Come posso impedire a un utente o a un ruolo IAM di configurare Amazon SageMaker Canvas?

Ultimo aggiornamento: 21/10/2022

Desidero impedire agli utenti di AWS Identify and Access Management (IAM) e del Centro identità AWS IAM (in sostituzione di AWS Single Sign-On) di configurare Amazon SageMaker Canvas.

Risoluzione

Per impedire a un utente o a un ruolo IAM di configurare l'app SageMaker Canvas, crea innanzitutto una policy IAM per negare le autorizzazioni richieste. Quindi, collega questa policy al ruolo di esecuzione di SageMaker.

Esegui le seguenti operazioni:

1.    Apri la console IAM.

2.    Nel pannello di navigazione, seleziona Policies (Policy).

3.    Scegli Create policy (Crea policy), quindi scegli la scheda JSON.

4.    Copia e incolla la seguente policy IAM nell'editor delle policy:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Assicurati di sostituire quanto segue nella policy:

  • example-region con la regione scelta
  • 1111222233334444 con il tuo ID account.
  • example-domain con il tuo ID dominio di SageMaker Studio.
  • example-user-name con il nome del tuo profilo utente di SageMaker Studio.

5.    Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida della policy, quindi scegli Review policy (Rivedi policy).

6.    Scegli Successivo: tag.

7.    Nella pagina Review policy (Rivedi policy), inserisci un nome e una descrizione (facoltativo) per la policy che desideri creare. Consulta il riepilogo della policy, quindi scegli Create policy (Crea policy) per salvare il tuo lavoro.

8.    Nell'elenco delle policy visualizzate, scegli la policy che hai creato.

9.    Scegli la scheda Policy usage (Utilizzo della policy), quindi scegli Attach (Allega).

10.    Dall'elenco di utenti e ruoli IAM visualizzato, seleziona il ruolo di esecuzione di SageMaker per l'utente Studio.

11.    Scegli Attach policies (Allega policy).

Se tenti di configurare l'app SageMaker Canvas dopo aver completato i passaggi precedenti, viene visualizzato il seguente errore:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Questo articolo è stato utile?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?