Supervisión del acceso a los recursos de los usuarios desde Amazon SageMaker Studio Classic - Amazon SageMaker
Requisitos previosConsideraciones sobre el uso de sourceIdentityActivar sourceIdentityDesactivar sourceIdentity

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión del acceso a los recursos de los usuarios desde Amazon SageMaker Studio Classic

Con Amazon SageMaker Studio Classic, puede supervisar el acceso a los recursos de los usuarios. Para ver la actividad de acceso a los recursos, puedes configurar AWS CloudTrail el monitoreo y registro de las actividades de los usuarios siguiendo los pasos que se indican en Registrar llamadas a la SageMaker API de Amazon con AWS CloudTrail.

Sin embargo, los AWS CloudTrail registros de acceso a los recursos solo incluyen la función de IAM de ejecución de Studio Classic como identificador. Este nivel de registro es suficiente para auditar la actividad del usuario cuando cada perfil de usuario tiene un rol de ejecución distinta. Sin embargo, cuando varios perfiles de usuario comparten una sola función de IAM de ejecución, no se puede obtener información sobre el usuario específico que accedió a los AWS recursos. 

Puede obtener información sobre qué usuario específico realizó una acción en un AWS CloudTrail registro cuando utilizó un rol de ejecución compartido, utilizando la sourceIdentity configuración para propagar el nombre del perfil de usuario de Studio Classic. Para obtener más información sobre la identidad de origen, consulte Supervisión y control de las acciones realizadas con roles asumidos.

Requisitos previos

  • Instale y configure los AWS Command Line Interface siguientes pasos que se indican en Instalación o actualización de la versión más reciente de AWS CLI.

  • Asegúrese de que los usuarios de Studio Classic de su dominio no tengan una política que les permita actualizar o modificar el dominio. 

  • Para activar o desactivar la sourceIdentity propagación, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar aplicaciones, consulta Cerrar y actualizar aplicaciones de Studio Classic.

  • Si la propagación de la identidad de origen está activada, todas las funciones de ejecución deben tener los siguientes permisos de política de confianza: 

    • Cualquier función que asuma la función de ejecución del dominio debe tener el sts:SetSourceIdentity permiso de la política de confianza. Si falta este permiso, tus acciones fallarán cuando llames a la API de creación de empleos AccessDeniedException o ValidationError cuando llames a ella. El siguiente ejemplo de política de confianza incluye el sts:SetSourceIdentity permiso.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Cuando asuma un rol con otro rol, lo que se denomina encadenamiento de roles, haga lo siguiente:

      • Se requieren permisos para sts:SetSourceIdentity tanto en la política de permisos de la entidad principal que está asumiendo el rol como en la política de confianza de rol del rol de destino. De lo contrario, la operación de rol asumido no se llevará a cabo correctamente.

      • Este encadenamiento de roles se puede producir en Studio Classic o en cualquier otro servicio derivado, como Amazon EMR. Para obtener más información sobre encadenamiento de roles, consulte Términos y conceptos de roles.

Consideraciones sobre el uso de sourceIdentity

Cuando realizas llamadas a la AWS API desde cuadernos de Studio Classic, SageMaker Canvas o Amazon SageMaker Data Wrangler, solo sourceIdentity se graba CloudTrail si esas llamadas se realizan mediante la sesión del rol de ejecución de Studio Classic o cualquier rol encadenado de esa sesión.

Cuando estas llamadas a la API invocan otros servicios para realizar operaciones adicionales, el sourceIdentity registro depende de la implementación específica de los servicios invocados.

  • Amazon SageMaker Processing: cuando creas un trabajo con estas funciones, las API de creación de trabajos no pueden ingerir lo sourceIdentity que existe en la sesión. Como resultado, las llamadas a la AWS API realizadas desde estos trabajos no se registran sourceIdentity en los CloudTrail registros.

  • Amazon SageMaker Training: cuando creas un trabajo de formación, las API de creación de empleo pueden incorporar lo sourceIdentity que existe en la sesión. Como resultado, cualquier llamada a la AWS API realizada desde estos trabajos se registra sourceIdentity en los CloudTrail registros.

  • Amazon SageMaker Model Building Pipelines: cuando crea trabajos mediante canalizaciones de CI/CD automatizadas, sourceIdentity se propaga en sentido descendente y se puede ver en los registros. CloudTrail

  • Amazon EMR: al conectarse a Amazon EMR desde Studio Classic mediante roles de tiempo de ejecución, los administradores deben configurar el campo de forma explícita. PropagateSourceIdentity Esto garantiza que Amazon EMR aplique las credenciales sourceIdentity de llamada a una sesión de trabajo o consulta. A continuación, sourceIdentity se registra en CloudTrail los registros.

nota

Se aplican las siguientes excepciones al utilizar sourceIdentity.

  • SageMaker Los espacios compartidos de Studio Classic no admiten el sourceIdentity acceso directo. AWS Las llamadas a la API realizadas desde espacios SageMaker compartidos no se registran sourceIdentity en CloudTrail los registros.

  • Si las llamadas a la AWS API se realizan desde sesiones creadas por los usuarios u otros servicios y las sesiones no se basan en la sesión de la función de ejecución de Studio Classic, no sourceIdentity se registran en CloudTrail los registros.

Activar sourceIdentity

La posibilidad de propagar el nombre del perfil de usuario como sourceIdentity en Studio Classic está desactivada de forma predeterminada.

Para habilitar la posibilidad de propagar el nombre del perfil de usuario como elsourceIdentity, utilícelo AWS CLI durante la creación y actualización del dominio. Esta característica está habilitada a nivel de dominio y no a nivel de perfil de usuario.

Tras habilitar esta configuración, los administradores pueden ver el perfil de usuario en el registro AWS CloudTrail del servicio al que se ha accedido. El perfil de usuario se proporciona como valor sourceIdentity en la sección userIdentity. Para obtener más información sobre el uso de AWS CloudTrail registros con SageMaker, consulte Registrar llamadas a la SageMaker API de Amazon con AWS CloudTrail.

Puede usar el siguiente código para permitir la propagación del nombre del perfil de usuario como el que aparece sourceIdentity durante la creación del dominio mediante la API create-domain. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Puede habilitar la propagación del nombre de perfil de usuario como sourceIdentity durante la actualización de dominio con la API update-domain.

Para actualizar esta configuración, todas las aplicaciones del dominio deben estar en el estado Stopped o Deleted. Para obtener más información sobre cómo detener y cerrar aplicaciones, consulte Apagar y actualizar las aplicaciones clásicas de Studio.

Utilice el siguiente código para permitir la propagación del nombre del perfil de usuario como sourceIdentity.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Desactivar sourceIdentity

También puede desactivar la propagación del nombre del perfil de usuario sourceIdentity mediante el AWS CLI. Esto ocurre durante la actualización del dominio al pasar el valor ExecutionRoleIdentityConfig=DISABLED del parámetro --domain-settings-for-update como parte de la llamada a la API update-domain.

En el AWS CLI, utilice el siguiente código para deshabilitar la propagación del nombre del perfil de usuario comosourceIdentity.

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]