ステップ 7: SageMaker AI ノートブック用の IAM ロールを作成する - AWS Glue

ステップ 7: SageMaker AI ノートブック用の IAM ロールを作成する

開発エンドポイントで SageMaker AI ノートブックを使用する予定がある場合は、IAM ロールのアクセス許可を付与する必要があります。AWS Identity and Access Management (IAM) を使用しながら IAM ロールを介して、アクセス許可を付与できます。

SageMaker AI ノートブック用の IAM ロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。

  4. ロールタイプについては、[AWS Service] を選択し、[SageMaker] を見つけて選択してから、[SageMaker - Execution] ユースケースを選択します。その後、[Next] (次へ) を選択します。

  5. [Attach permissions policy] ページで、必要なアクセス許可を含むポリシー ([AmazonSageMakerFullAccess] など) を選択します。[次へ: レビュー] を選択します。

    SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、次の例に示すように、ノートブックによるデータの復号化を許可するポリシーをアタッチしてください。詳細については、「Protecting Data Using Server-Side Encryption with AWS KMS-Managed Keys (SSE-KMS)」を参照してください。

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}

  6. ロール名 に、ロールの名前を入力します。コンソールユーザーから SageMaker AI にロールを渡すには、文字列 AWSGlueServiceSageMakerNotebookRole のプレフィックスが付けられた名前を使用します。AWS Glue が提供するポリシーでは、IAM ロールが AWSGlueServiceSageMakerNotebookRole で始まることを想定しています。それ以外の場合は、ユーザーにポリシーを追加して、IAM ロールに対する iam:PassRole の許可を命名規則に一致させる必要があります。

    例えば、AWSGlueServiceSageMakerNotebookRole-Default を入力した上で、[Create role] (ロールを作成) をクリックします。

  7. ロールを作成した後に、AWS Glue から SageMaker AI ノートブックを作成するために必要な、追加のアクセス許可を付与するポリシーをアタッチします。

    作成したロール AWSGlueServiceSageMakerNotebookRole-Default を開き、[Attach policies] (ポリシーのアタッチ) をクリックします。作成した AWSGlueSageMakerNotebook ポリシーを、ロールにアタッチします。