사용자가 Amazon SageMaker Canvas를 설정할 수 없도록 AWS Identify and Access Management(IAM) 및 AWS IAM Identity Center 사용자 권한을 수정하려고 합니다.
해결 방법
IAM 자격 증명이 SageMaker Canvas 앱을 설정할 수 없도록 권한을 수정하려면 권한을 거부하는 IAM 정책을 생성하십시오.
SageMaker 실행 역할에 IAM 정책을 연결하려면 다음 단계를 완료하십시오.
-
IAM 콘솔을 엽니다.
-
탐색 창에서 정책을 선택합니다.
-
정책 생성을 선택한 다음, JSON 탭을 선택합니다.
-
정책 편집기에 다음 IAM 정책을 입력합니다.
{ "Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerCreateAppOperations",
"Effect": "Allow",
"Action": "sagemaker:CreateApp",
"Resource": "*"
},
{
"Sid": "DenySageMakerCanvasCreateApp",
"Effect": "Deny",
"Action": "sagemaker:CreateApp",
"Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
}
]
}
참고: 위 정책에서 example-region을 AWS 리전으로 바꾸고 1111222233334444를 AWS 계정 ID로 바꾸십시오. 또한 example-domain을 SageMaker Studio 도메인 ID로 바꾸고 example-user-name을 SageMaker Studio 사용자 프로필 이름으로 바꾸십시오.
-
정책 검증 중에 생성된 보안 경고, 오류 또는 일반 경고를 해결하고 정책 검토를 선택합니다.
-
다음: 태그를 선택합니다.
-
정책 검토 페이지에서 정책의 이름과 설명(선택 사항)을 입력합니다.
-
정책 요약을 검토한 다음, 정책 생성을 선택합니다.
-
정책 목록에서 정책을 선택합니다.
-
정책 사용 탭을 선택하고 연결을 선택합니다.
-
IAM 사용자 및 역할 목록에서 Studio 사용자의 SageMaker 실행 역할을 선택합니다.
-
정책 연결을 선택합니다.
IAM 정책을 연결한 후 IAM 사용자가 SageMaker Canvas 앱을 설정하려고 하면 다음과 같은 오류가 발생합니다.
"SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'."