As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitorando o acesso aos recursos do usuário a partir do Amazon SageMaker Studio Classic
Com o Amazon SageMaker Studio Classic, você pode monitorar o acesso aos recursos do usuário. Para visualizar a atividade de acesso a recursos, você pode configurar AWS CloudTrail para monitorar e registrar as atividades do usuário seguindo as etapas em Registrar SageMaker API chamadas da Amazon com AWS CloudTrail.
No entanto, o AWS CloudTrail os registros para acesso a recursos listam apenas a IAM função de execução do Studio Classic como identificador. Esse nível de registro em log é suficiente para auditar a atividade do usuário quando cada perfil de usuário tem um perfil de execução distinto. No entanto, quando uma única IAM função de execução é compartilhada entre vários perfis de usuário, você não pode obter informações sobre o usuário específico que acessou o AWS recursos.
Você pode obter informações sobre qual usuário específico executou uma ação em um AWS CloudTrail registre ao usar uma função de execução compartilhada, usando a sourceIdentity configuração para propagar o nome do perfil de usuário do Studio Classic. Para obter mais informações sobre a identidade de origem, consulte Ações de controle e monitoramento realizadas com funções assumidas.
Pré-requisitos
-
Instale e configure o AWS Command Line Interface seguindo as etapas em Instalando ou atualizando a versão mais recente do AWS CLI.
-
Certifique-se de que os usuários do Studio Classic em seu domínio não tenham uma política que permita atualizar ou modificar o domínio.
-
Para ativar ou desativar a propagação
sourceIdentity, todos os aplicativos no domínio devem estar no estadoStoppedouDeleted. Para obter mais informações sobre como parar e desligar aplicativos, consulte Desligar e atualizar aplicativos do Studio Classic. -
Se a propagação da identidade de origem estiver ativada, todas as funções de execução deverão ter as seguintes permissões de política de confiança:
-
Qualquer função assumida pela função de execução do domínio deve ter a
sts:SetSourceIdentitypermissão na política de confiança. Se essa permissão estiver ausente, suas ações falharão comAccessDeniedExceptionouValidationErrorquando você ligar para a criação de empregoAPI. O exemplo de política de confiança a seguir inclui asts:SetSourceIdentitypermissão.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ] } ] } -
Ao assumir uma função com outra função, isto é, encadeamento de funções, faça o seguinte:
-
Permissões para
sts:SetSourceIdentitysão necessárias tanto na política de permissões das entidades principais que estão assumindo a função, quanto na política de confiança do perfil do destino. Caso contrário, a operação de função assumida falhará. -
Esse encadeamento de funções pode acontecer no Studio Classic ou em qualquer outro serviço posterior, como o Amazon. EMR Para obter mais informações sobre encadeamento de funções, consulte Termos e conceitos de funções.
-
-
Considerações ao usar o sourceIdentity
Quando você faz AWS APIchamadas de notebooks Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler são registradas somente sourceIdentity CloudTrail se essas chamadas forem feitas usando a sessão de função de execução do Studio Classic ou qualquer função encadeada dessa sessão.
Quando essas API chamadas invocam outros serviços para realizar operações adicionais, o sourceIdentity registro depende da implementação específica dos serviços invocados.
-
Amazon SageMaker Processing: Quando você cria um trabalho usando esses recursos, a criação APIs do trabalho não consegue ingerir o
sourceIdentityque existe na sessão. Como resultado, qualquer AWS APIas chamadas feitas a partir desses trabalhos não sãosourceIdentityregistradas nos CloudTrail registros. -
Amazon SageMaker Training: Quando você cria um trabalho de treinamento, a criação de emprego APIs é capaz de ingerir o
sourceIdentityque existe na sessão. Como resultado, qualquer AWS APIas chamadas feitas a partir desses trabalhos sãosourceIdentityregistradas nos CloudTrail registros. Amazon SageMaker Pipelines: quando você cria trabalhos usando pipelines automatizados de CI/CD, eles
sourceIdentityse propagam a jusante e podem ser visualizados nos registros. CloudTrail-
AmazonEMR: Ao se conectar à Amazon a EMR partir do Studio Classic usando funções de tempo de execução, os administradores devem definir explicitamente o PropagateSourceIdentity campo. Isso garante que a Amazon EMR aplique as credenciais
sourceIdentityde chamada a um trabalho ou sessão de consulta. Em seguida,sourceIdentityé registrado em CloudTrail registros.
nota
As seguintes exceções se aplicam ao usar sourceIdentity.
-
SageMaker Os espaços compartilhados do Studio Classic não oferecem suporte à
sourceIdentitypassagem. AWS APIas chamadas feitas a partir de espaços SageMaker compartilhados não sãosourceIdentityregistradas nos CloudTrail registros. -
If (Se) AWS APIas chamadas são feitas a partir de sessões criadas por usuários ou outros serviços e as sessões não são baseadas na sessão da função de execução do Studio Classic e, portanto, não
sourceIdentitysão registradas nos CloudTrail registros.
Ativar o sourceIdentity
A capacidade de propagar o nome do perfil do usuário como sourceIdentity no Studio Classic está desativada por padrão.
Para habilitar a capacidade de propagar o nome do perfil do usuário como osourceIdentity, use o AWS CLI durante a criação e atualização do domínio. Esse recurso é habilitado no nível do domínio e não no nível do perfil do usuário.
Depois de habilitar essa configuração, os administradores podem visualizar o perfil do usuário no AWS CloudTrail registro do serviço acessado. O perfil do usuário é fornecido como o valor sourceIdentity na seção userIdentity. Para obter mais informações sobre o uso AWS CloudTrail faz login com SageMaker, consulte Registrar SageMaker API chamadas da Amazon com AWS CloudTrail.
Você pode usar o código a seguir para permitir a propagação do nome do perfil do usuário sourceIdentity durante a criação do domínio usando o. create-domain API
create-domain --domain-name <value> --auth-mode <value> --default-user-settings <value> --subnet-ids <value> --vpc-id <value> [--tags <value>] [--app-network-access-type <value>] [--home-efs-file-system-kms-key-id <value>] [--kms-key-id <value>] [--app-security-group-management <value>] [--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
Você pode ativar a propagação do nome do perfil do usuário sourceIdentity durante a atualização do domínio usando o. update-domain API
Para atualizar essa configuração, todos os aplicativos no domínio devem estar no estado Stopped ou Deleted. Para obter mais informações sobre como parar e desligar aplicativos, consulte Desligar e atualizar aplicativos do Studio Classic.
Use o código a seguir para permitir a propagação do nome do perfil de usuário como o sourceIdentity.
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
Desativar sourceIdentity
Você também pode desativar a propagação do nome do perfil do usuário sourceIdentity usando o AWS CLI. Isso ocorre durante a atualização do domínio, passando o ExecutionRoleIdentityConfig=DISABLED valor do --domain-settings-for-update parâmetro como parte da update-domain API chamada.
No painel, AWS CLI, use o código a seguir para desativar a propagação do nome do perfil do usuário como o. sourceIdentity
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
