Prerequisiti Attivare sourceIdentity Disattivazione di sourceIdentity

Attiva CloudTrail i log sourceIdentity in per Studio Classic SageMaker

Con Amazon SageMaker Studio Classic, puoi monitorare l'accesso alle risorse degli utenti. Tuttavia, AWS CloudTrail i log per l'accesso alle risorse elencano solo il IAM ruolo di esecuzione di Studio Classic come identificatore. Quando un singolo IAM ruolo di esecuzione viene condiviso tra diversi profili utente, è necessario utilizzare la sourceIdentity configurazione per ottenere informazioni sull'utente specifico che ha avuto accesso alle AWS risorse.

I seguenti argomenti spiegano come attivare o disattivare la sourceIdentity configurazione.

Prerequisiti

Installa e configura i AWS Command Line Interface seguenti passaggi descritti in Installazione o aggiornamento della versione più recente di AWS CLI.
Assicurati che gli utenti di Studio Classic del tuo dominio non dispongano di una politica che consenta loro di aggiornare o modificare il dominio.
Per attivare o disattivare la propagazione sourceIdentity, tutte le app del dominio devono trovarsi nello stato Stopped o Deleted. Per ulteriori informazioni su come interrompere e chiudere le app, consulta Chiudere e aggiornare le app Studio Classic.
Se la propagazione dell'identità di origine è attivata, tutti i ruoli di esecuzione devono disporre delle seguenti autorizzazioni relative ai criteri di fiducia:
- Qualsiasi ruolo assunto dal ruolo di esecuzione del dominio deve avere l'sts:SetSourceIdentityautorizzazione nella politica di fiducia. Se manca questa autorizzazione, le tue azioni falliranno con AccessDeniedException o ValidationError quando richiami la creazione API di posti di lavoro. Il seguente esempio di politica di fiducia include l'sts:SetSourceIdentityautorizzazione.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}
```
- Quando assumi un ruolo con un altro ruolo, chiamato concatenamento dei ruoli, procedi come segue:
  - Le autorizzazioni per sts:SetSourceIdentity sono necessarie sia nella policy di autorizzazione del principale che assume il ruolo sia nella policy di attendibilità del ruolo di destinazione. In caso contrario, l'operazione di assunzione del ruolo avrà esito negativo.
  - Questo concatenamento dei ruoli può avvenire in Studio Classic o in qualsiasi altro servizio downstream, come Amazon. EMR Per ulteriori informazioni sui concatenamento dei ruoli, consulta la sezione Termini e concetti dei ruoli.

Attivare sourceIdentity

La possibilità di propagare il nome del profilo utente come sourceIdentity in Studio Classic è disattivata per impostazione predefinita.

Per abilitare la possibilità di propagare il nome del profilo utente come filesourceIdentity, utilizza il AWS CLI durante la creazione e l'aggiornamento del dominio. Questa funzionalità è abilitata a livello di dominio e non a livello di profilo utente.

Dopo aver abilitato questa configurazione, gli amministratori possono visualizzare il profilo utente nel log AWS CloudTrail del servizio a cui si accede. Il profilo utente viene fornito come valore sourceIdentity nella sezione userIdentity. Per ulteriori informazioni sull'utilizzo dei AWS CloudTrail log con SageMaker, consulta Log Amazon SageMaker API Calls with AWS CloudTrail.

Puoi utilizzare il codice seguente per abilitare la propagazione del nome del profilo utente sourceIdentity durante la creazione del dominio utilizzando. create-domain API



create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

È possibile abilitare la propagazione del nome del profilo utente sourceIdentity durante l'aggiornamento del dominio utilizzando. update-domain API

Per aggiornare questa configurazione, tutte le app del dominio devono trovarsi nello stato Stopped o Deleted. Per ulteriori informazioni su come interrompere e chiudere le app, consulta Chiudere e aggiornare le app Studio Classic.

Utilizza il codice seguente per abilitare la propagazione del nome del profilo utente come sourceIdentity.



update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Disattivazione di sourceIdentity

È inoltre possibile disattivare la propagazione del nome del profilo utente come sourceIdentity utilizzando AWS CLI. Ciò si verifica durante l'aggiornamento del dominio, passando il ExecutionRoleIdentityConfig=DISABLED valore del --domain-settings-for-update parametro come parte della update-domain API chiamata.

In AWS CLI, utilizzate il codice seguente per disabilitare la propagazione del nome del sourceIdentity profilo utente come.


update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora l'accesso alle risorse dei singoli utenti da SageMaker Studio Classic con sourceIdentity

SageMaker eventi con EventBridge