Come posso impedire a un utente o a un ruolo IAM di configurare Amazon SageMaker Canvas?

2 minuti di lettura

Desidero impedire agli utenti di AWS Identify and Access Management (IAM) e del Centro identità AWS IAM (in sostituzione di AWS Single Sign-On) di configurare Amazon SageMaker Canvas.

Risoluzione

Per impedire a un utente o a un ruolo IAM di configurare l'app SageMaker Canvas, crea innanzitutto una policy IAM per negare le autorizzazioni richieste. Quindi, collega questa policy al ruolo di esecuzione di SageMaker.

Esegui le seguenti operazioni:

1. Apri la console IAM.

2. Nel pannello di navigazione, seleziona Policies (Policy).

3. Scegli Create policy (Crea policy), quindi scegli la scheda JSON.

4. Copia e incolla la seguente policy IAM nell'editor delle policy:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Assicurati di sostituire quanto segue nella policy:

example-region con la regione scelta
1111222233334444 con il tuo ID account.
example-domain con il tuo ID dominio di SageMaker Studio.
example-user-name con il nome del tuo profilo utente di SageMaker Studio.

5. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida della policy, quindi scegli Review policy (Rivedi policy).

6. Scegli Successivo: tag.

7. Nella pagina Review policy (Rivedi policy), inserisci un nome e una descrizione (facoltativo) per la policy che desideri creare. Consulta il riepilogo della policy, quindi scegli Create policy (Crea policy) per salvare il tuo lavoro.

8. Nell'elenco delle policy visualizzate, scegli la policy che hai creato.

9. Scegli la scheda Policy usage (Utilizzo della policy), quindi scegli Attach (Allega).

10. Dall'elenco di utenti e ruoli IAM visualizzato, seleziona il ruolo di esecuzione di SageMaker per l'utente Studio.

11. Scegli Attach policies (Allega policy).

Se tenti di configurare l'app SageMaker Canvas dopo aver completato i passaggi precedenti, viene visualizzato il seguente errore:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Informazioni correlate

Amazon SageMaker Canvas

Argomenti

Apprendimento automatico e intelligenza artificiale

Tag

Amazon SageMaker

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso utilizzare le credenziali del mio ruolo IAM o passare a un altro ruolo IAM quando mi connetto ad Athena tramite il driver JDBC?
AWS UFFICIALEAggiornata 2 anni fa
Come posso fornire agli utenti IAM un link per assumere un ruolo IAM?
AWS UFFICIALEAggiornata 2 anni fa
Come posso creare un criterio IAM per concedere esplicitamente le autorizzazioni a un utente, gruppo o ruolo IAM per creare e gestire le istanze EC2 in un VPC specificato utilizzando i tag?
AWS UFFICIALEAggiornata 3 anni fa
Come posso verificare quale ruolo viene utilizzato dal mio utente di Amazon SageMaker Studio? Come posso cambiare questo ruolo?
AWS UFFICIALEAggiornata un anno fa