Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Activa SourceIdentity en CloudTrail los registros de SageMaker AI Studio Classic

PDF
RSS
Modo de enfoque
Activa SourceIdentity en CloudTrail los registros de SageMaker AI Studio Classic - Amazon SageMaker AI
Requisitos previosActivación de sourceIdentityCierre de sourceIdentity

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Con Amazon SageMaker Studio Classic, puede supervisar el acceso a los recursos de los usuarios. Sin embargo, los registros de AWS CloudTrail de acceso a recursos solo incluyen el rol de IAM de ejecución de Studio Classic como identificador. Cuando varios perfiles de usuario comparten una sola función de IAM de ejecución, debe usar la sourceIdentity configuración para obtener información sobre el usuario específico que accedió a los AWS recursos.

En los siguientes temas se explica cómo activar o desactivar la configuración de sourceIdentity.

Requisitos previos

  • Instale y configure los AWS Command Line Interface siguientes pasos que se indican en Instalación o actualización de la última versión de. AWS CLI

  • Asegúrese de que los usuarios de Studio Classic del dominio no tengan una política que les permita actualizar o modificar el dominio. 

  • Para activar o desactivar la sourceIdentity propagación, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar las aplicaciones, consulte Shut down and Update Studio Classic Apps.

  • Si la propagación de la identidad de origen está activada, todos los roles de ejecución deben tener los siguientes permisos de política de confianza: 

    • Cualquier rol que asuma el rol de ejecución del dominio debe tener el permiso sts:SetSourceIdentity de la política de confianza. Si falta este permiso, no se podrá realizar ninguna acción con AccessDeniedException o ValidationError al llamar a la API de creación de trabajo. En el siguiente ejemplo de política de confianza se incluye el permiso sts:SetSourceIdentity.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Cuando asuma un rol con otro rol, lo que se denomina encadenamiento de roles, haga lo siguiente:

      • Se requieren permisos para sts:SetSourceIdentity tanto en la política de permisos de la entidad principal que está asumiendo el rol como en la política de confianza de rol del rol de destino. De lo contrario, la operación de rol asumido no se llevará a cabo correctamente.

      • Este encadenamiento de roles se puede producir en Studio Classic o en cualquier otro servicio descendente, como, por ejemplo, Amazon EMR. Para obtener más información sobre encadenamiento de roles, consulte Términos y conceptos de roles.

Activación de sourceIdentity

La capacidad de propagar el nombre del perfil de usuario como el valor de sourceIdentity en Studio Classic está desactivada de forma predeterminada.

Para habilitar la posibilidad de propagar el nombre del perfil de usuario como elsourceIdentity, utilícelo AWS CLI durante la creación y actualización del dominio. Esta característica está habilitada a nivel de dominio y no a nivel de perfil de usuario.

Tras habilitar esta configuración, los administradores pueden ver el perfil de usuario en el registro AWS CloudTrail del servicio al que se ha accedido. El perfil de usuario se proporciona como valor sourceIdentity en la sección userIdentity. Para obtener más información sobre el uso de AWS CloudTrail registros con SageMaker IA, consulte Registrar llamadas a la API de Amazon SageMaker AI con AWS CloudTrail.

Puede usar el siguiente código para permitir la propagación del nombre del perfil de usuario como el que aparece sourceIdentity durante la creación del dominio mediante la API create-domain. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Puede habilitar la propagación del nombre de perfil de usuario como sourceIdentity durante la actualización de dominio con la API update-domain.

Para actualizar esta configuración, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar las aplicaciones, consulte Shut down and Update Studio Classic Apps.

Utilice el siguiente código para permitir la propagación del nombre del perfil de usuario como sourceIdentity.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Cierre de sourceIdentity

También puede desactivar la propagación del nombre del perfil de usuario sourceIdentity mediante el AWS CLI. Esto ocurre durante la actualización del dominio al pasar el valor ExecutionRoleIdentityConfig=DISABLED del parámetro --domain-settings-for-update como parte de la llamada a la API update-domain.

En el AWS CLI, utilice el siguiente código para deshabilitar la propagación del nombre del perfil de usuario comosourceIdentity.

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.