我想阻止 AWS Identify and Access Management(IAM)用户和 AWS IAM Identity Center(AWS Single Sign-On 的后续者)用户设置 Amazon SageMaker Canvas。
解决方法
要阻止 IAM 用户或角色设置 SageMaker Canvas 应用程序,请先创建 IAM policy 以拒绝所需的权限。然后,将此策略附加到 SageMaker 执行角色。
执行以下操作:
1. 打开 IAM console(IAM 控制台)。
2. 在导航窗格中,选择 Policies(策略)。
3. 选择 Create policy(创建策略),然后选择 JSON 选项卡。
4. 将以下 IAM policy 复制并粘贴到策略编辑器中:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerCreateAppOperations",
"Effect": "Allow",
"Action": "sagemaker:CreateApp",
"Resource": "*"
},
{
"Sid": "DenySageMakerCanvasCreateApp",
"Effect": "Deny",
"Action": "sagemaker:CreateApp",
"Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
}
]
}
请务必在策略中替换以下内容:
- 将 example-region 替换为您选择的区域
- 将 1111222233334444 替换为您的账户 ID。
- 将 example-domain 替换为您的 SageMaker Studio 域 ID。
- 将 example-user-name 替换为您的 SageMaker Studio 用户配置文件名称。
5. 解决策略验证期间生成的任何安全警告、错误或一般警告,然后选择Review policy(查看策略)。
6. 选择下一步:标签。
7. 在 Review policy(查看策略)页面上,输入您创建的策略的 Name(名称)和 Description(描述)(可选)。查看策略 Summary(摘要),然后选择 Create policy(创建策略)以保存您的工作。
8. 在显示的策略列表中,选择您创建的策略。
9. 选择 Policy usage(策略用法)选项卡,然后选择 Attach(附加)。
10. 从显示的 IAM 用户和角色列表中,为 Studio 用户选择 SageMaker 执行角色。
11. 选择 Attach Policy(附加策略)。
如果您在完成上述步骤后尝试设置 SageMaker Canvas 应用程序,则会出现以下错误:
SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.
相关信息
Amazon SageMaker Canvas