如何防止 IAM 使用者或角色設定 Amazon SageMaker Canvas？

解決方案

若要防止 IAM 使用者或角色設定 SageMaker Canvas 應用程式，請先建立 IAM 政策以拒絕必要的許可。然後，將此政策附加至 SageMaker 執行角色。

請執行下列操作：

1.    開啟 IAM 主控台。

2.    在導覽窗格中，選擇 Policies (政策)。

3.    選擇 Create policy (建立政策)，然後選擇 JSON 標籤。

4.    在政策編輯器中複製並貼上以下 IAM 政策：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

務必取代政策中的以下內容：

• 用您選擇的區域取代 example-region
• 用您的帳戶 ID 取代 1111222233334444。
• 用您的 SageMaker Studio 網域 ID 取代範例網域。
• 用您的 SageMaker Studio 使用者設定檔名稱取代範例使用者名稱。

5.    解決政策驗證期間產生的任何安全性警告、錯誤或一般警告，然後選擇 Review policy (檢閱政策)。

6.    選擇 Next: Tags (下一步：標籤)。

7.    在 Review policy (檢閱政策) 頁面上，輸入您要建立之政策的 Name (名稱) 和 Description (說明) (選擇性)。檢閱政策 Summary (摘要)，然後選擇 Create policy (建立政策) 以儲存工作。

8.    在顯示的政策清單中，選擇您建立的政策。

9.    選擇 Policy usage (政策使用情況) 標籤，然後選擇 Attach (附加)。

10.    從顯示的 IAM 使用者和角色清單中，為 Studio 使用者選取 SageMaker 執行角色。

11.    選擇 Attach policy (連接政策)。

如果您在完成前述步驟後嘗試設定 SageMaker Canvas 應用程式，您會收到下列錯誤：

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

---

相關資訊

Amazon SageMaker Canvas