Activa sourceIdentity los CloudTrail registros de SageMaker Studio Classic - Amazon SageMaker
Requisitos previosActivar sourceIdentityDesactivar sourceIdentity

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activa sourceIdentity los CloudTrail registros de SageMaker Studio Classic

Con Amazon SageMaker Studio Classic, puede supervisar el acceso a los recursos de los usuarios. Sin embargo, los AWS CloudTrail registros de acceso a los recursos solo incluyen la IAM función de ejecución de Studio Classic como identificador. Cuando varios perfiles de usuario comparten una sola IAM función de ejecución, debe usar la sourceIdentity configuración para obtener información sobre el usuario específico que accedió a los AWS recursos.

En los temas siguientes se explica cómo activar o desactivar la sourceIdentity configuración.

Requisitos previos

  • Instale y configure los AWS Command Line Interface siguientes pasos que se indican en Instalación o actualización de la versión más reciente de AWS CLI.

  • Asegúrese de que los usuarios de Studio Classic de su dominio no tengan una política que les permita actualizar o modificar el dominio. 

  • Para activar o desactivar la sourceIdentity propagación, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar aplicaciones, consulta Cerrar y actualizar aplicaciones de Studio Classic.

  • Si la propagación de la identidad de origen está activada, todas las funciones de ejecución deben tener los siguientes permisos de política de confianza: 

    • Cualquier función que asuma la función de ejecución del dominio debe tener el sts:SetSourceIdentity permiso de la política de confianza. Si falta este permiso, sus acciones fallarán ValidationError cuando solicite la creación de empleo AccessDeniedException o cuando la soliciteAPI. El siguiente ejemplo de política de confianza incluye el sts:SetSourceIdentity permiso.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Cuando asuma un rol con otro rol, lo que se denomina encadenamiento de roles, haga lo siguiente:

      • Se requieren permisos para sts:SetSourceIdentity tanto en la política de permisos de la entidad principal que está asumiendo el rol como en la política de confianza de rol del rol de destino. De lo contrario, la operación de rol asumido no se llevará a cabo correctamente.

      • Este encadenamiento de roles se puede producir en Studio Classic o en cualquier otro servicio derivado, como Amazon. EMR Para obtener más información sobre encadenamiento de roles, consulte Términos y conceptos de roles.

Activar sourceIdentity

La posibilidad de propagar el nombre del perfil de usuario como sourceIdentity en Studio Classic está desactivada de forma predeterminada.

Para habilitar la posibilidad de propagar el nombre del perfil de usuario como elsourceIdentity, utilícelo AWS CLI durante la creación y actualización del dominio. Esta característica está habilitada a nivel de dominio y no a nivel de perfil de usuario.

Tras habilitar esta configuración, los administradores pueden ver el perfil de usuario en el registro AWS CloudTrail del servicio al que se ha accedido. El perfil de usuario se proporciona como valor sourceIdentity en la sección userIdentity. Para obtener más información sobre el uso de AWS CloudTrail registros con SageMaker, consulta Registrar SageMaker API llamadas de Amazon con AWS CloudTrail.

Puede utilizar el siguiente código para permitir la propagación del nombre del perfil de usuario como el que aparece sourceIdentity durante la creación del dominio mediante el create-domainAPI. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Puede activar la propagación del nombre del perfil de usuario sourceIdentity durante la actualización del dominio mediante el update-domainAPI.

Para actualizar esta configuración, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar aplicaciones, consulte Apagar y actualizar las aplicaciones clásicas de Studio.

Utilice el siguiente código para permitir la propagación del nombre del perfil de usuario como sourceIdentity.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Desactivar sourceIdentity

También puede desactivar la propagación del nombre del perfil de usuario sourceIdentity mediante el AWS CLI. Esto ocurre durante la actualización del dominio al pasar el ExecutionRoleIdentityConfig=DISABLED valor del --domain-settings-for-update parámetro como parte de la update-domain API llamada.

En el AWS CLI, utilice el siguiente código para deshabilitar la propagación del nombre del perfil de usuario comosourceIdentity.

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]