sourceIdentity を使用して SageMaker AI Studio Classic からの個々のユーザーリソースアクセスをモニタリングする - Amazon SageMaker AI
sourceIdentity を使用する場合の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

sourceIdentity を使用して SageMaker AI Studio Classic からの個々のユーザーリソースアクセスをモニタリングする

Amazon SageMaker Studio Classic で、ユーザーリソースのアクセスをモニタリングできます。リソースアクセスアクティビティを表示するには、「Log Amazon SageMaker API Calls with AWS CloudTrail」の手順に従って、ユーザーアクティビティをモニタリングおよび記録 AWS CloudTrail するように を設定できます。

ただし、リソースアクセスの AWS CloudTrail ログには、Studio Classic 実行 IAM ロールのみが識別子としてリストされます。このレベルのログは、各ユーザープロファイルに異なる実行ロールが割り当てられている場合、ユーザーアクティビティを監査するのに十分です。ただし、単一の実行 IAM ロールが複数のユーザープロファイル間で共有されている場合、 AWS リソースにアクセスした特定のユーザーに関する情報を取得することはできません。 

共有実行ロールを使用すると、sourceIdentity 設定を使用して Studio Classic ユーザープロファイル名を伝達し、どの特定のユーザーが AWS CloudTrail ログでアクションを実行したかについての情報を得ることができます。ソース ID の詳細については、「引き受けたロールで実行されるアクションのモニタリングとコントロールアクション」を参照してください。CloudTrail ログの sourceIdentity のオンまたはオフを切り替えるには、「SageMaker AI Studio Classic の CloudTrail ログで sourceIdentity を有効にする」を参照してください。

sourceIdentity を使用する場合の考慮事項

Studio Classic ノートブック、SageMaker Canvas、または Amazon SageMaker Data Wrangler から AWS API コールを行うと、 sourceIdentityは、それらのコールが Studio Classic 実行ロールセッションまたはそのセッションからの連鎖されたロールを使用して行われた場合にのみ CloudTrail に記録されます。

これらの API 呼び出しが他のサービスを呼び出して追加の操作を実行する場合、sourceIdentity のログは呼び出されたサービスの特定の実装に依存します。

  • Amazon SageMaker Processing: これらの機能を使用してジョブを作成すると、ジョブ作成 API はセッションに存在する sourceIdentity を取り込むことができません。その結果、これらのジョブから行われた AWS API コールは CloudTrail ログsourceIdentityに記録されません。

  • Amazon SageMaker Training: トレーニングョブを作成すると、ジョブ作成 API はセッションに存在する sourceIdentity を取り込むことができません。その結果、これらのジョブから行われた AWS API コールが CloudTrail ログに sourceIdentity を記録します。

  • Amazon SageMaker Pipelines: 自動化された CI/CD パイプラインを使用してジョブを作成すると、sourceIdentity が下流に伝播され、CloudTrail ログで確認できます。

  • Amazon EMR: ランタイムロールを使用して Studio Classic から Amazon EMR に接続する場合、管理者は明示的に PropagateSourceIdentity フィールドを設定する必要があります。これにより、Amazon EMR は呼び出し側の認証情報からの sourceIdentity をジョブまたはクエリセッションに適用します。その後、sourceIdentity は CloudTrail ログに記録されます。

注記

sourceIdentity を使用する場合、以下の例外が適用されます。

  • SageMaker Studio Classic 共有スペースはsourceIdentityパススルーをサポートしていません。SageMaker AI 共有スペースから行われた AWS API コールは CloudTrail ログsourceIdentityに記録しません。

  • AWS API コールがユーザーまたは他のサービスによって作成されたセッションから行われ、セッションが Studio Classic 実行ロールセッションに基づいていない場合、 sourceIdentityは CloudTrail ログに記録されません。