# 步骤 7:为 SageMaker AI 笔记本创建 IAM 角色 如果计划将 SageMaker AI 笔记本与开发端点结合使用,则需要为 IAM 角色授予权限。您可使用 AWS Identity and Access Management(IAM)通过 IAM 角色提供这些权限。 **为 SageMaker AI 笔记本创建 IAM 角色** 1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。 1. 在左侧导航窗格中,选择 **Roles (角色)**。 1. 选择**创建角色**。 1. 对于角色类型,选择 **AWS 服务**,找到并选择 **SageMaker**,然后选择 **SageMaker - 执行**使用案例。然后选择**下一步:权限**。 1. 在 **Attach permissions policy (附加权限策略)** 页面上,选择包含所需权限的策略;例如,**AmazonSageMakerFullAccess**。选择**下一步:审核**。 如果您计划访问使用 SSE-KMS 加密的 Amazon S3 源和目标,则附加一个允许笔记本解密数据的策略,如以下示例所示。有关更多信息,请参阅[使用具有 AWS KMS 托管式密钥的服务器端加密(SSE-KMS)保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:*:111122223333:key/key-id" ] } ] } ``` ------ 1. 对于**角色名称**,请为您的角色输入一个名称。要允许角色从控制台用户传递到 SageMaker AI,请使用以字符串 `AWSGlueServiceSageMakerNotebookRole` 为前缀的名称。AWS Glue 提供了要求 IAM 角色以 `AWSGlueServiceSageMakerNotebookRole` 开头的策略。否则,您必须向您的用户添加一个策略以允许适用于 IAM 角色的 `iam:PassRole` 权限与您的命名约定匹配。 例如,输入 `AWSGlueServiceSageMakerNotebookRole-Default`,然后选择 **Create role (创建角色)**。 1. 创建角色之后,请附加策略以允许从 AWS Glue 创建 SageMaker AI 笔记本所需的其他权限。 选择您刚刚创建的角色 `AWSGlueServiceSageMakerNotebookRole-Default`,然后选择 **Attach policy (附加策略)**。将您创建的名为 `AWSGlueSageMakerNotebook` 的策略附加到角色。