Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Sagemaker Studio - 创建域名错误

0

【以下的问题经过翻译处理】 一个客户正在尝试设置 Sagemaker Studio,他按照我们发布的使用IAM进行配置的教程进行设置:https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-iam.html,但是出现了报错: User: arn:aws:iam:xxxx:user/user1 未被授权在资源arn:aws:sagemaker: us-east-2:xxxx:domain/yyyy上执行sagemaker:CreateDomain。

他在账户上具有管理员权限和AmazonSageMakerFullAccess。我们注意到AmazonSageMakerFullAccess策略实际上有一个局限性。您可以执行所有sagemaker操作,但是不能在arn为“arn:aws:sagemaker:::domain/*”的资源上执行。我们通过CLI确认了该地区没有其他域,因为你只允许有一个域,所以这不会是阻碍。同时aws sagemaker list-user-profiles没有返回用户配置文件。

有人以前看到过这个报错或者知道解决方法吗?他是否应该创建一个自定义策略来允许创建域,或者是否会有任何影响?他是否应该具有特定的权限以便可以使用IAM进行配置?

profile picture
EXPERTE
gefragt vor 5 Jahren57 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 具有管理员权限的用户将可以使用“iam:CreateServiceLinkedRole”和“sagemaker:CreateDomain”操作,除非涉及到SCP或权限边界。无论如何,为了以有限的权限启用Amazon SageMaker Studio,我会通过浏览[使用基于身份的策略控制对 SageMaker API 的访问] (https://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/security_iam_id-based-policy-examples.html#api-access-policy)以及 Amazon SageMaker 的操作、资源和条件键的Amazon SageMaker 文档从而授予用户最小权限:

{
    "Effect": "Allow",
    "Action": "sagemaker:CreateDomain",
    "Resource": "arn:aws:sagemaker: <REGION>:<ACCOUNT-ID>:domain/*"
}

注意:一个AWS帐户在一个区域只能有一个域,请参见[CreateDomain] (https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)。

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": "sagemaker.amazonaws.com"
        }
    }
}

干杯!

profile picture
EXPERTE
beantwortet vor 5 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen