本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 5:建立適用於筆記本伺服器的 IAM 角色 如果您計劃使用筆記本搭配開發端點,您需要授予 IAM 角色許可。您可以透過 IAM 角色使用 AWS Identity and Access Management IAM 來提供這些許可。 **注意** 使用 IAM 主控台建立 IAM 角色時,主控台會自動建立執行個體描述檔,並將其命名為與對應角色相同的名稱。 **建立適用於筆記本的 IAM 角色** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在左側導覽窗格中,選擇 **Roles** (角色)。 1. 選擇**建立角色**。 1. 在角色類型中選擇 **AWS Service** (AWS 服務),找出並選擇 **EC2**,接著選擇 **EC2** 使用案例,然後選擇 **Next: Permissions** (下一步:許可)。 1. 在**連接許可政策**頁面上,選擇包含必要許可的政策;例如,一般AWS Glue許可的 **AWSGlueServiceNotebookRole**,以及存取 Amazon S3 資源的 AWS 受管政策 **AmazonS3FullAccess**。接著選擇 **Next: Review** (下一步:檢閱)。 **注意** 確定此角色其中一個政策授予 Amazon S3 來源和目標的許可。同時確認您的政策允許在建立筆記本伺服器時完整存取筆記本存放位置。您可能想要提供自己的政策來存取特定的 Amazon S3 資源。如需為您的資源建立 Amazon S3 政策的詳細資訊,請參閱[在政策中指定資源](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html)。 如果您計劃存取使用 SSE-KMS 加密的 Amazon S3 來源和目標,請連接允許筆記本解密資料的政策。如需詳細資訊,請參閱[使用伺服器端加密搭配受管金鑰保護資料 AWS KMS(SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。 下列是 範例。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:*:111122223333:key/key-id" ] } ] } ``` 1. 針對 **Role name (角色名稱)**,輸入您的角色名稱。建立名稱字首為 `AWSGlueServiceNotebookRole` 字串的角色,以允許角色從主控台使用者傳送到筆記本伺服器。AWS Glue​ 提供的政策預期 IAM​ 服務角色的開頭應為 `AWSGlueServiceNotebookRole`。否則,您必須為使用者新增政策,允許其取得 `iam:PassRole` 許可,使 IAM 角色符合您的命名慣例。例如,​輸入 `AWSGlueServiceNotebookRoleDefault`。然後選擇 **Create role** (建立角色)。