Monitora l'accesso alle risorse dei singoli utenti da SageMaker AI Studio Classic con sourceIdentity - Amazon SageMaker AI
Considerazioni sull'utilizzo di sourceIdentity

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitora l'accesso alle risorse dei singoli utenti da SageMaker AI Studio Classic con sourceIdentity

Con Amazon SageMaker Studio Classic, puoi monitorare l'accesso alle risorse degli utenti. Per visualizzare l'attività di accesso alle risorse, puoi configurare AWS CloudTrail il monitoraggio e la registrazione delle attività degli utenti seguendo la procedura descritta in Log Amazon SageMaker API Calls with AWS CloudTrail.

Tuttavia, AWS CloudTrail i log per l'accesso alle risorse elencano solo il IAM ruolo di esecuzione di Studio Classic come identificatore. Questo livello di registrazione è sufficiente per controllare l'attività dell'utente quando ogni profilo utente ha un ruolo di esecuzione distinto. Tuttavia, quando un singolo IAM ruolo di esecuzione viene condiviso tra diversi profili utente, non è possibile ottenere informazioni sull'utente specifico che ha avuto accesso alle AWS risorse. 

È possibile ottenere informazioni su quale utente specifico ha eseguito un'azione in un AWS CloudTrail registro quando si utilizza un ruolo di esecuzione condiviso, utilizzando la sourceIdentity configurazione per propagare il nome del profilo utente di Studio Classic. Per ulteriori informazioni sull'origine dell'identità, consulta la sezione Monitoraggio e controllo delle azioni intraprese con i ruoli assunti. Per sourceIdentity attivare o disattivare i CloudTrail log, consulta. Attiva CloudTrail i log sourceIdentity in per SageMaker AI Studio Classic

Considerazioni sull'utilizzo di sourceIdentity

Quando effettui AWS API chiamate da notebook Studio Classic, SageMaker Canvas o Amazon SageMaker Data Wrangler, sourceIdentity viene registrata solo CloudTrail se tali chiamate vengono effettuate utilizzando la sessione del ruolo di esecuzione di Studio Classic o qualsiasi ruolo concatenato da quella sessione.

Quando queste API chiamate richiamano altri servizi per eseguire operazioni aggiuntive, la sourceIdentity registrazione dipende dall'implementazione specifica dei servizi richiamati.

  • Amazon SageMaker Processing: quando crei un lavoro utilizzando queste funzionalità, la creazione APIs del lavoro non è in grado di assimilare sourceIdentity ciò che esiste nella sessione. Di conseguenza, tutte AWS API le chiamate effettuate da questi lavori non vengono registrate sourceIdentity nei CloudTrail log.

  • Amazon SageMaker Training: quando crei un lavoro di formazione, chi crea APIs il lavoro è in grado di assimilare sourceIdentity ciò che esiste nella sessione. Di conseguenza, tutte AWS API le chiamate effettuate da questi lavori vengono registrate sourceIdentity nei CloudTrail log.

  • Amazon SageMaker Pipelines: quando crei lavori utilizzando pipeline CI/CD automatizzate, sourceIdentity si propaga a valle e può essere visualizzata nei log. CloudTrail

  • AmazonEMR: quando ci si connette ad Amazon EMR da Studio Classic utilizzando ruoli di runtime, gli amministratori devono impostare esplicitamente il PropagateSourceIdentity campo. Ciò garantisce che Amazon EMR applichi le credenziali sourceIdentity di chiamata a un lavoro o a una sessione di query. sourceIdentityViene quindi registrato nei CloudTrail log.

Nota

Quando si utilizza sourceIdentity, si applicano le seguenti eccezioni:

  • SageMaker Gli spazi condivisi di Studio Classic non supportano il sourceIdentity passthrough. AWS APIle chiamate effettuate dagli spazi condivisi SageMaker AI non vengono registrate sourceIdentity nei CloudTrail log.

  • Se AWS API le chiamate vengono effettuate da sessioni create da utenti o altri servizi e le sessioni non si basano sulla sessione del ruolo di esecuzione di Studio Classic, non sourceIdentity vengono registrate nei CloudTrail log.