翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SageMaker Studio Classic からのユーザーリソースアクセスのモニタリング
Amazon SageMaker Studio Classic を使用すると、ユーザーリソースへのアクセスをモニタリングできます。リソースアクセスアクティビティを表示するには、 AWS CloudTrail を使用して Amazon SageMaker API コールをログに記録するの手順に従って、ユーザーアクティビティをモニタリングおよび記録するには AWS CloudTrail.
ただし、 AWS CloudTrail リソースアクセスの ログには、Studio Classic 実行IAMロールが識別子としてリストされます。このレベルのログは、各ユーザープロファイルに異なる実行ロールが割り当てられている場合、ユーザーアクティビティを監査するのに十分です。ただし、単一の実行IAMロールが複数のユーザープロファイル間で共有されている場合、 にアクセスした特定のユーザーに関する情報を取得することはできません。 AWS リソースの使用料金を見積もることができます。
でアクションを実行した特定のユーザーに関する情報を取得できます。 AWS CloudTrail 共有実行ロールを使用する場合、 設定を使用してsourceIdentity
Studio Classic ユーザープロファイル名を伝達します。ソース ID の詳細については、「引き受けたロールで実行されるアクションのモニタリングと制御」を参照してください。
前提条件
-
のインストールと設定 AWS Command Line Interface 「 の最新バージョンのインストールまたは更新」の手順に従います。 AWS CLI.
-
ドメイン内の Studio Classic ユーザーに、ドメインの更新または変更を許可するポリシーがないことを確認します。
-
sourceIdentity
伝達の開始または停止をするには、ドメイン内のすべてのアプリがStopped
またはDeleted
状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。 -
ソース ID の伝播が有効になっている場合、すべての実行ロールに次の信頼ポリシーのアクセス許可が必要です。
-
ドメインの実行ロールが引き受けるロールには、
sts:SetSourceIdentity
信頼ポリシーの アクセス許可が必要です。このアクセス許可がない場合、ジョブ作成 を呼びValidationError
出すと、アクションはAccessDeniedException
または で失敗しますAPI。次の信頼ポリシーの例には、 アクセスsts:SetSourceIdentity
許可が含まれています。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ] } ] }
-
ロールチェーンと呼ばれる別のロールを持つロールを引き受ける場合は、次の操作を行います。
-
sts:SetSourceIdentity
の権限は、ロールを引き受けるプリンシパルのアクセス許可ポリシーと、ターゲットロールのロール信頼ポリシーの両方で必要です。そうしない場合、ロールの引き受け操作は失敗します。 -
このロールの連鎖は、Studio Classic または Amazon などの他のダウンストリームサービスで発生する可能性がありますEMR。ロールチェーンに関する詳細については、「ロールに関する用語と概念」を参照してください。
-
-
sourceIdentity
を使用するときの考慮事項
を作成する場合 AWS API Studio Classic ノートブック、 SageMaker Canvas、または Amazon SageMaker Data Wrangler からの 呼び出し。 sourceIdentity
は、 CloudTrail これらの呼び出しが Studio Classic 実行ロールセッションまたはそのセッションからの連鎖されたロールを使用して行われた場合にのみ に記録されます。
これらのAPI呼び出しが他の サービスを呼び出して追加のオペレーションを実行する場合、sourceIdentity
ログ記録は呼び出されたサービスの特定の実装によって異なります。
-
Amazon Processing SageMaker : これらの機能を使用してジョブを作成すると、ジョブの作成APIsではセッション
sourceIdentity
に存在する を取り込むことができません。その結果、 AWS API これらのジョブから行われた呼び出しは CloudTrail ログsourceIdentity
に記録されません。 -
Amazon SageMaker トレーニング: トレーニングジョブを作成すると、ジョブの作成APIsでセッション
sourceIdentity
に存在する を取り込むことができます。その結果、 AWS API これらのジョブから行われた呼び出しは、 CloudTrail ログsourceIdentity
に記録されます。 Amazon SageMaker Pipelines: 自動 CI/CD パイプラインを使用してジョブを作成すると、
sourceIdentity
はダウンストリームを伝播し、 CloudTrail ログに表示できます。-
Amazon EMR: ランタイムロール を使用して Studio Classic EMRから Amazon に接続する場合、管理者は PropagateSourceIdentity フィールド を明示的に設定する必要があります。 Studio で Amazon EMRクラスターアクセスのIAMランタイムロールを設定する これにより、Amazon は呼び出し元の認証情報
sourceIdentity
から をジョブまたはクエリセッションEMRに適用します。その後、sourceIdentity
は CloudTrail ログに記録されます。
注記
sourceIdentity
を使用する場合、以下の例外が適用されます。
-
SageMaker Studio Classic 共有スペースは
sourceIdentity
パススルーをサポートしていません。 AWS API SageMaker 共有スペースから行われた呼び出しは CloudTrail ログsourceIdentity
に記録されません。 -
If AWS API 呼び出しは、ユーザーまたは他のサービスによって作成されたセッションから行われ、セッションは Studio Classic 実行ロールセッションに基づいていないため、
sourceIdentity
は CloudTrail ログに記録されません。
sourceIdentity
をオンにする
sourceIdentity
Studio Classic でユーザープロファイル名を として伝達する機能は、デフォルトではオフになっています。
ユーザープロファイル名を として伝達できるようにするにはsourceIdentity
、 を使用します。 AWS CLI ドメインの作成時およびドメインの更新時。この機能はドメインレベルで有効になり、ユーザープロファイルレベルでは有効になりません。
この設定を有効にすると、管理者は でユーザープロファイルを表示できます。 AWS CloudTrail アクセスされたサービスの ログ。ユーザープロファイルは userIdentity
セクションの sourceIdentity
値として表示されます。の使用の詳細については、「」を参照してください。 AWS CloudTrail を使用した ログ SageMaker、「 を使用した Amazon SageMaker APIコールのログ記録」を参照してください。 AWS CloudTrail.
次のコードを使用して、 を使用してcreate-domain
ドメイン作成sourceIdentity
時にユーザープロファイル名を として伝達できますAPI。
create-domain --domain-name <value> --auth-mode <value> --default-user-settings <value> --subnet-ids <value> --vpc-id <value> [--tags <value>] [--app-network-access-type <value>] [--home-efs-file-system-kms-key-id <value>] [--kms-key-id <value>] [--app-security-group-management <value>] [--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
を使用して、ドメインの更新sourceIdentity
中にユーザープロファイル名の伝播を update-domain
として有効にできますAPI。
この構成を更新するには、ドメイン内のすべてのアプリが Stopped
または Deleted
状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。
次のコードを使用すると、sourceIdentity
としてユーザープロファイル名を伝達できるようになります。
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
sourceIdentity
を無効にする
sourceIdentity
を使用して、ユーザープロファイル名の としての伝達を無効にすることもできます。 AWS CLI。 これは、update-domain
API呼び出しの一部として パラメータのExecutionRoleIdentityConfig=DISABLED
値を渡すことで、--domain-settings-for-update
ドメインの更新中に発生します。
左 AWS CLI、次のコードを使用して、ユーザープロファイル名の としての伝達を無効にしますsourceIdentity
。
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]