Comment empêcher un utilisateur ou un rôle IAM de configurer Amazon SageMaker Canvas ?

Dernière mise à jour : 21/10/2022

Je souhaite empêcher les utilisateurs d'AWS Identify and Access Management (IAM) et les utilisateurs d'AWS IAM Identity Center (successeur d'AWS Single Sign-On) de configurer Amazon SageMaker Canvas.

Résolution

Pour empêcher un utilisateur ou un rôle IAM de configurer l'application SageMaker Canvas, créez d'abord une politique IAM pour refuser les autorisations requises. Attachez ensuite cette politique au rôle d'exécution de SageMaker.

Procédez comme suit :

1.    Ouvrez la console IAM.

2.    Dans le panneau de navigation, choisissez Policies (politiques).

3.    Choisissez Create policy (créer une stratégie), puis choisissez l'onglet JSON.

4.    Copiez et collez la stratégie IAM suivante dans l'éditeur de politiques :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Assurez-vous de remplacer ce qui suit dans la politique :

  • example-region par la région de votre choix
  • 1111222233334444 par l'ID de votre compte
  • example-domain avec votre identifiant de domaine SageMaker Studio.
  • example-user-name avec le nom de votre profil utilisateur SageMaker Studio.

5.    Résolvez tous les avertissements de sécurité, erreurs ou avertissements généraux générés lors de la validation de la politique, puis choisissez Review policy.

6.    Sélectionnez Next: Tags (Suivant : balises).

7.    Sur la page Révision de la politique, entrez un nom et une description (facultatif) pour la politique que vous créez. Consultez le résumé de la stratégie, puis choisissez Créer une politique pour enregistrer votre travail.

8.    Dans la liste des politiques affichées, choisissez la stratégie que vous avez créée.

9.    Choisissez l'onglet Policy usage (utilisation de la stratégie), puis Attach (attacher).

10.    Dans la liste des utilisateurs et des rôles IAM qui s'affiche, sélectionnez le rôle d'exécution SageMaker pour l'utilisateur de Studio.

11.    Sélectionnez Attach policy (associer une politique).

Si vous essayez de configurer l'application SageMaker Canvas après avoir effectué les étapes précédentes, le message d'erreur suivant s'affiche :

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?