# Etapa 7: criar um perfil do IAM para cadernos do SageMaker AI
<a name="create-an-iam-role-sagemaker-notebook"></a>

Se você planeja usar cadernos do SageMaker AI com endpoints de desenvolvimento, precisará conceder as permissões ao perfil do IAM. Você fornece essas permissões usando o AWS Identity and Access Management (IAM), por meio de um perfil do IAM.

**Para criar um perfil do IAM para cadernos do SageMaker AI**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, selecione **Perfis**.

1. Selecione **Criar perfil**.

1. Em tipo de perfil, escolha **Serviço da AWS**, localize e escolha **SageMaker**, depois escolha o caso de uso **SageMaker - Execução**. Então, escolha **Próximo: permissões**.

1. Na página **Attach permissions policy (Anexar política de permissões)**, escolha as políticas que contêm as permissões necessárias; por exemplo, **AmazonSageMakerFullAccess**. Escolha **Próximo: revisar**.

   Se você planeja acessar fontes e destinos do Amazon S3 que não foram criptografados com SSE-KMS, anexe uma política que permita que os cadernos descriptografem os dados, conforme mostrado no exemplo a seguir. Para obter mais informações, consulte [Proteção de dados usando criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": [
           "arn:aws:kms:*:111122223333:key/key-id"
         ]
       }
     ]
   }
   ```

------

1. Em **Role name (Nome da função)**, digite um nome para sua função. Para permitir que o perfil seja transmitido dos usuários do console para o SageMaker AI, use um nome com a string `AWSGlueServiceSageMakerNotebookRole` como prefixo. As políticas fornecidas pelo AWS Glue esperam que os perfis do IAM comecem com `AWSGlueServiceSageMakerNotebookRole`. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários a permissão `iam:PassRole`, para que as funções do IAM correspondam às suas convenções de nomenclatura. 

   Por exemplom, insira `AWSGlueServiceSageMakerNotebookRole-Default` e escolha **Create role** (Criar função). 

1. Depois de criar o perfil, anexe a política que concede as permissões adicionais necessárias para criar cadernos do SageMaker AI pelo AWS Glue.

   Abra a função que você acabou de criar, `AWSGlueServiceSageMakerNotebookRole-Default`, e escolha **Attach policies** (Anexar políticas). Anexe a política que você criou, denominada `AWSGlueSageMakerNotebook`, à função.