步骤 7：为 SageMaker 笔记本创建 IAM 角色

如果您计划将 SageMaker 笔记本与开发终端节点结合使用，则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management（IAM）通过 IAM 角色提供这些权限。

为 SageMaker 笔记本创建 IAM 角色

登录 AWS Management Console，然后通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。
在左侧导航窗格中，选择 Roles (角色)。
选择 Create role（创建角色）。
对于角色类型，选择 AWS Service (亚马逊云科技服务)，找到并选择 SageMaker，然后选择 SageMaker - Execution (SageMaker - 执行) 使用案例。然后选择下一步：权限。
在 Attach permissions policy (附加权限策略) 页面上，选择包含所需权限的策略；例如，AmazonSageMakerFullAccess。选择 下一步: 审核。

如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标，则附加一个允许笔记本解密数据的策略，如以下示例所示。有关更多信息，请参阅使用具有 AWS KMS 托管式密钥的服务器端加密（SSE-KMS）保护数据。
```
{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}
```
对于角色名称，请为您的角色输入一个名称。要允许角色从控制台用户传递到 SageMaker，请使用以字符串AWSGlueServiceSageMakerNotebookRole 为前缀的名称。AWS Glue 提供了要求 IAM 角色以 AWSGlueServiceSageMakerNotebookRole 开头的策略。否则，您必须向您的用户添加一个策略以允许适用于 IAM 角色的 iam:PassRole 权限与您的命名约定匹配。

例如，输入 AWSGlueServiceSageMakerNotebookRole-Default，然后选择 Create role (创建角色)。
创建角色之后，附加策略以允许从 AWS Glue 创建 SageMaker 笔记本所需的其他权限。

选择您刚刚创建的角色 AWSGlueServiceSageMakerNotebookRole-Default，然后选择 Attach policy (附加策略)。将您创建的名为 AWSGlueSageMakerNotebook 的策略附加到角色。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

步骤 6：为 SageMaker 笔记本创建 IAM policy

AWS Glue 访问控制策略示例