Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Activer SourceIdentity dans CloudTrail les journaux pour SageMaker AI Studio Classic

PDF
RSS
Mode de mise au point
Activer SourceIdentity dans CloudTrail les journaux pour SageMaker AI Studio Classic - Amazon SageMaker AI
PrérequisActivez SourceIdentityDésactiver SourceIdentity

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Toutefois, les AWS CloudTrail journaux d'accès aux ressources indiquent uniquement le rôle IAM d'exécution de Studio Classic comme identifiant. Lorsqu'un rôle IAM d'exécution unique est partagé entre plusieurs profils utilisateur, vous devez utiliser la sourceIdentity configuration pour obtenir des informations sur l'utilisateur spécifique qui a accédé aux AWS ressources.

Les rubriques suivantes expliquent comment activer ou désactiver la sourceIdentity configuration.

Prérequis

  • Installez et configurez les AWS Command Line Interface étapes décrites dans la section Installation ou mise à jour de la dernière version du AWS CLI.

  • Assurez-vous que les utilisateurs de Studio Classic de votre domaine ne disposent pas d'une politique les autorisant à mettre à jour ou à modifier le domaine. 

  • Pour activer ou désactiver la propagation sourceIdentity, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.

  • Si la propagation de l'identité source est activée, tous les rôles d'exécution doivent disposer des autorisations de politique de confiance suivantes : 

    • Tout rôle assumé par le rôle d'exécution du domaine doit être sts:SetSourceIdentity autorisé dans la politique de confiance. Si cette autorisation est absente, vos actions échouent avec AccessDeniedException ou ValidationError lorsque vous appelez l'API de création de tâches. L'exemple de politique de confiance suivant inclut l'sts:SetSourceIdentityautorisation.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Lorsque vous endossez un rôle avec un autre rôle (chaînage de rôles), procédez comme suit :

      • Des autorisations sont exigées pour sts:SetSourceIdentity tant dans la politique d'autorisations du principal qui endosse le rôle que dans la politique d'approbation de rôle du rôle cible. Sinon, l'opération consistant à endosser le rôle échouera.

      • Ce chaînage des rôles peut se produire dans Studio Classic ou dans tout autre service en aval, tel qu'Amazon EMR. Pour plus d'informations sur le chaînage de rôles, consultez Termes et concepts relatifs aux rôles.

Activez SourceIdentity

La possibilité de propager le nom du profil utilisateur comme sourceIdentity dans Studio Classic est désactivée par défaut.

Pour permettre de propager le nom du profil utilisateur sous la forme desourceIdentity, utilisez le AWS CLI lors de la création et de la mise à jour du domaine. Cette fonctionnalité est activée au niveau du domaine et non au niveau du profil utilisateur.

Une fois cette configuration activée, les administrateurs peuvent consulter le profil utilisateur dans le journal AWS CloudTrail du service auquel vous avez accédé. Le profil utilisateur est donné en tant que valeur sourceIdentity dans la section userIdentity. Pour plus d'informations sur l'utilisation AWS CloudTrail des journaux avec l' SageMaker IA, consultez la section Enregistrer les appels d'API Amazon SageMaker AI avec AWS CloudTrail.

Vous pouvez utiliser le code suivant pour activer la propagation du nom du profil utilisateur en tant que sourceIdentity lors de la création du domaine à l'aide de l'API create-domain. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Vous pouvez activer la propagation du nom du profil utilisateur en tant que sourceIdentity lors de la mise à jour du domaine à l'aide de l'API update-domain.

Pour mettre à jour cette configuration, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.

Utilisez le code suivant pour activer la propagation du nom du profil utilisateur en tant que sourceIdentity.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Désactiver SourceIdentity

Vous pouvez également désactiver la propagation du nom du profil utilisateur en tant que sourceIdentity à l'aide de l'interface AWS CLI. Cela intervient lors de la mise à jour du domaine en transmettant la valeur ExecutionRoleIdentityConfig=DISABLED pour le paramètre --domain-settings-for-update dans le cadre de l'appel d'API update-domain.

Dans le AWS CLI, utilisez le code suivant pour désactiver la propagation du nom du profil utilisateur en tant quesourceIdentity.

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Sur cette page

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.