使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何修改權限,以使 IAM 使用者或角色無法設定 Amazon SageMaker Canvas?

1 分的閱讀內容
0

我想修改 AWS Identity and Access Management (AWS IAM) 和 AWS IAM Identity Center 使用者權限,以便不允許使用者設定 Amazon SageMaker Canvas。

解決方法

若要修改權限以使不允許 IAM 身分設定 SageMaker Canvas 應用程式,請建立拒絕權限的 IAM 政策

若要將 IAM 政策附加至 SageMaker 執行角色,請完成下列步驟:

  1. 開啟 IAM console (IAM 主控台)。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策),然後選擇 JSON 索引標籤。

  4. 在政策編輯器中輸入下列 IAM 政策:

    {  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
    }
  ]
}

    **注意:**在上述政策中,請使用 AWS 區域取代 example-region,以及使用 AWS 帳戶 ID 取代 1111222233334444。此外,請使用 SageMaker Studio 網域 ID 取代 example-domain,並且使用 SageMaker Studio 使用者設定檔名稱取代 example-user-name

  5. 解決政策驗證期間產生的安全性警告、錯誤或一般警告,然後選擇 Review policy (檢閱政策)。

  6. 選擇 Next: Tags (下一步:標籤)。

  7. 檢閱政策頁面上,輸入政策的名稱和選用描述。

  8. 檢閱政策摘要,然後選擇 Create policy (建立政策)。

  9. 在政策清單中,選取您的政策。

  10. 選擇 Policy usage (政策使用) 索引標籤,然後選擇 Attach (附加)。

  11. 從 IAM 使用者和角色清單中,選取 Studio 使用者的 SageMaker 執行角色。

  12. 選擇 Attach policy (附加政策)。

如果 IAM 使用者在您附加 IAM 政策之後嘗試設定 SageMaker Canvas 應用程式,則使用者會收到下列錯誤:

"SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app.Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'."

主題
機器學習與 AI
標籤
Amazon SageMaker
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 8 個月前
沒有評論

相關內容