Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Supervise el acceso a los recursos de los usuarios individuales desde SageMaker AI Studio Classic con SourceIdentity
Con Amazon SageMaker Studio Classic, puede supervisar el acceso a los recursos de los usuarios. Para ver la actividad de acceso a los recursos, puedes configurar AWS CloudTrail el monitoreo y registro de las actividades de los usuarios siguiendo los pasos que se indican en Registrar llamadas a la SageMaker API de Amazon con AWS CloudTrail.
Sin embargo, los AWS CloudTrail registros de acceso a los recursos solo incluyen la función de IAM de ejecución de Studio Classic como identificador. Este nivel de registro es suficiente para auditar la actividad del usuario cuando cada perfil de usuario tiene un rol de ejecución distinta. Sin embargo, cuando varios perfiles de usuario comparten una sola función de IAM de ejecución, no se puede obtener información sobre el usuario específico que accedió a los AWS recursos.
Puede obtener más información sobre el usuario que ha realizado una acción en un registro de AWS CloudTrail al utilizar un rol de ejecución compartido mediante la configuración sourceIdentity para propagar el nombre del perfil de usuario de Studio Classic. Para obtener más información sobre la identidad de fuente, consulte Monitorización y control de las acciones realizadas con roles asumidos. Para sourceIdentity activar o desactivar los CloudTrail registros, consulteActiva SourceIdentity en CloudTrail los registros de SageMaker AI Studio Classic.
Aspectos que se deben tener en cuenta al usar sourceIdentity
Cuando realizas llamadas a la AWS API desde cuadernos de Studio Classic, SageMaker Canvas o Amazon SageMaker Data Wrangler, solo sourceIdentity se graba CloudTrail si esas llamadas se realizan mediante la sesión del rol de ejecución de Studio Classic o cualquier rol encadenado de esa sesión.
Cuando estas llamadas a la API invocan otros servicios para realizar operaciones adicionales, el sourceIdentity registro depende de la implementación específica de los servicios invocados.
-
Amazon SageMaker Processing: cuando creas un trabajo con estas funciones, la creación APIs de trabajo no puede ingerir lo
sourceIdentityque existe en la sesión. Como resultado, las llamadas a la AWS API realizadas desde estos trabajos no se registransourceIdentityen los CloudTrail registros. -
Amazon SageMaker Training: cuando creas un trabajo de formación, la creación APIs de empleo puede asimilar lo
sourceIdentityque existe en la sesión. Como resultado, cualquier llamada a la AWS API realizada desde estos trabajos se registrasourceIdentityen los CloudTrail registros. -
Amazon SageMaker Pipelines: cuando crea trabajos mediante canalizaciones de CI/CD automatizadas,
sourceIdentityse propaga en sentido descendente y se puede ver en los registros. CloudTrail -
Amazon EMR: al conectarse a Amazon EMR desde Studio Classic mediante roles de tiempo de ejecución, los administradores deben configurar el campo de forma explícita. PropagateSourceIdentity Esto garantiza que Amazon EMR aplique las credenciales
sourceIdentityde llamada a una sesión de trabajo o consulta. A continuación,sourceIdentityse registra en CloudTrail los registros.
nota
Se aplican las siguientes excepciones al utilizar sourceIdentity.
-
SageMaker Los espacios compartidos de Studio Classic no admiten el
sourceIdentityacceso directo. AWS Las llamadas a la API realizadas desde los espacios compartidos de SageMaker IA no se registransourceIdentityen CloudTrail los registros. -
Si las llamadas a la AWS API se realizan desde sesiones creadas por los usuarios u otros servicios y las sesiones no se basan en la sesión del rol de ejecución de Studio Classic, no
sourceIdentityse registran en CloudTrail los registros.
