Comment puis-je modifier les autorisations afin qu'un utilisateur ou un rôle IAM ne puisse pas configurer Amazon SageMaker Canvas ?

Lecture de 2 minute(s)
0

Je souhaite modifier mes autorisations utilisateur AWS Identify and Access Management (IAM) et AWS IAM Identity Center afin que les utilisateurs ne soient pas autorisés à configurer Amazon SageMaker Canvas.

Résolution

Pour modifier les autorisations afin qu'une identité IAM ne soit pas autorisée à configurer une application SageMaker Canvas, créez une stratégie IAM qui refuse les autorisations.

Pour attacher la stratégie IAM au rôle d'exécution de SageMaker, procédez comme suit :

  1. Ouvrez la console IAM.

  2. Dans le volet de navigation, sélectionnez Stratégies.

  3. Sélectionnez Créer une stratégie, puis choisissez l’onglet JSON.

  4. Saisissez la stratégie IAM suivante dans l'éditeur de stratégies :

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "AllowSageMakerCreateAppOperations",
          "Effect": "Allow",
          "Action": "sagemaker:CreateApp",
          "Resource": "*"
        },
        {
          "Sid": "DenySageMakerCanvasCreateApp",
          "Effect": "Deny",
          "Action": "sagemaker:CreateApp",
          "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
        }
      ]
    }

    Remarque : Dans la stratégie précédente, remplacez example-region par votre région AWS et 1111222233334444 par votre ID de compte AWS. Remplacez également example-domain par votre ID de domaine SageMaker Studio et example-user-name par le nom de votre profil utilisateur SageMaker Studio.

  5. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de la validation de la stratégie, puis sélectionnez Examiner une stratégie.

  6. Sélectionnez Suivant : Identifications.

  7. Sur la page Examiner une stratégie, saisissez un nom et une description facultative pour la stratégie.

  8. Consultez le résumé de la stratégie, puis sélectionnez Créer une stratégie.

  9. Dans la liste de stratégies, sélectionnez votre stratégie.

  10. Cliquez sur l'onglet Utilisation de la stratégie, puis sur Attacher.

  11. Dans la liste des utilisateurs et des rôles IAM, sélectionnez le rôle d'exécution de SageMaker pour l'utilisateur de Studio.

  12. Sélectionnez Attacher la stratégie.

Si l'utilisateur IAM essaie de configurer une application SageMaker Canvas après avoir attaché la stratégie IAM, l'utilisateur reçoit l'erreur suivante :

« SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'. »

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois