Wie verhindere ich, dass ein IAM-Benutzer oder eine IAM-Rolle Amazon SageMaker Canvas einrichtet?

Lesedauer: 2 Minute

Ich möchte verhindern, dass Benutzer von AWS Identify and Access Management (IAM) und AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) Amazon SageMaker Canvas einrichten.

Auflösung

Um zu verhindern, dass ein IAM-Benutzer oder eine IAM-Rolle die SageMaker Canvas-App einrichtet, erstellen Sie zunächst eine IAM-Richtlinie, um die erforderlichen Berechtigungen zu verweigern. Hängen Sie dann diese Richtlinie an die SageMaker-Ausführungsrolle an.

Führen Sie die folgenden Schritte aus:

1. Öffnen Sie die IAM-Konsole.

2. Wählen Sie Richtlinien im Navigationsbereich aus.

3. Wählen Sie Richtlinie erstellen und wählen Sie dann die Registerkarte JSON.

4. Kopieren Sie die folgende IAM-Richtlinie und fügen Sie sie im Richtlinien-Editor ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

Ersetzen Sie in der Richtlinie unbedingt Folgendes:

example-region mit der Region Ihrer Wahl.
1111222233334444 durch Ihre Konto-ID.
Beispieldomäne mit Ihrer SageMaker Studio-Domain-ID.
Beispiel-Benutzername mit Ihrem SageMaker Studio-Benutzerprofilnamen.

5. Lösen Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung generiert wurden, und wählen Sie dann Richtlinie überprüfen aus.

6. Wählen Sie Weiter: Tags aus.

7. Geben Sie auf der Seite Richtlinie überprüfen einen Namen und eine Beschreibung (optional) für die Richtlinie ein, die Sie erstellen. Überprüfen Sie die Zusammenfassung der Richtlinie, und wählen Sie dann Richtlinie erstellen, um Ihre Arbeit zu speichern.

8. Wählen Sie in der Liste der angezeigten Richtlinien die Richtlinie aus, die Sie erstellt haben.

9. Wählen Sie die Registerkarte Richtliniennutzung und dann Anhängen aus.

10. Wählen Sie in der angezeigten Liste der IAM-Benutzer und -Rollen die SageMaker-Ausführungsrolle für den Studio-Benutzer aus.

11. Wählen Sie Richtlinie anfügen aus.

Wenn Sie versuchen, die SageMaker Canvas-App einzurichten, nachdem Sie die vorherigen Schritte ausgeführt haben, wird die folgende Fehlermeldung angezeigt:

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

Relevante Informationen

Amazon SageMaker Canvas

Themen

Maschinelles Lernen & KI

Relevanter Inhalt

Warum zeigt CloudWatch an, dass die CPU- oder GPU-Auslastung meines Amazon SageMaker-Endpoints über 100% liegt?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich verhindern, dass der Benutzercache eines Hadoop- oder Spark-Jobs zu viel Speicherplatz in Amazon EMR beansprucht?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie verhindere ich, dass Sicherheitsgruppenregeln, Listener oder andere Änderungen auf einem Load Balancer in Amazon EKS rückgängig gemacht werden?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verhindere ich, dass die Ressourcen in meinem CloudFormation-Stack gelöscht oder aktualisiert werden?
AWS OFFICIALAktualisiert vor 2 Jahren