Como evitar que um usuário ou perfil do IAM configure o Amazon SageMaker Canvas?

2 minuto de leitura
0

Quero impedir que usuários do AWS Identify and Access Management (IAM) e do AWS IAM Identity Center (sucessor do AWS Single Sign-On) configurem o Amazon SageMaker Canvas.

Resolução

Para impedir que um usuário ou perfil do IAM configure a aplicação SageMaker Canvas, primeiro crie uma política do IAM para negar as permissões necessárias. Em seguida, anexe essa política ao perfil de execução do SageMaker.

Faça o seguinte:

1.    Abra o console do IAM.

2.    No painel de navegação, selecione Policies (Políticas).

3.    Escolha Create policy (Criar política) e, em seguida, escolha a guia JSON.

4.    Copie e cole a seguinte política do IAM no editor de políticas:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Certifique-se de substituir o seguinte na política:

  • example-region com a região de sua escolha.
  • 1111222233334444 pelo ID da sua conta
  • example-domain com seu ID de domínio do SageMaker Studio.
  • example-user-name com seu nome de perfil de usuário do SageMaker Studio.

5.    Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e, em seguida, escolha Review policy (Revisar política).

6.    Escolha Próximo: etiquetas.

7.    Na página Review policy (Revisar política), insira um Nome e uma Descrição (opcional) para a política que você está criando. Revise o resumo da política e escolha Create policy (Criar política) para salvar seu trabalho.

8.    Na lista de políticas exibida, escolha a política que você criou.

9.    Escolha a guia Policy usage (Uso da política) e, em seguida, escolha Attach (Anexar).

10.    Na lista exibida de usuários e perfis do IAM, selecione o perfil de execução do SageMaker para o usuário do Studio.

11.    Escolha Attach policy (Anexar política).

Se você tentar configurar a aplicação SageMaker Canvas depois de concluir as etapas anteriores, receberá o seguinte erro:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Informações relacionadas

Amazon SageMaker Canvas

AWS OFICIAL
AWS OFICIALAtualizada há um ano