Monitore o acesso a recursos de usuários individuais a partir do SageMaker AI Studio Classic com o SourceIdentity - SageMaker IA da Amazon
Considerações sobre o uso do sourceIdentity

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitore o acesso a recursos de usuários individuais a partir do SageMaker AI Studio Classic com o SourceIdentity

Com o Amazon SageMaker Studio Classic, você pode monitorar o acesso aos recursos do usuário. Para visualizar a atividade de acesso a recursos, você pode configurar AWS CloudTrail para monitorar e registrar as atividades do usuário seguindo as etapas em Registrar chamadas de SageMaker API da Amazon com AWS CloudTrail.

No entanto, os AWS CloudTrail registros de acesso a recursos listam apenas a função IAM de execução do Studio Classic como identificador. Esse nível de registro em log é suficiente para auditar a atividade do usuário quando cada perfil de usuário tem um perfil de execução distinto. No entanto, quando uma única função do IAM de execução é compartilhada entre vários perfis de usuário, você não pode obter informações sobre o usuário específico que acessou os AWS recursos. 

Você pode obter informações sobre qual usuário específico realizou uma ação em um log AWS CloudTrail ao usar uma função de execução compartilhada, usando a configuração sourceIdentity para propagar o nome do perfil de usuário do Studio Classic. Para obter mais informações sobre a identidade de origem, consulte Monitorar e controlar ações realizadas com perfis assumidos. Para sourceIdentity ativar ou desativar seus CloudTrail registros, consulteAtive o SourceIdentity nos CloudTrail registros do SageMaker AI Studio Classic.

Considerações sobre o uso do sourceIdentity

Quando você faz chamadas de AWS API a partir de notebooks Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler, elas são registradas somente sourceIdentity CloudTrail se essas chamadas forem feitas usando a sessão de função de execução do Studio Classic ou qualquer função encadeada dessa sessão.

Quando essas chamadas de API invocam outros serviços para realizar operações adicionais, o registro sourceIdentity depende da implantação específica dos serviços invocados.

  • Amazon SageMaker Processing: Quando você cria um trabalho usando esses recursos, a criação APIs do trabalho não consegue ingerir o sourceIdentity que existe na sessão. Como resultado, todas as chamadas de AWS API feitas a partir desses trabalhos não são sourceIdentity registradas nos CloudTrail registros.

  • Amazon SageMaker Training: Quando você cria um trabalho de treinamento, a criação de emprego APIs é capaz de ingerir o sourceIdentity que existe na sessão. Como resultado, todas as chamadas de AWS API feitas a partir desses trabalhos são sourceIdentity registradas nos CloudTrail registros.

  • Amazon SageMaker Pipelines: quando você cria trabalhos usando pipelines automatizados de CI/CD, eles sourceIdentity se propagam a jusante e podem ser visualizados nos registros. CloudTrail

  • Amazon EMR: Ao se conectar ao Amazon EMR a partir do Studio Classic usando funções de tempo de execução, os administradores devem definir explicitamente o campo. PropagateSourceIdentity Isso garante que o Amazon EMR aplique as credenciais de chamada sourceIdentity a um trabalho ou sessão de consulta. Em seguida, sourceIdentity é registrado em CloudTrail registros.

nota

As seguintes exceções se aplicam ao usar sourceIdentity:

  • SageMaker Os espaços compartilhados do Studio Classic não oferecem suporte à sourceIdentity passagem. AWS As chamadas de API feitas a partir de espaços compartilhados de SageMaker IA não são registradas sourceIdentity nos CloudTrail registros.

  • Se as chamadas de AWS API forem feitas a partir de sessões criadas por usuários ou outros serviços e as sessões não forem baseadas na sessão da função de execução do Studio Classic, elas sourceIdentity não serão registradas nos CloudTrail registros.