Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
IAM ユーザーまたはロールが Amazon SageMaker Canvas を設定することを禁止するために、アクセス許可を変更する方法を教えてください。
ユーザーによる Amazon SageMaker Canvas の設定を禁止するために、AWS Identify and Access Management (IAM) と AWS IAM Identity Center ユーザーのアクセス許可を変更したいです。
解決策
アクセス許可を変更し、IAM ID が SageMaker Canvas アプリを設定できないようにするには、そのアクセス許可を拒否する IAM ポリシーを作成します。
次の手順を実行し、IAM ポリシーを SageMaker 実行ロールにアタッチします。
-
IAM コンソールを開きます。
-
ナビゲーションペインで、[ポリシー] を選択します。
-
[ポリシーの作成] を選択し、[JSON] タブを選択します。
-
ポリシーエディタに次の IAM ポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerCreateAppOperations", "Effect": "Allow", "Action": "sagemaker:CreateApp", "Resource": "*" }, { "Sid": "DenySageMakerCanvasCreateApp", "Effect": "Deny", "Action": "sagemaker:CreateApp", "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*" } ] }注: 上記のポリシーで、example-region はお使いの AWS リージョンに、1111222233334444 はお使いの AWS アカウント ID に置き換えます。さらに、example-domain は実際の SageMaker Studio のドメイン ID に、example-user-name は SageMaker Studio のユーザープロファイル名に置き換えます。
-
ポリシーの検証中に生成されたセキュリティ警告、エラー、一般的な警告を解決し、[ポリシーの確認] を選択します。
-
[次へ: タグ] を選択します。
-
[ポリシーの確認] ページで、ポリシーの名前および、必要に応じて説明を入力します。
-
ポリシーの概要を確認した後、[ポリシーを作成] を選択します。
-
ポリシーのリストで、該当するポリシーを選択します。
-
[ポリシーの使用方法] タブを選択し、[アタッチ] を選択します。
-
IAM ユーザーとロールのリストから、Studio ユーザーの SageMaker 実行ロールを選択します。
-
[ポリシーをアタッチ] を選択します。
IAM ポリシーをアタッチした後に IAM ユーザーが SageMaker Canvas アプリを設定しようとすると、次のエラーが表示されます。
"SageMaker は、関連付けられた ExecutionRole [SageMaker Studio User Execution Role] を使用してアプリを作成することはできません。関連付けられた実行ロールにアクセス許可 'sagemaker:CreateApp' があることを確認してください。"
関連するコンテンツ
- 質問済み 1ヶ月前
