Quero impedir que usuários do AWS Identify and Access Management (IAM) e do AWS IAM Identity Center (sucessor do AWS Single Sign-On) configurem o Amazon SageMaker Canvas.
Resolução
Para impedir que um usuário ou perfil do IAM configure a aplicação SageMaker Canvas, primeiro crie uma política do IAM para negar as permissões necessárias. Em seguida, anexe essa política ao perfil de execução do SageMaker.
Faça o seguinte:
1. Abra o console do IAM.
2. No painel de navegação, selecione Policies (Políticas).
3. Escolha Create policy (Criar política) e, em seguida, escolha a guia JSON.
4. Copie e cole a seguinte política do IAM no editor de políticas:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerCreateAppOperations",
"Effect": "Allow",
"Action": "sagemaker:CreateApp",
"Resource": "*"
},
{
"Sid": "DenySageMakerCanvasCreateApp",
"Effect": "Deny",
"Action": "sagemaker:CreateApp",
"Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/canvas/*"
}
]
}
Certifique-se de substituir o seguinte na política:
- example-region com a região de sua escolha.
- 1111222233334444 pelo ID da sua conta
- example-domain com seu ID de domínio do SageMaker Studio.
- example-user-name com seu nome de perfil de usuário do SageMaker Studio.
5. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e, em seguida, escolha Review policy (Revisar política).
6. Escolha Próximo: etiquetas.
7. Na página Review policy (Revisar política), insira um Nome e uma Descrição (opcional) para a política que você está criando. Revise o resumo da política e escolha Create policy (Criar política) para salvar seu trabalho.
8. Na lista de políticas exibida, escolha a política que você criou.
9. Escolha a guia Policy usage (Uso da política) e, em seguida, escolha Attach (Anexar).
10. Na lista exibida de usuários e perfis do IAM, selecione o perfil de execução do SageMaker para o usuário do Studio.
11. Escolha Attach policy (Anexar política).
Se você tentar configurar a aplicação SageMaker Canvas depois de concluir as etapas anteriores, receberá o seguinte erro:
SageMaker is unable to use your associated ExecutionRole [<SageMaker Studio User Execution Role>] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.
Informações relacionadas
Amazon SageMaker Canvas