Enregistrez les appels SageMaker d'API Amazon avec AWS CloudTrail

Amazon SageMaker est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans SageMaker. CloudTrail capture tous les appels d'API pour SageMaker, à l'exception de InvokeEndpointet InvokeEndpointAsync, en tant qu'événements. Les appels capturés incluent des appels provenant de la SageMaker console et des appels de code vers les opérations de l' SageMaker API. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris les événements pour SageMaker. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite SageMaker, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.

Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

Par défaut, les données du journal sont stockées dans les CloudWatch journaux indéfiniment. Vous pouvez néanmoins configurer la durée de stockage des données de journaux dans un groupe de journaux. Pour plus d'informations, consultez la section Conservation des données du journal des modifications dans les CloudWatch journaux du guide de l'utilisateur Amazon CloudWatch Logs.

SageMaker Informations dans CloudTrail

CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité a lieu sur Amazon SageMaker, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre compte AWS. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour Amazon SageMaker, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS. Le journal d’activité consigne les événements de toutes les Régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autres services AWS pour analyser plus en profondeur les données d'événement collectées dans les journaux CloudTrail et agir sur celles-ci. Pour en savoir plus, consultez les ressources suivantes :

• Présentation de la création d’un journal d’activité

• CloudTrail Services et intégrations pris en charge

• Configuration des notifications Amazon SNS pour CloudTrail

• Réception de fichiers CloudTrail journaux de plusieurs régions et réception de fichiers CloudTrail journaux de plusieurs comptes

Toutes les SageMaker actions, à l'exception de InvokeEndpointet InvokeEndpointAsync, sont enregistrées CloudTrail et documentées dans le Operations. Par exemple, les appels auCreateTrainingJob, CreateEndpoint et les CreateNotebookInstance actions génèrent des entrées dans les fichiers CloudTrail journaux.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :

• Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou IAM.

• Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.

• Si la demande a été effectuée par un autre service AWS.

Pour plus d'informations, consultez la section Élément userIdentity CloudTrail .

Opérations effectuées par le réglage de modèle automatique

SageMaker prend en charge la journalisation des événements de service non liés à l'API dans vos fichiers CloudTrail journaux pour les tâches de réglage automatique des modèles. Ces événements sont liés à vos tâches de réglage, mais ne sont pas le résultat direct d'une requête du client à l'API AWS publique. Par exemple, lorsque vous créez une tâche de réglage d'hyperparamètres en appelant CreateHyperParameterTuningJob, SageMaker crée des tâches d'entraînement pour évaluer différentes combinaisons d'hyperparamètres afin de trouver le meilleur résultat. De même, lorsque vous appelez StopHyperParameterTuningJob pour arrêter une tâche de réglage d'hyperparamètres, SageMaker peut arrêter toutes tâches d'entraînement connexe en cours d'exécution. Les événements non liés à l'API liés à vos tâches de réglage sont enregistrés CloudTrail afin de vous aider à améliorer la gouvernance, la conformité, ainsi que l'audit des opérations et des risques de votre AWS compte.

Les entrées de journal générées par les événements de services non-API ont un eventType de AwsServiceEvent au lieu de AwsApiCall.

Comprendre les entrées du fichier SageMaker journal

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.

Les exemples suivants présentent une entrée de journal pour l'action CreateEndpoint, qui crée un point de terminaison pour déployer un modèle entraîné.

{
    "eventVersion":"1.05",
    "userIdentity": {
        "type":"IAMUser",
        "principalId":"AIXDAYQEXAMPLEUMLYNGL",
        "arn":"arn:aws:iam::123456789012:user/intern",
        "accountId":"123456789012",
        "accessKeyId":"ASXIAGXEXAMPLEQULKNXV",
        "userName":"intern"
    },
    "eventTime":"2018-01-02T13:39:06Z",
    "eventSource":"sagemaker.amazonaws.com",
    "eventName":"CreateEndpoint",
    "awsRegion":"us-west-2",
    "sourceIPAddress":"127.0.0.1",
    "userAgent":"USER_AGENT",
    "requestParameters": {
        "endpointName":"ExampleEndpoint",
        "endpointConfigName":"ExampleEndpointConfig"
    },
    "responseElements": {
        "endpointArn":"arn:aws:sagemaker:us-west-2:123456789012:endpoint/exampleendpoint"
    },
    "requestID":"6b1b42b9-EXAMPLE",
    "eventID":"a6f85b21-EXAMPLE",
    "eventType":"AwsApiCall",
    "recipientAccountId":"444455556666"
}

L'exemple suivant est une entrée de journal pour l'action CreateModel, qui crée un ou plusieurs conteneurs pour héberger un modèle entraîné précédemment.

{
    "eventVersion":"1.05",
    "userIdentity": {
        "type":"IAMUser",
        "principalId":"AIXDAYQEXAMPLEUMLYNGL",
        "arn":"arn:aws:iam::123456789012:user/intern",
        "accountId":"123456789012",
        "accessKeyId":"ASXIAGXEXAMPLEQULKNXV",
        "userName":"intern"
    },
    "eventTime":"2018-01-02T15:23:46Z",
    "eventSource":"sagemaker.amazonaws.com",
    "eventName":"CreateModel",
    "awsRegion":"us-west-2",
    "sourceIPAddress":"127.0.0.1",
    "userAgent":"USER_AGENT",
    "requestParameters": {
        "modelName":"ExampleModel",
        "primaryContainer": {
            "image":"174872318107.dkr.ecr.us-west-2.amazonaws.com/kmeans:latest"
        },
        "executionRoleArn":"arn:aws:iam::123456789012:role/EXAMPLEARN"
    },
    "responseElements": {
        "modelArn":"arn:aws:sagemaker:us-west-2:123456789012:model/barkinghappy2018-01-02t15-23-32-275z-ivrdog"
    },
    "requestID":"417b8dab-EXAMPLE",
    "eventID":"0f2b3e81-EXAMPLE",
    "eventType":"AwsApiCall",
    "recipientAccountId":"444455556666"
}