如何阻止 IAM 用户或角色设置 Amazon SageMaker Canvas?

上次更新日期:2022 年 10 月 21 日

我想阻止 AWS Identify and Access Management(IAM)用户和 AWS IAM Identity Center(AWS Single Sign-On 的后续者)用户设置 Amazon SageMaker Canvas。

解决方法

要阻止 IAM 用户或角色设置 SageMaker Canvas 应用程序,请先创建 IAM policy 以拒绝所需的权限。然后,将此策略附加到 SageMaker 执行角色。

执行以下操作:

1.    打开 IAM console(IAM 控制台)。

2.    在导航窗格中,选择 Policies(策略)。

3.    选择 Create policy(创建策略),然后选择 JSON 选项卡。

4.    将以下 IAM policy 复制并粘贴到策略编辑器中:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

请务必在策略中替换以下内容:

  • example-region 替换为您选择的区域
  • 1111222233334444 替换为您的账户 ID。
  • example-domain 替换为您的 SageMaker Studio 域 ID。
  • example-user-name 替换为您的 SageMaker Studio 用户配置文件名称。

5.    解决策略验证期间生成的任何安全警告、错误或一般警告,然后选择Review policy(查看策略)。

6.    选择下一步:标签

7.    在 Review policy(查看策略)页面上,输入您创建的策略的 Name(名称)和 Description(描述)(可选)。查看策略 Summary(摘要),然后选择 Create policy(创建策略)以保存您的工作。

8.    在显示的策略列表中,选择您创建的策略。

9.    选择 Policy usage(策略用法)选项卡,然后选择 Attach(附加)。

10.    从显示的 IAM 用户和角色列表中,为 Studio 用户选择 SageMaker 执行角色。

11.    选择 Attach Policy(附加策略)。

如果您在完成上述步骤后尝试设置 SageMaker Canvas 应用程序,则会出现以下错误:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

这篇文章对您有帮助吗?


您是否需要账单或技术支持?