IAM 사용자 또는 역할이 Amazon SageMaker Canvas를 설정하지 못하도록 하려면 어떻게 해야 합니까?

해결 방법

IAM 사용자 또는 역할이 SageMaker Canvas 앱을 설정하지 못하도록 하려면 먼저 필요한 권한을 거부하는 IAM 정책을 생성합니다. 그런 다음 이 정책을 SageMaker 실행 역할에 연결합니다.

다음을 수행합니다.

1.    IAM 콘솔을 엽니다.

2.    탐색 창에서 [정책(Policies)]을 선택합니다.

3.    [정책 생성(Create policy)]을 선택하고 [JSON] 탭을 선택합니다.

4.    다음 IAM 정책을 복사하여 정책 편집기에 붙여 넣습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
    }
  ]
}

정책에서 다음 항목을 바꿔야 합니다.

• example-region을 사용자 선택 리전으로 변경
• 1111222233334444를 계정 ID로 변경.
• example-domain을 SageMaker Studio 도메인 ID로 변경.
• example-user-name을 SageMaker Studio 사용자 프로필 이름으로 변경.

5.    정책을 검증하는 동안 생성된 보안 경고, 오류 또는 일반 경고를 모두 해결한 다음 [정책 검토(Review policy)]를 선택합니다.

6.    다음: 태그를 선택합니다.

7.    [정책 검토(Review policy)] 페이지에서 생성하려는 정책의 이름 및 설명(선택 사항)을 입력합니다. 정책 요약을 검토한 다음 [정책 생성(Create policy)]을 선택하여 작업 내용을 저장합니다.

8.    표시된 정책 목록에서 생성한 정책을 선택합니다.

9.    정책 사용(Policy usage) 탭을 선택한 다음 **연결(Attach)**을 선택합니다.

10.    나타나는 IAM 사용자 및 역할 목록에서 Studio 사용자의 SageMaker 실행 역할을 선택합니다.

11.    **정책 연결(Attach policy)**을 선택합니다.

이전 단계를 완료한 후 SageMaker Canvas 앱을 설정하려고 하면 다음 오류가 발생합니다.

SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.

---

관련 정보

Amazon SageMaker Canvas