AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

Sagemaker Studio - 创建域名错误

0

【以下的问题经过翻译处理】 一个客户正在尝试设置 Sagemaker Studio,他按照我们发布的使用IAM进行配置的教程进行设置:https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-iam.html,但是出现了报错: User: arn:aws:iam:xxxx:user/user1 未被授权在资源arn:aws:sagemaker: us-east-2:xxxx:domain/yyyy上执行sagemaker:CreateDomain。

他在账户上具有管理员权限和AmazonSageMakerFullAccess。我们注意到AmazonSageMakerFullAccess策略实际上有一个局限性。您可以执行所有sagemaker操作,但是不能在arn为“arn:aws:sagemaker:::domain/*”的资源上执行。我们通过CLI确认了该地区没有其他域,因为你只允许有一个域,所以这不会是阻碍。同时aws sagemaker list-user-profiles没有返回用户配置文件。

有人以前看到过这个报错或者知道解决方法吗?他是否应该创建一个自定义策略来允许创建域,或者是否会有任何影响?他是否应该具有特定的权限以便可以使用IAM进行配置?

profile picture
전문가
질문됨 5년 전57회 조회
1개 답변
0

【以下的回答经过翻译处理】 具有管理员权限的用户将可以使用“iam:CreateServiceLinkedRole”和“sagemaker:CreateDomain”操作,除非涉及到SCP或权限边界。无论如何,为了以有限的权限启用Amazon SageMaker Studio,我会通过浏览[使用基于身份的策略控制对 SageMaker API 的访问] (https://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/security_iam_id-based-policy-examples.html#api-access-policy)以及 Amazon SageMaker 的操作、资源和条件键的Amazon SageMaker 文档从而授予用户最小权限:

{
    "Effect": "Allow",
    "Action": "sagemaker:CreateDomain",
    "Resource": "arn:aws:sagemaker: <REGION>:<ACCOUNT-ID>:domain/*"
}

注意:一个AWS帐户在一个区域只能有一个域,请参见[CreateDomain] (https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)。

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": "sagemaker.amazonaws.com"
        }
    }
}

干杯!

profile picture
전문가
답변함 5년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠