¿Cómo evito que un usuario o un rol de IAM configure Amazon SageMaker Canvas?

Actualización más reciente: 21-10-2022

Quiero evitar que los usuarios de AWS Identity and Access Management (IAM) y los usuarios de AWS IAM Identity Center (sucesor de AWS Single Sign-On) configuren Amazon SageMaker Canvas.

Resolución

Para evitar que un usuario o un rol de IAM configure la aplicación SageMaker Canvas, primero cree una política de IAM para denegar los permisos requeridos. A continuación, adjunte esta política a la función de ejecución de SageMaker.

Haga lo siguiente:

1.    Abra la consola de IAM.

2.    En el panel de navegación, elija Policies (Políticas).

3.    Elija Create policy (Crear política) y, a continuación, elija la pestaña JSON.

4.    Copie y pegue la siguiente política de IAM en el editor de políticas:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Asegúrese de reemplazar los siguientes elementos en la política:

  • example-region por la región de su elección.
  • 1111222233334444 por el ID de su cuenta.
  • example-domain por su ID de dominio de SageMaker Studio.
  • example-user-name por su perfil de usuario de SageMaker Studio.

5.    Resuelva cualquier advertencia de seguridad, error o advertencia general que se haya generado durante la validación de la política y, a continuación, seleccione Review policy (Revisar política).

6.    Elija Next: Tags (Siguiente: etiquetas).

7.    En la página Review policy (Revisar política), cumplimente los campos Name (Nombre) y en Description (Descripción [opcional]) para la política que está creando. Revise el resumen de la política que se muestra en Summary (Resumen) y, a continuación, seleccione Create policy (Crear política) para guardar su trabajo.

8.    En la lista de políticas que se muestra, elija la política que ha creado.

9.    Seleccione la pestaña Policy usage (Uso de política) y, a continuación, seleccione Attach (Adjuntar).

10.    En la lista de usuarios y roles de IAM que aparece, seleccione el rol de ejecución de SageMaker para el usuario de Studio.

11.    Elija Attach policy (Adjuntar política).

Si intenta configurar la aplicación SageMaker Canvas después de completar los pasos anteriores, aparecerá el siguiente error:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?