Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillez l'accès aux ressources utilisateur individuelles depuis SageMaker Studio Classic avec sourceIdentity
Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Pour afficher l'activité d'accès aux ressources, vous pouvez configurer AWS CloudTrail pour surveiller et enregistrer les activités des utilisateurs en suivant les étapes décrites dans Log Amazon SageMaker API Calls with AWS CloudTrail.
Toutefois, les AWS CloudTrail journaux d'accès aux ressources indiquent uniquement le IAM rôle d'exécution de Studio Classic comme identifiant. Ce niveau de journalisation est suffisant pour auditer l'activité des utilisateurs lorsque chaque profil utilisateur possède un rôle d'exécution distinct. Toutefois, lorsqu'un IAM rôle d'exécution unique est partagé entre plusieurs profils utilisateur, vous ne pouvez pas obtenir d'informations sur l'utilisateur spécifique qui a accédé aux AWS ressources.
Vous pouvez obtenir des informations sur l'utilisateur spécifique qui a effectué une action dans un AWS CloudTrail journal lorsque vous utilisez un rôle d'exécution partagé, en utilisant la sourceIdentity configuration pour propager le nom du profil utilisateur Studio Classic. Pour plus d'informations sur l'identité source, consultez Surveiller et contrôler les actions prises avec les rôles endossés. Pour sourceIdentity activer ou désactiver vos CloudTrail journaux, consultezActiver sourceIdentity les CloudTrail journaux pour SageMaker Studio Classic.
Considérations relatives à l'utilisation de sourceIdentity
Lorsque vous passez des AWS API appels depuis des blocs-notes Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler, ils ne sont enregistrés que sourceIdentity CloudTrail s'ils sont effectués à l'aide de la session de rôle d'exécution Studio Classic ou de tout autre rôle enchaîné issu de cette session.
Lorsque ces API appels invoquent d'autres services pour effectuer des opérations supplémentaires, la sourceIdentity journalisation dépend de l'implémentation spécifique des services invoqués.
-
Amazon SageMaker Processing : lorsque vous créez une tâche à l'aide de ces fonctionnalités, la création de la tâche APIs n'est pas en mesure d'ingérer le
sourceIdentitycontenu de la session. Par conséquent, les AWS API appels effectués à partir de ces tâches ne sont pas enregistréssourceIdentitydans les CloudTrail journaux. -
Amazon SageMaker Training : lorsque vous créez un poste de formation, celui-ci peut intégrer le contenu
sourceIdentityde la session. APIs Par conséquent, tous les AWS API appels effectués à partir de ces tâches sont enregistréssourceIdentitydans les CloudTrail journaux. -
Amazon SageMaker Pipelines : lorsque vous créez des tâches à l'aide de pipelines CI/CD automatisés, elles
sourceIdentityse propagent en aval et peuvent être consultées dans les journaux. CloudTrail -
Amazon EMR : lorsqu'ils se connectent à Amazon EMR depuis Studio Classic à l'aide de rôles d'exécution, les administrateurs doivent définir le PropagateSourceIdentity champ de manière explicite. Cela garantit qu'Amazon EMR applique les informations d'identification
sourceIdentityde l'appel à une tâche ou à une session de requête. EllessourceIdentitysont ensuite enregistrées dans CloudTrail des journaux.
Note
Les exceptions suivantes s'appliquent avec sourceIdentity.
-
SageMaker Les espaces partagés Studio Classic ne prennent pas en charge
sourceIdentityle transfert. AWS APIles appels effectués depuis des espaces SageMaker partagés ne sont pas enregistréssourceIdentitydans CloudTrail les journaux. -
Si les AWS API appels sont effectués à partir de sessions créées par des utilisateurs ou d'autres services et que les sessions ne sont pas basées sur la session de rôle d'exécution de Studio Classic, ils ne
sourceIdentitysont pas enregistrés dans CloudTrail les journaux.
