本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 7:建立適用於 SageMaker AI 筆記本的 IAM 角色 如果您計劃將 SageMaker AI 筆記本與開發端點搭配使用,您需要授予 IAM 角色許可。您可以透過 IAM 角色使用 AWS Identity and Access Management (IAM) 來提供這些許可。 **建立適用於 SageMaker AI 筆記本的 IAM 角色** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在左側導覽窗格中,選擇 **Roles** (角色)。 1. 選擇**建立角色**。 1. 針對角色類型,選擇 **AWS Service (AWS 服務)**,尋找並選擇 **SageMaker**,接著選擇 **SageMaker - Execution (SageMaker - 執行)** 使用案例。然後選擇**下一步:許可**。 1. 在 **Attach permissions policy (連接許可政策)** 頁面上,選擇包含所需許可的政策;例如 **AmazonSageMakerFullAccess**。選擇下**一步:檢閱**。 如果您計劃存取使用 SSE-KMS 加密的 Amazon S3 來源和目標,請連接允許筆記本解密資料的政策,如以下範例所示。如需詳細資訊,請參閱[使用伺服器端加密搭配受管金鑰保護資料 AWS KMS(SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:*:111122223333:key/key-id" ] } ] } ``` ------ 1. 針對 **Role name (角色名稱)**,輸入您的角色名稱。若要允許從主控台使用者將角色傳送到 SageMaker AI,請使用字首為 `AWSGlueServiceSageMakerNotebookRole` 字串的名稱。AWS Glue​ 提供的政策預期 IAM​ 角色的開頭應為 `AWSGlueServiceSageMakerNotebookRole`。否則,您必須為使用者新增政策,允許其取得 `iam:PassRole` 許可,使 IAM 角色符合您的命名慣例。 例如,輸入 `AWSGlueServiceSageMakerNotebookRole-Default`,然後選擇 **Create role (建立角色)**。 1. 在您建立角色之後,即可連接政策以允許從 AWS Glue 建立 SageMaker AI 筆記本所需的額外許可。 開啟您剛才建立的角色 `AWSGlueServiceSageMakerNotebookRole-Default`,然後選擇 **Attach policies (連接政策)**。將您建立的名為 `AWSGlueSageMakerNotebook` 的政策連接至角色。