAM comecem com AWSGlueServiceSageMakerNotebookRole. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários a permissão iam:PassRole, para que as funções do IAM correspondam às suas convenções de nomenclatura.

    Por exemplom, insira AWSGlueServiceSageMakerNotebookRole-Default e escolha Create role (Criar função).

  7. Depois de criar a função, anexe a política que concede as permissões adicionais necessárias para criar cadernos do SageMaker pelo AWS Glue.

    Abra a função que você acabou de criar, AWSGlueServiceSageMakerNotebookRole-Default, e escolha Attach policies (Anexar políticas). Anexe a política que você criou, denominada AWSGlueSageMakerNotebook, à função.