Comment empêcher un utilisateur ou un rôle IAM de configurer Amazon SageMaker Canvas ?

Lecture de 2 minute(s)

Je souhaite empêcher les utilisateurs d'AWS Identify and Access Management (IAM) et les utilisateurs d'AWS IAM Identity Center (successeur d'AWS Single Sign-On) de configurer Amazon SageMaker Canvas.

Résolution

Pour empêcher un utilisateur ou un rôle IAM de configurer l'application SageMaker Canvas, créez d'abord une politique IAM pour refuser les autorisations requises. Attachez ensuite cette politique au rôle d'exécution de SageMaker.

Procédez comme suit :

1. Ouvrez la console IAM.

2. Dans le panneau de navigation, choisissez Policies (politiques).

3. Choisissez Create policy (créer une stratégie), puis choisissez l'onglet JSON.

4. Copiez et collez la stratégie IAM suivante dans l'éditeur de politiques :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Assurez-vous de remplacer ce qui suit dans la politique :

example-region par la région de votre choix
1111222233334444 par l'ID de votre compte
example-domain avec votre identifiant de domaine SageMaker Studio.
example-user-name avec le nom de votre profil utilisateur SageMaker Studio.

5. Résolvez tous les avertissements de sécurité, erreurs ou avertissements généraux générés lors de la validation de la politique, puis choisissez Review policy.

6. Sélectionnez Next: Tags (Suivant : balises).

7. Sur la page Révision de la politique, entrez un nom et une description (facultatif) pour la politique que vous créez. Consultez le résumé de la stratégie, puis choisissez Créer une politique pour enregistrer votre travail.

8. Dans la liste des politiques affichées, choisissez la stratégie que vous avez créée.

9. Choisissez l'onglet Policy usage (utilisation de la stratégie), puis Attach (attacher).

10. Dans la liste des utilisateurs et des rôles IAM qui s'affiche, sélectionnez le rôle d'exécution SageMaker pour l'utilisateur de Studio.

11. Sélectionnez Attach policy (associer une politique).

Si vous essayez de configurer l'application SageMaker Canvas après avoir effectué les étapes précédentes, le message d'erreur suivant s'affiche :

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Informations connexes

Amazon SageMaker Canvas

Sujets

Machine Learning et AI

Balises

Amazon SageMaker

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Sagemaker/Support : Urgence et Prise en compte des tickets
Romuald
demandé il y a 4 mois
Data labeling sagemaker ground truth
Jose G
demandé il y a 6 mois
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a un an
Créer un enregistrement
Réponse acceptée
Tikki
demandé il y a 4 mois
y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a un an
Comment fournir aux utilisateurs IAM un lien leur permettant d'assumer un rôle IAM ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je déterminer quelle instance de bloc-notes SageMaker a effectué un appel d'API particulier si toutes les instances utilisent le même rôle IAM ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment créer une stratégie IAM pour autoriser explicitement un utilisateur, un groupe ou un rôle IAM à créer ou gérer les instances EC2 dans un VPC donné en utilisant des balises ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je empêcher les politiques IAM d'autoriser un utilisateur ou un rôle à accéder à une clé KMS dans AWS KMS ?
AWS OFFICIELA mis à jour il y a un an