Pantau akses sumber daya pengguna individu dari SageMaker AI Studio Classic dengan SourceIdentity - Amazon SageMaker AI
Pertimbangan saat menggunakan SourceIdentity

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pantau akses sumber daya pengguna individu dari SageMaker AI Studio Classic dengan SourceIdentity

Dengan Amazon SageMaker Studio Classic, Anda dapat memantau akses sumber daya pengguna. Untuk melihat aktivitas akses sumber daya, Anda dapat mengonfigurasi AWS CloudTrail untuk memantau dan merekam aktivitas pengguna dengan mengikuti langkah-langkah di Log Amazon SageMaker API Calls dengan AWS CloudTrail.

Namun, AWS CloudTrail log untuk akses sumber daya hanya mencantumkan peran IAM eksekusi Studio Classic sebagai pengenal. Tingkat logging ini cukup untuk mengaudit aktivitas pengguna ketika setiap profil pengguna memiliki peran eksekusi yang berbeda. Namun, ketika peran IAM eksekusi tunggal dibagi antara beberapa profil pengguna, Anda tidak bisa mendapatkan informasi tentang pengguna tertentu yang mengakses AWS sumber daya. 

Anda bisa mendapatkan informasi tentang pengguna tertentu yang melakukan tindakan dalam AWS CloudTrail log saat menggunakan peran eksekusi bersama, menggunakan sourceIdentity konfigurasi untuk menyebarkan nama profil pengguna Studio Classic. Untuk informasi selengkapnya tentang identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan. Untuk sourceIdentity mengaktifkan atau menonaktifkan CloudTrail log Anda, lihatAktifkan SourceIdentity di CloudTrail log untuk SageMaker AI Studio Classic.

Pertimbangan saat menggunakan SourceIdentity

Saat Anda melakukan panggilan AWS API dari notebook Studio Classic, SageMaker Canvas, atau Amazon SageMaker Data Wrangler, panggilan hanya akan direkam CloudTrail jika panggilan tersebut dilakukan menggunakan sesi peran eksekusi Studio Classic atau peran berantai apa pun dari sesi tersebut. sourceIdentity

Ketika panggilan API ini memanggil layanan lain untuk melakukan operasi tambahan, sourceIdentity logging bergantung pada implementasi spesifik dari layanan yang dipanggil.

  • SageMaker Pemrosesan Amazon: Saat Anda membuat pekerjaan menggunakan fitur-fitur ini, penciptaan lapangan APIs kerja tidak dapat menelan sourceIdentity yang ada di sesi tersebut. Akibatnya, panggilan AWS API apa pun yang dilakukan dari pekerjaan ini tidak tercatat sourceIdentity di CloudTrail log.

  • SageMaker Pelatihan Amazon: Saat Anda membuat pekerjaan pelatihan, penciptaan lapangan kerja dapat menelan APIs apa sourceIdentity yang ada di sesi tersebut. Akibatnya, setiap panggilan AWS API yang dibuat dari catatan pekerjaan ini sourceIdentity di CloudTrail log.

  • SageMaker Pipelines Amazon: Saat Anda membuat pekerjaan menggunakan pipeline CI/CD otomatis, sourceIdentity menyebar ke hilir dan dapat dilihat di log. CloudTrail

  • Amazon EMR: Saat menghubungkan ke Amazon EMR dari Studio Classic menggunakan peran runtime, administrator harus secara eksplisit menyetel bidang. PropagateSourceIdentity Ini memastikan bahwa Amazon EMR menerapkan sourceIdentity dari kredensi panggilan ke sesi pekerjaan atau kueri. Kemudian sourceIdentity dicatat dalam CloudTrail log.

catatan

Pengecualian berikut berlaku saat menggunakansourceIdentity.

  • SageMaker Ruang bersama Studio Classic tidak mendukung sourceIdentity passthrough. AWS Panggilan API yang dibuat dari ruang bersama SageMaker AI tidak merekam sourceIdentity dalam CloudTrail log.

  • Jika panggilan AWS API dibuat dari sesi yang dibuat oleh pengguna atau layanan lain dan sesi tidak didasarkan pada sesi peran eksekusi Studio Classic, maka panggilan tersebut sourceIdentity tidak direkam dalam CloudTrail log.