步驟 7:建立適用於 SageMaker 筆記本的 IAM 角色 - AWS Glue

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 7:建立適用於 SageMaker 筆記本的 IAM 角色

如果您計劃使用 SageMaker 筆記本搭配開發端點,您需要授予 IAM 角色許可。您可透過 IAM 角色使用 AWS Identity and Access Management (IAM) 來提供這些許可。

建立適用於 SageMaker 筆記本的 IAM 角色

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 選擇 建立角色

  4. 針對角色類型,選擇 AWS Service (AWS 服務),尋找並選擇 SageMaker,接著選擇 SageMaker - Execution (SageMaker - 執行) 使用案例。然後選擇 Next: Permissions (下一步:許可)。

  5. Attach permissions policy (連接許可政策) 頁面上,選擇包含所需許可的政策;例如 AmazonSageMakerFullAccess。選擇 下一步:檢閱

    如果您計劃存取使用 SSE-KMS 加密的 Amazon S3 來源和目標,請連接允許筆記本解密資料的政策,如以下範例所示。如需詳細資訊,請參閱搭配使用伺服器端加密與 AWS KMS 受管金鑰 (SSE-KMS) 來保護資料

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}

  6. 針對 Role name (角色名稱),輸入您的角色名稱。若要允許從主控台使用者將角色傳送到 SageMaker,請使用字首為 AWSGlueServiceSageMakerNotebookRole 字串的名稱。AWS Glue​ 提供的政策預期 IAM​ 角色的開頭應為 AWSGlueServiceSageMakerNotebookRole。否則,您必須為使用者新增政策,允許其取得 iam:PassRole 許可,使 IAM 角色符合您的命名慣例。

    例如,輸入 AWSGlueServiceSageMakerNotebookRole-Default,然後選擇 Create role (建立角色)

  7. 在您建立角色之後,即可連接政策以允許從 AWS Glue 建立 SageMaker 筆記本所需的額外許可。

    開啟您剛才建立的角色 AWSGlueServiceSageMakerNotebookRole-Default,然後選擇 Attach policies (連接政策)。將您建立的名為 AWSGlueSageMakerNotebook 的政策連接至角色。