Wie ändere ich Berechtigungen, sodass ein IAM-Benutzer oder eine IAM-Rolle Amazon SageMaker Canvas nicht einrichten kann?

Lesedauer: 2 Minute

Ich möchte meine Benutzerberechtigungen für AWS Identify and Access Management (IAM, Identitäts- und Zugriffsmanagement) und AWS IAM Identity Center so ändern, dass Benutzer Amazon SageMaker Canvas nicht einrichten dürfen.

Lösung

Um Berechtigungen so zu ändern, dass eine IAM-Identität keine SageMaker Canvas-App einrichten darf, erstelle eine IAM-Richtlinie, die die Berechtigungen verweigert.

Gehe wie folgt vor, um die IAM-Richtlinie an die SageMaker-Ausführungsrolle anzufügen:

Öffne die IAM-Konsole.
Wähle im Navigationsbereich Richtlinien aus.
Wähle Richtlinie erstellen und dann die Registerkarte JSON aus.

Gib die folgende IAM-Richtlinie in den Richtlinien-Editor ein:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
    }
  ]
}

Hinweis: Ersetze in der vorherigen Richtlinie example-region durch deine AWS-Region und 1111222233334444 durch deine AWS-Konto-ID. Ersetze außerdem example-domain durch deine SageMaker Studio-Domain-ID und example-user-name durch deinen SageMaker Studio-Benutzerprofilnamen.

Behebe Sicherheitswarnungen, Fehler oder allgemeine Warnungen, die während der Richtlinienvalidierung generiert wurden, und wähle dann Richtlinie überprüfen aus.
Wähle Weiter: Tags.
Gib auf der Seite Richtlinie überprüfen einen Namen und eine optionale Beschreibung für die Richtlinie ein.
Prüfe die Richtlinienzusammenfassung und wähle dann Richtlinie erstellen aus.
Wähle in der Liste der Richtlinien deine Richtlinie aus.
Wähle die Registerkarte Policy usage (Richtliniennutzung) und dann Anfügen.
Wähle aus der Liste der IAM-Benutzer und -Rollen die SageMaker-Ausführungsrolle für den Studio-Benutzer aus.
Wähle Richtlinie anfügen.

Wenn der IAM-Benutzer versucht, eine SageMaker Canvas-App einzurichten, nachdem du die IAM-Richtlinie angefügt hast, erhält der Benutzer die folgende Fehlermeldung:

„SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.“

Themen

Maschinelles Lernen & KI

Relevanter Inhalt

Wie konfiguriere ich eine Lambda-Funktion so, dass sie eine IAM-Rolle in einem anderen AWS-Konto übernimmt?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich die Fehler „Berechtigung verweigert“ oder „Modul kann nicht importiert werden“ beim Hochladen eines Lambda-Bereitstellungspakets?
AWS OFFICIALAktualisiert vor einem Jahr
Welche IAM-Berechtigungen sind mindestens erforderlich, um die Kommunikation zwischen Amazon Lightsail und anderen AWS-Services über VPC-Peering einzurichten?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Verbindungsfehler, wenn ich Eingabedaten für einen Amazon-SageMaker-Ground-Truth-Beschriftungsauftrag einrichte?
AWS OFFICIALAktualisiert vor 2 Jahren