Prérequis Considérations relatives à l'utilisation de sourceIdentity Activer sourceIdentity Désactivation de sourceIdentity

Surveillance de l'accès aux ressources utilisateur depuis Amazon SageMaker Studio Classic

Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Pour afficher l'activité d'accès aux ressources, vous pouvez configurer AWS CloudTrail pour surveiller et enregistrer les activités des utilisateurs en suivant les étapes de la section Log Amazon SageMaker API Calls with AWS CloudTrail.

Toutefois, les AWS CloudTrail journaux d'accès aux ressources indiquent uniquement le rôle IAM d'exécution de Studio Classic comme identifiant. Ce niveau de journalisation est suffisant pour auditer l'activité des utilisateurs lorsque chaque profil utilisateur possède un rôle d'exécution distinct. Toutefois, lorsqu'un rôle IAM d'exécution unique est partagé entre plusieurs profils utilisateur, vous ne pouvez pas obtenir d'informations sur l'utilisateur spécifique qui a accédé aux AWS ressources.

Vous pouvez obtenir des informations sur l'utilisateur spécifique qui a effectué une action dans un AWS CloudTrail journal lorsque vous utilisez un rôle d'exécution partagé, en utilisant la sourceIdentity configuration pour propager le nom du profil utilisateur Studio Classic. Pour plus d'informations sur l'identité source, consultez Surveiller et contrôler les actions prises avec les rôles endossés.

Prérequis

Installez et configurez les AWS Command Line Interface étapes décrites dans la section Installation ou mise à jour de la dernière version du AWS CLI.
Assurez-vous que les utilisateurs de Studio Classic de votre domaine ne disposent pas d'une politique les autorisant à mettre à jour ou à modifier le domaine.
Pour activer ou désactiver la propagation sourceIdentity, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.
Si la propagation de l'identité source est activée, tous les rôles d'exécution doivent disposer des autorisations de politique de confiance suivantes :
- Tout rôle assumé par le rôle d'exécution du domaine doit être sts:SetSourceIdentity autorisé dans la politique de confiance. Si cette autorisation est absente, vos actions échouent avec AccessDeniedException ou ValidationError lorsque vous appelez l'API de création de tâches. L'exemple de politique de confiance suivant inclut l'sts:SetSourceIdentityautorisation.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}
```
- Lorsque vous endossez un rôle avec un autre rôle (chaînage de rôles), procédez comme suit :
  - Des autorisations sont exigées pour sts:SetSourceIdentity tant dans la politique d'autorisations du principal qui endosse le rôle que dans la politique d'approbation de rôle du rôle cible. Sinon, l'opération consistant à endosser le rôle échouera.
  - Ce chaînage des rôles peut se produire dans Studio Classic ou dans tout autre service en aval, tel qu'Amazon EMR. Pour plus d'informations sur le chaînage de rôles, consultez Termes et concepts relatifs aux rôles.

Considérations relatives à l'utilisation de `sourceIdentity`

Lorsque vous effectuez des appels d' AWS API depuis des blocs-notes Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler, ils ne sont enregistrés que CloudTrail si ces appels sont effectués à l'aide de la session de rôle d'exécution Studio Classic ou de tout autre rôle enchaîné issu de cette session. sourceIdentity

Lorsque ces appels d'API invoquent d'autres services pour effectuer des opérations supplémentaires, la journalisation de sourceIdentity dépend de l'implémentation spécifique des services invoqués.

Amazon SageMaker Processing : lorsque vous créez une tâche à l'aide de ces fonctionnalités, les API de création de tâches ne sont pas en mesure d'ingérer le sourceIdentity contenu de la session. Par conséquent, les appels d' AWS API effectués à partir de ces tâches ne sont pas enregistrés sourceIdentity dans les CloudTrail journaux.
Amazon SageMaker Training : lorsque vous créez une tâche de formation, les API de création de tâches sont en mesure d'ingérer sourceIdentity le contenu de la session. Par conséquent, tous les appels AWS d'API effectués à partir de ces tâches sont enregistrés sourceIdentity dans les CloudTrail journaux.
Amazon SageMaker Model Building Pipelines : lorsque vous créez des tâches à l'aide de pipelines CI/CD automatisés, elles sourceIdentity se propagent en aval et peuvent être consultées dans les journaux. CloudTrail
Amazon EMR : lors de la connexion à Amazon EMR depuis Studio Classic à l'aide de rôles d'exécution, les administrateurs doivent définir le champ de manière explicite. PropagateSourceIdentity Cela garantit qu'Amazon EMR applique les informations d'identification de sourceIdentity de l'appel à une tâche ou à une session de requête. Elles sourceIdentity sont ensuite enregistrées dans CloudTrail des journaux.

Note

Les exceptions suivantes s'appliquent avec sourceIdentity.

SageMaker Les espaces partagés Studio Classic ne prennent pas en charge sourceIdentity le transfert. AWS Les appels d'API effectués depuis des espaces SageMaker partagés ne sont pas enregistrés sourceIdentity dans CloudTrail les journaux.
Si les appels d' AWS API sont effectués à partir de sessions créées par des utilisateurs ou d'autres services et que les sessions ne sont pas basées sur la session de rôle d'exécution de Studio Classic, ils ne sourceIdentity sont pas enregistrés dans CloudTrail les journaux.

Activer `sourceIdentity`

La possibilité de propager le nom du profil utilisateur comme sourceIdentity dans Studio Classic est désactivée par défaut.

Pour permettre de propager le nom du profil utilisateur sous la forme desourceIdentity, utilisez le AWS CLI lors de la création et de la mise à jour du domaine. Cette fonctionnalité est activée au niveau du domaine et non au niveau du profil utilisateur.

Une fois cette configuration activée, les administrateurs peuvent consulter le profil utilisateur dans le journal AWS CloudTrail du service auquel vous avez accédé. Le profil utilisateur est donné en tant que valeur sourceIdentity dans la section userIdentity. Pour plus d'informations sur l'utilisation AWS CloudTrail des journaux avec SageMaker, consultez Log Amazon SageMaker API Calls with AWS CloudTrail.

Vous pouvez utiliser le code suivant pour activer la propagation du nom du profil utilisateur en tant que sourceIdentity lors de la création du domaine à l'aide de l'API create-domain.



create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Vous pouvez activer la propagation du nom du profil utilisateur en tant que sourceIdentity lors de la mise à jour du domaine à l'aide de l'API update-domain.

Pour mettre à jour cette configuration, toutes les applications du domaine doivent être dans l'état Stopped ou Deleted. Pour plus d'informations sur la façon d'arrêter et de fermer des applications, voir Arrêter et mettre à jour les applications classiques de Studio.

Utilisez le code suivant pour activer la propagation du nom du profil utilisateur en tant que sourceIdentity.



update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Désactivation de `sourceIdentity`

Vous pouvez également désactiver la propagation du nom du profil utilisateur en tant que sourceIdentity à l'aide de l'interface AWS CLI. Cela intervient lors de la mise à jour du domaine en transmettant la valeur ExecutionRoleIdentityConfig=DISABLED pour le paramètre --domain-settings-for-update dans le cadre de l'appel d'API update-domain.

Dans le AWS CLI, utilisez le code suivant pour désactiver la propagation du nom du profil utilisateur en tant quesourceIdentity.


update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Enregistrez SageMaker API les appels avec CloudTrail

Automatiser avec EventBridge