Je souhaite modifier mes autorisations utilisateur AWS Identify and Access Management (IAM) et AWS IAM Identity Center afin que les utilisateurs ne soient pas autorisés à configurer Amazon SageMaker Canvas.
Résolution
Pour modifier les autorisations afin qu'une identité IAM ne soit pas autorisée à configurer une application SageMaker Canvas, créez une stratégie IAM qui refuse les autorisations.
Pour attacher la stratégie IAM au rôle d'exécution de SageMaker, procédez comme suit :
-
Ouvrez la console IAM.
-
Dans le volet de navigation, sélectionnez Stratégies.
-
Sélectionnez Créer une stratégie, puis choisissez l’onglet JSON.
-
Saisissez la stratégie IAM suivante dans l'éditeur de stratégies :
{ "Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerCreateAppOperations",
"Effect": "Allow",
"Action": "sagemaker:CreateApp",
"Resource": "*"
},
{
"Sid": "DenySageMakerCanvasCreateApp",
"Effect": "Deny",
"Action": "sagemaker:CreateApp",
"Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
}
]
}
Remarque : Dans la stratégie précédente, remplacez example-region par votre région AWS et 1111222233334444 par votre ID de compte AWS. Remplacez également example-domain par votre ID de domaine SageMaker Studio et example-user-name par le nom de votre profil utilisateur SageMaker Studio.
-
Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de la validation de la stratégie, puis sélectionnez Examiner une stratégie.
-
Sélectionnez Suivant : Identifications.
-
Sur la page Examiner une stratégie, saisissez un nom et une description facultative pour la stratégie.
-
Consultez le résumé de la stratégie, puis sélectionnez Créer une stratégie.
-
Dans la liste de stratégies, sélectionnez votre stratégie.
-
Cliquez sur l'onglet Utilisation de la stratégie, puis sur Attacher.
-
Dans la liste des utilisateurs et des rôles IAM, sélectionnez le rôle d'exécution de SageMaker pour l'utilisateur de Studio.
-
Sélectionnez Attacher la stratégie.
Si l'utilisateur IAM essaie de configurer une application SageMaker Canvas après avoir attaché la stratégie IAM, l'utilisateur reçoit l'erreur suivante :
« SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'. »