IAM 사용자 또는 역할이 Amazon SageMaker Canvas를 설정할 수 없도록 권한을 수정하려면 어떻게 해야 합니까?

해결 방법

IAM 자격 증명이 SageMaker Canvas 앱을 설정할 수 없도록 권한을 수정하려면 권한을 거부하는 IAM 정책을 생성하십시오.

SageMaker 실행 역할에 IAM 정책을 연결하려면 다음 단계를 완료하십시오.

1. IAM 콘솔을 엽니다.

2. 탐색 창에서 정책을 선택합니다.

3. 정책 생성을 선택한 다음, JSON 탭을 선택합니다.

4. 정책 편집기에 다음 IAM 정책을 입력합니다.

   {  "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowSageMakerCreateAppOperations",
         "Effect": "Allow",
         "Action": "sagemaker:CreateApp",
         "Resource": "*"
       },
       {
         "Sid": "DenySageMakerCanvasCreateApp",
         "Effect": "Deny",
         "Action": "sagemaker:CreateApp",
         "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
       }
     ]
   }

   참고: 위 정책에서 example-region을 AWS 리전으로 바꾸고 1111222233334444를 AWS 계정 ID로 바꾸십시오. 또한 example-domain을 SageMaker Studio 도메인 ID로 바꾸고 example-user-name을 SageMaker Studio 사용자 프로필 이름으로 바꾸십시오.

5. 정책 검증 중에 생성된 보안 경고, 오류 또는 일반 경고를 해결하고 정책 검토를 선택합니다.

6. 다음: 태그를 선택합니다.

7. 정책 검토 페이지에서 정책의 이름과 설명(선택 사항)을 입력합니다.

8. 정책 요약을 검토한 다음, 정책 생성을 선택합니다.

9. 정책 목록에서 정책을 선택합니다.

10. 정책 사용 탭을 선택하고 연결을 선택합니다.

11. IAM 사용자 및 역할 목록에서 Studio 사용자의 SageMaker 실행 역할을 선택합니다.

12. 정책 연결을 선택합니다.

IAM 정책을 연결한 후 IAM 사용자가 SageMaker Canvas 앱을 설정하려고 하면 다음과 같은 오류가 발생합니다.

"SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'."