Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Sagemaker Studio - 创建域名错误

0

【以下的问题经过翻译处理】 一个客户正在尝试设置 Sagemaker Studio,他按照我们发布的使用IAM进行配置的教程进行设置:https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-iam.html,但是出现了报错: User: arn:aws:iam:xxxx:user/user1 未被授权在资源arn:aws:sagemaker: us-east-2:xxxx:domain/yyyy上执行sagemaker:CreateDomain。

他在账户上具有管理员权限和AmazonSageMakerFullAccess。我们注意到AmazonSageMakerFullAccess策略实际上有一个局限性。您可以执行所有sagemaker操作,但是不能在arn为“arn:aws:sagemaker:::domain/*”的资源上执行。我们通过CLI确认了该地区没有其他域,因为你只允许有一个域,所以这不会是阻碍。同时aws sagemaker list-user-profiles没有返回用户配置文件。

有人以前看到过这个报错或者知道解决方法吗?他是否应该创建一个自定义策略来允许创建域,或者是否会有任何影响?他是否应该具有特定的权限以便可以使用IAM进行配置?

profile picture
ESPECIALISTA
feita há 5 anos57 visualizações
1 Resposta
0

【以下的回答经过翻译处理】 具有管理员权限的用户将可以使用“iam:CreateServiceLinkedRole”和“sagemaker:CreateDomain”操作,除非涉及到SCP或权限边界。无论如何,为了以有限的权限启用Amazon SageMaker Studio,我会通过浏览[使用基于身份的策略控制对 SageMaker API 的访问] (https://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/security_iam_id-based-policy-examples.html#api-access-policy)以及 Amazon SageMaker 的操作、资源和条件键的Amazon SageMaker 文档从而授予用户最小权限:

{
    "Effect": "Allow",
    "Action": "sagemaker:CreateDomain",
    "Resource": "arn:aws:sagemaker: <REGION>:<ACCOUNT-ID>:domain/*"
}

注意:一个AWS帐户在一个区域只能有一个域,请参见[CreateDomain] (https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)。

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": "sagemaker.amazonaws.com"
        }
    }
}

干杯!

profile picture
ESPECIALISTA
respondido há 5 anos

Você não está conectado. Fazer login para postar uma resposta.

Uma boa resposta responde claramente à pergunta, dá feedback construtivo e incentiva o crescimento profissional de quem perguntou.

Diretrizes para responder a perguntas