本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon SageMaker Studio Classic,您可以监控用户资源访问情况。要查看资源访问活动,您可以按照记录 Amazon SageMaker API 调用中的步骤进行配置 AWS CloudTrail ,以监控和记录用户活动 AWS CloudTrail。
但是,资源访问 AWS CloudTrail 日志仅将 Studio Classic 执行 IAM 角色列为标识符。当每个用户配置文件都有不同的执行角色时,此级别的日志记录足以审计用户活动。但是,当多个用户配置文件之间共享单个执行 IAM 角色时,您无法获取有关访问 AWS 资源的特定用户的信息。
通过使用 sourceIdentity 配置传播 Studio Classic 用户配置文件名称,您可以在使用共享执行角色时,从 AWS CloudTrail 日志中获取有关哪一特定用户执行了操作的信息。有关源身份的更多信息,请参阅监控和控制使用代入角色执行的操作。要开sourceIdentity启或关闭 CloudTrail 日志功能,请参阅在 AI Studio Classic 的 CloudTrail 日志中开启 Source SageMaker D。
使用 sourceIdentity 时的注意事项
当您从 Studio Classic 笔记本电脑、 SageMaker Canvas 或 Amazon SageMaker Data Wrangler 发出 AWS API 调用时,只有使用 Studio Classic 执行角色会话或该会话中的 CloudTrail 任何链接角色进行调用时,才会记录这些调用。sourceIdentity
当这些 API 调用去调用其他服务来执行其他操作时,sourceIdentity 日志记录取决于所调用服务的具体实施。
-
A SageMaker mazon Processing:当您使用这些功能创建 APIs任务时,创建的任务无法提取会话中
sourceIdentity存在的任务。因此,从这些作业发出的任何 AWS API 调用都不会记录sourceIdentity在 CloudTrail 日志中。 -
Amazon SageMaker Training:当您创建训练作业时,创建 APIs 的任务能够吸收会话中
sourceIdentity存在的任务。因此,从这些作业发出的任何 AWS API 调用都会记录sourceIdentity在 CloudTrail 日志中。 -
Amazon Pipelin SageMaker es:当您使用自动 CI/CD 管道创建任务时,
sourceIdentity会向下游传播,并且可以在日志中查看。 CloudTrail -
亚马逊 EMR:使用运行时角色从 Studio Classic 连接亚马逊 EMR 时,管理员必须明确设置该字段。 PropagateSourceIdentity 由此可确保 Amazon EMR 会将调用凭证中的
sourceIdentity用于作业或查询会话。然后记录在 CloudTrail 日志中。sourceIdentity
注意
使用 sourceIdentity 时存在以下例外:
-
SageMaker Studio Classic 共享空间不支持
sourceIdentity直通。 AWS 从 SageMaker AI 共享空间发出的 API 调用不会记录sourceIdentity在 CloudTrail 日志中。 -
如果 AWS API 调用是通过用户或其他服务创建的会话进行的,并且会话不是基于 Studio Classic 执行角色会话,
sourceIdentity则不会记录在 CloudTrail 日志中。
