1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 具有管理员权限的用户将可以使用“iam:CreateServiceLinkedRole”和“sagemaker:CreateDomain”操作,除非涉及到SCP或权限边界。无论如何,为了以有限的权限启用Amazon SageMaker Studio,我会通过浏览[使用基于身份的策略控制对 SageMaker API 的访问] (https://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/security_iam_id-based-policy-examples.html#api-access-policy)以及 Amazon SageMaker 的操作、资源和条件键的Amazon SageMaker 文档从而授予用户最小权限:
{
"Effect": "Allow",
"Action": "sagemaker:CreateDomain",
"Resource": "arn:aws:sagemaker: <REGION>:<ACCOUNT-ID>:domain/*"
}
注意:一个AWS帐户在一个区域只能有一个域,请参见[CreateDomain] (https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)。
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker.amazonaws.com"
}
}
}
干杯!
관련 콘텐츠
- AWS 공식업데이트됨 일 년 전