Schritt 7: Erstellen einer IAM-Rolle für SageMaker-Notebooks - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 7: Erstellen einer IAM-Rolle für SageMaker-Notebooks

Wenn Sie vorhaben, SageMaker-Notebooks mit Entwicklungsendpunkten zu verwenden, müssen Sie der IAM-Rolle Berechtigungen erteilen. Sie stellen diese Berechtigungen bereit, indem Sie AWS Identity and Access Management (IAM) über eine IAM-Rolle verwenden.

Eine IAM-Rolle für SageMaker-Notebooks erstellen

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Wählen Sie als Rollentyp AWS-Service aus. Suchen und wählen Sie SageMaker und den Anwendungsfall SageMaker - Execution aus. Wählen Sie dann Next: Permissions.

  5. Wählen Sie auf der Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) die Richtlinien mit den erforderlichen Berechtigungen aus, z. B. AmazonSageMakerFullAccess. Wählen Sie Weiter: Prüfen aus.

    Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die Notebooks erlaubt, die Daten zu entschlüsseln, wie im folgenden Beispiel gezeigt. Weitere Informationen hierzu finden Sie unter Daten schützen durch serverseitige Verschlüsselung mit AWS KMS-verwalteten Schlüsseln (SSE-KMS). 

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}

  6. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Damit die Rolle von Konsolenbenutzern an SageMaker übergeben werden kann, verwenden Sie einen Namen mit der vorangestellten Zeichenkette AWSGlueServiceSageMakerNotebookRole. Von AWS Glue bereitgestellte Richtlinien erwarten, dass IAM-Rollen mit AWSGlueServiceSageMakerNotebookRole beginnen. Andernfalls müssen Sie Ihren Benutzern eine Richtlinie hinzufügen, damit die iam:PassRole-Berechtigung für IAM-Rollen Ihren Benennungskonvention entspricht.

    Geben Sie zum Beispiel AWSGlueServiceSageMakerNotebookRole-Default ein und klicken Sie auf Create role (Rolle erstellen).

  7. Nachdem Sie die Rolle erstellt haben, fügen Sie die Richtlinie hinzu, die zusätzliche Berechtigungen für die Erstellung von SageMaker-Notebooks über AWS Glue erteilt.

    Wählen Sie die gerade erstellte Rolle AWSGlueServiceSageMakerNotebookRole-Default und dann Attach policies (Richtlinien anfügen). Fügen Sie die erstellte Richtlinie AWSGlueSageMakerNotebook der Rolle an.