Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
如何修改权限使得 IAM 用户或角色无法设置 Amazon SageMaker Canvas?
我想修改我的 AWS Identify and Access Management (IAM) 和 AWS IAM Identity Center 用户权限,以便禁止用户设置 Amazon SageMaker Canvas。
解决方法
要修改权限以便禁止 IAM 身份设置 SageMaker Canvas 应用程序,请创建 IAM 策略以拒绝这些权限。
要将 IAM 策略附加到 SageMaker 执行角色,请完成以下步骤:
-
打开 IAM 控制台。
-
在导航窗格中,选择 Policies(策略)。
-
选择 Create policy(创建策略),然后选择 JSON 选项卡。
-
在策略编辑器中输入以下 IAM 策略:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerCreateAppOperations", "Effect": "Allow", "Action": "sagemaker:CreateApp", "Resource": "*" }, { "Sid": "DenySageMakerCanvasCreateApp", "Effect": "Deny", "Action": "sagemaker:CreateApp", "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*" } ] }**注意:**在前面的策略中,将 example-region 替换为您的 AWS 区域,将 1111222233334444 替换为您的 AWS 账户 ID。另外,将 example-domain 替换为您的 SageMaker Studio 域 ID,将 example-user-name 替换为您的 SageMaker Studio 用户配置文件名称。
-
解决策略验证期间生成的安全警告、错误或一般警告,然后选择 Review policy(查看策略)。
-
选择 Next: Tags(下一步:标签)。
-
在 Review policy(查看策略)页面上,输入策略的名称和可选描述。
-
查看策略摘要,然后选择 Create policy(创建策略)。
-
在策略列表中,选择您的策略。
-
选择 Policy usage(策略使用情况)选项卡,然后选择 Attach(附加)。
-
从 IAM 用户和角色列表中,为 Studio 用户选择 SageMaker 执行角色。
-
选择 Attach Policy(附加策略)。
如果 IAM 用户在您附加 IAM 策略后尝试设置 SageMaker Canvas 应用程序,则该用户会收到以下错误:
"SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app.Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'."
