Prérequis Considérations relatives à l'utilisation de sourceIdentity Activer sourceIdentity Désactivation de sourceIdentity

Surveillance de l'accès aux ressources utilisateur depuis Amazon SageMaker Studio Classic

Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Pour afficher l'activité d'accès aux ressources, vous pouvez configurer AWS CloudTrail pour surveiller et enregistrer les activités des utilisateurs en suivant les étapes décrites dans Log Amazon SageMaker API Calls with AWS CloudTrail.

Cependant, le AWS CloudTrail les journaux d'accès aux ressources indiquent uniquement le IAM rôle d'exécution de Studio Classic comme identifiant. Ce niveau de journalisation est suffisant pour auditer l'activité des utilisateurs lorsque chaque profil utilisateur possède un rôle d'exécution distinct. Toutefois, lorsqu'un IAM rôle d'exécution unique est partagé entre plusieurs profils utilisateur, vous ne pouvez pas obtenir d'informations sur l'utilisateur spécifique qui a accédé au AWS ressources.

Vous pouvez obtenir des informations sur l'utilisateur spécifique qui a effectué une action dans un AWS CloudTrail log lors de l'utilisation d'un rôle d'exécution partagé, en utilisant la sourceIdentity configuration pour propager le nom du profil utilisateur Studio Classic. Pour plus d'informations sur l'identité source, consultez Surveiller et contrôler les actions prises avec les rôles endossés.

Prérequis

Installez et configurez le AWS Command Line Interface en suivant les étapes de la section Installation ou mise à jour de la dernière version du AWS CLI.
Assurez-vous que les utilisateurs de Studio Classic de votre domaine ne disposent pas d'une politique les autorisant à mettre à jour ou à modifier le domaine.
Pour activer ou désactiver la propagation sourceIdentity, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.
Si la propagation de l'identité source est activée, tous les rôles d'exécution doivent disposer des autorisations de politique de confiance suivantes :
- Tout rôle assumé par le rôle d'exécution du domaine doit être sts:SetSourceIdentity autorisé dans la politique de confiance. Si cette autorisation est absente, vos actions échouent avec AccessDeniedException ou ValidationError lorsque vous appelez la création du posteAPI. L'exemple de politique de confiance suivant inclut l'sts:SetSourceIdentityautorisation.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}
```
- Lorsque vous endossez un rôle avec un autre rôle (chaînage de rôles), procédez comme suit :
  - Des autorisations sont exigées pour sts:SetSourceIdentity tant dans la politique d'autorisations du principal qui endosse le rôle que dans la politique d'approbation de rôle du rôle cible. Sinon, l'opération consistant à endosser le rôle échouera.
  - Ce chaînage des rôles peut se produire dans Studio Classic ou dans tout autre service en aval, tel qu'AmazonEMR. Pour plus d'informations sur le chaînage de rôles, consultez Termes et concepts relatifs aux rôles.

Considérations relatives à l'utilisation de `sourceIdentity`

Quand tu fais AWS APIles appels provenant de blocs-notes Studio Classic, de SageMaker Canvas ou d'Amazon SageMaker Data Wrangler ne sont enregistrés que CloudTrail si ces appels sont effectués à l'aide de la session de rôle d'exécution Studio Classic ou de tout autre rôle enchaîné issu de cette session. sourceIdentity

Lorsque ces API appels invoquent d'autres services pour effectuer des opérations supplémentaires, la sourceIdentity journalisation dépend de l'implémentation spécifique des services invoqués.

Amazon SageMaker Processing : lorsque vous créez une tâche à l'aide de ces fonctionnalités, la création de la tâche APIs n'est pas en mesure d'ingérer le sourceIdentity contenu de la session. Par conséquent, tout AWS APIles appels effectués à partir de ces tâches ne sont pas enregistrés sourceIdentity dans les CloudTrail journaux.
Amazon SageMaker Training : lorsque vous créez un poste de formation, celui-ci peut intégrer le contenu sourceIdentity de la session. APIs Par conséquent, tout AWS APIles appels effectués à partir de ces tâches sont enregistrés sourceIdentity dans les CloudTrail journaux.
Amazon SageMaker Pipelines : lorsque vous créez des tâches à l'aide de pipelines CI/CD automatisés, elles sourceIdentity se propagent en aval et peuvent être consultées dans les journaux. CloudTrail
Amazon EMR : lorsqu'ils se connectent à Amazon EMR depuis Studio Classic à l'aide de rôles d'exécution, les administrateurs doivent définir le PropagateSourceIdentity champ de manière explicite. Cela garantit qu'Amazon EMR applique les informations d'identification sourceIdentity de l'appel à une tâche ou à une session de requête. Elles sourceIdentity sont ensuite enregistrées dans CloudTrail des journaux.

Note

Les exceptions suivantes s'appliquent avec sourceIdentity.

SageMaker Les espaces partagés Studio Classic ne prennent pas en charge sourceIdentity le transfert. AWS APIles appels effectués depuis des espaces SageMaker partagés ne sont pas enregistrés sourceIdentity dans CloudTrail les journaux.
If AWS APIles appels sont effectués à partir de sessions créées par des utilisateurs ou d'autres services et les sessions ne sont pas basées sur la session de rôle d'exécution de Studio Classic, elles ne sourceIdentity sont donc pas enregistrées dans CloudTrail les journaux.

Activer `sourceIdentity`

La possibilité de propager le nom du profil utilisateur comme sourceIdentity dans Studio Classic est désactivée par défaut.

Pour permettre de propager le nom du profil utilisateur sous sourceIdentity la forme AWS CLI lors de la création et de la mise à jour du domaine. Cette fonctionnalité est activée au niveau du domaine et non au niveau du profil utilisateur.

Après avoir activé cette configuration, les administrateurs peuvent consulter le profil utilisateur dans le AWS CloudTrail journal du service consulté. Le profil utilisateur est donné en tant que valeur sourceIdentity dans la section userIdentity. Pour plus d'informations sur l'utilisation AWS CloudTrail se connecte avec SageMaker, voir Enregistrer les SageMaker API appels Amazon avec AWS CloudTrail.

Vous pouvez utiliser le code suivant pour activer la propagation du nom du profil utilisateur tel que sourceIdentity lors de la création du domaine à l'aide du create-domainAPI.



create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Vous pouvez activer la propagation du nom du profil utilisateur sourceIdentity lors de la mise à jour du domaine à l'aide du update-domainAPI.

Pour mettre à jour cette configuration, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.

Utilisez le code suivant pour activer la propagation du nom du profil utilisateur en tant que sourceIdentity.



update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Désactivation de `sourceIdentity`

Vous pouvez également désactiver la propagation du nom du profil utilisateur à l'sourceIdentityaide du AWS CLI. Cela se produit lors de la mise à jour du domaine en transmettant la ExecutionRoleIdentityConfig=DISABLED valeur du --domain-settings-for-update paramètre dans le cadre de l'update-domainAPIappel.

Dans le volet AWS CLI, utilisez le code suivant pour désactiver la propagation du nom du profil utilisateur en tant quesourceIdentity.


update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Enregistrez SageMaker API les appels avec CloudTrail

Automatiser avec EventBridge