Ich möchte verhindern, dass Benutzer von AWS Identify and Access Management (IAM) und AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) Amazon SageMaker Canvas einrichten.
Auflösung
Um zu verhindern, dass ein IAM-Benutzer oder eine IAM-Rolle die SageMaker Canvas-App einrichtet, erstellen Sie zunächst eine IAM-Richtlinie, um die erforderlichen Berechtigungen zu verweigern. Hängen Sie dann diese Richtlinie an die SageMaker-Ausführungsrolle an.
Führen Sie die folgenden Schritte aus:
1. Öffnen Sie die IAM-Konsole.
2. Wählen Sie Richtlinien im Navigationsbereich aus.
3. Wählen Sie Richtlinie erstellen und wählen Sie dann die Registerkarte JSON.
4. Kopieren Sie die folgende IAM-Richtlinie und fügen Sie sie im Richtlinien-Editor ein:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerCreateAppOperations",
"Effect": "Allow",
"Action": "sagemaker:CreateApp",
"Resource": "*"
},
{
"Sid": "DenySageMakerCanvasCreateApp",
"Effect": "Deny",
"Action": "sagemaker:CreateApp",
"Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
}
]
}
Ersetzen Sie in der Richtlinie unbedingt Folgendes:
- example-region mit der Region Ihrer Wahl.
- 1111222233334444 durch Ihre Konto-ID.
- Beispieldomäne mit Ihrer SageMaker Studio-Domain-ID.
- Beispiel-Benutzername mit Ihrem SageMaker Studio-Benutzerprofilnamen.
5. Lösen Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung generiert wurden, und wählen Sie dann Richtlinie überprüfen aus.
6. Wählen Sie Weiter: Tags aus.
7. Geben Sie auf der Seite Richtlinie überprüfen einen Namen und eine Beschreibung (optional) für die Richtlinie ein, die Sie erstellen. Überprüfen Sie die Zusammenfassung der Richtlinie, und wählen Sie dann Richtlinie erstellen, um Ihre Arbeit zu speichern.
8. Wählen Sie in der Liste der angezeigten Richtlinien die Richtlinie aus, die Sie erstellt haben.
9. Wählen Sie die Registerkarte Richtliniennutzung und dann Anhängen aus.
10. Wählen Sie in der angezeigten Liste der IAM-Benutzer und -Rollen die SageMaker-Ausführungsrolle für den Studio-Benutzer aus.
11. Wählen Sie Richtlinie anfügen aus.
Wenn Sie versuchen, die SageMaker Canvas-App einzurichten, nachdem Sie die vorherigen Schritte ausgeführt haben, wird die folgende Fehlermeldung angezeigt:
SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.
Relevante Informationen
Amazon SageMaker Canvas