sourceIdentity를 사용하여 SageMaker AI Studio Classic에서 개별 사용자 리소스 액세스 모니터링 - Amazon SageMaker AI
sourceIdentity 사용 시 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

sourceIdentity를 사용하여 SageMaker AI Studio Classic에서 개별 사용자 리소스 액세스 모니터링

Amazon SageMaker Studio Classic를 사용하여 사용자가 리소스에 액세스하는 것을 모니터링할 수 있습니다. 리소스 액세스 활동을 보려면를 사용하여 Amazon SageMaker API 호출 로그의 단계에 따라 사용자 활동을 모니터링하고 기록 AWS CloudTrail 하도록를 구성할 수 있습니다. Amazon SageMaker AWS CloudTrail

그러나 리소스 액세스에 대한 AWS CloudTrail 로그에는 Studio Classic 실행 IAM 역할만 식별자로 나열됩니다. 이 수준의 로깅은 각 사용자 프로필에 고유한 실행 역할이 있을 때 사용자 활동을 감사하기에 충분합니다. 그러나 여러 사용자 프로필 간에 단일 실행 IAM 역할이 공유되면 AWS 리소스에 액세스한 특정 사용자에 대한 정보를 가져올 수 없습니다. 

Studio Classic 사용자 프로필 이름을 전파하기 위해 sourceIdentity 구성을 사용하여 공유된 실행 역할을 사용할 때 AWS CloudTrail 로그에서 작업을 수행한 특정 사용자에 대한 정보를 얻을 수 있습니다. 소스 자격 증명에 대한 자세한 내용은 위임된 역할로 수행한 작업 모니터링 및 제어를 참고하세요. CloudTrail 로그에 대해 sourceIdentity를 켜거나 끄려면 SageMaker AI Studio Classic에 대한 CloudTrail 로그에서 sourceIdentity 켜기 섹션을 참조하세요.

sourceIdentity 사용 시 고려 사항

Studio Classic 노트북, SageMaker Canvas 또는 Amazon SageMaker Data Wrangler에서 AWS API를 호출할 때 Studio Classic 실행 역할 세션 또는 해당 세션의 체인 역할을 사용하여 호출하는 경우에만가 CloudTrail에 기록sourceIdentity됩니다.

이러한 API 직접 호출이 다른 서비스를 호출하여 추가 작업을 수행하는 경우, sourceIdentity 로깅은 호출된 서비스의 특정 구현에 따라 달라집니다.

  • Amazon SageMaker Processing: 이러한 기능을 사용하여 작업을 생성하는 경우 작업 생성 API는 세션에 있는 sourceIdentity를 수집할 수 없습니다. 따라서 이러한 작업에서 수행된 AWS API 호출은 CloudTrail 로그sourceIdentity에 기록되지 않습니다.

  • Amazon SageMaker 훈련 작업을 생성할 때 이러한 기능을 작업 생성 API는 세션에 있는 sourceIdentity를 수집할 수 없습니다. 따라서 이러한 작업에서 이루어진 모든 AWS API 직접 호출은 CloudTrail 로그에서 sourceIdentity를 기록하지 않습니다.

  • Amazon SageMaker 파이프라인: 자동 CI/CD 파이프라인을 사용하여 작업을 생성할 때 sourceIdentity는 다운스트림으로 전파되며 CloudTrail 로그에서 볼 수 있습니다.

  • Amazon EMR: 런타임 역할을 사용하여 Studio Classic에서 Amazon EMR에 연결하는 경우 관리자는 명시적으로 PropagateSourceIdentity 필드를 설정해야 합니다. 이렇게 하면 Amazon EMR이 호출 보안 인증 정보의 sourceIdentity를 작업 또는 쿼리 세션에 적용할 수 있습니다. 그러면 sourceIdentity가 CloudTrail 로그에 기록됩니다.

참고

sourceIdentity를 사용할 때 다음과 같은 예외가 적용됩니다.

  • SageMaker Studio Classic 공유 스페이스는 sourceIdentity 패스스루를 지원하지 않습니다. SageMaker AI 공유 스페이스에서 이루어진 AWS API 호출은 CloudTrail 로그sourceIdentity에 기록되지 않습니다.

  • 사용자 또는 다른 서비스에서 생성한 세션에서 AWS API 호출이 이루어지고 세션이 Studio Classic 실행 역할 세션을 기반으로 하지 않는 경우 sourceIdentity는 CloudTrail 로그에 기록되지 않습니다.