Memantau akses sumber daya pengguna dari Amazon SageMaker Studio Classic - Amazon SageMaker
PrasyaratPertimbangan saat menggunakan sourceIdentityMengaktifkan sourceIdentityMatikan sourceIdentity

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau akses sumber daya pengguna dari Amazon SageMaker Studio Classic

Dengan Amazon SageMaker Studio Classic, Anda dapat memantau akses sumber daya pengguna. Untuk melihat aktivitas akses sumber daya, Anda dapat mengonfigurasi AWS CloudTrail untuk memantau dan merekam aktivitas pengguna dengan mengikuti langkah-langkah di Log Amazon SageMaker API Calls dengan AWS CloudTrail.

Namun, AWS CloudTrail log untuk akses sumber daya hanya mencantumkan peran IAM eksekusi Studio Classic sebagai pengenal. Tingkat logging ini cukup untuk mengaudit aktivitas pengguna ketika setiap profil pengguna memiliki peran eksekusi yang berbeda. Namun, ketika peran IAM eksekusi tunggal dibagi antara beberapa profil pengguna, Anda tidak bisa mendapatkan informasi tentang pengguna tertentu yang mengakses AWS sumber daya. 

Anda bisa mendapatkan informasi tentang pengguna tertentu yang melakukan tindakan dalam AWS CloudTrail log saat menggunakan peran eksekusi bersama, menggunakan sourceIdentity konfigurasi untuk menyebarkan nama profil pengguna Studio Classic. Untuk informasi selengkapnya tentang identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan.

Prasyarat

  • Instal dan konfigurasikan langkah-langkah AWS Command Line Interface berikut dalam Menginstal atau memperbarui versi terbaru dari AWS CLI.

  • Pastikan pengguna Studio Classic di domain Anda tidak memiliki kebijakan yang memungkinkan mereka memperbarui atau memodifikasi domain. 

  • Untuk mengaktifkan atau menonaktifkan sourceIdentity propagasi, semua aplikasi di domain harus dalam Deleted status Stopped atau. Untuk informasi selengkapnya tentang cara menghentikan dan mematikan aplikasi, lihat Menutup dan Memperbarui Aplikasi Studio Classic.

  • Jika propagasi identitas sumber diaktifkan, semua peran eksekusi harus memiliki izin kebijakan kepercayaan berikut: 

    • Peran apa pun yang diasumsikan oleh peran eksekusi domain harus memiliki sts:SetSourceIdentity izin dalam kebijakan kepercayaan. Jika izin ini tidak ada, tindakan Anda gagal dengan AccessDeniedException atau ValidationError saat Anda memanggil API pembuatan pekerjaan. Contoh kebijakan kepercayaan berikut mencakup sts:SetSourceIdentity izin.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Ketika Anda mengambil peran dengan peran lain, yang disebut rantai peran, lakukan hal berikut:

      • Izin untuk sts:SetSourceIdentity diperlukan baik dalam kebijakan izin prinsipal yang mengambil peran, dan dalam kebijakan kepercayaan peran peran target. Jika tidak, peran operasi asumsi akan gagal.

      • Rantai peran ini dapat terjadi di Studio Classic atau layanan hilir lainnya, seperti Amazon EMR. Untuk informasi selengkapnya tentang rantai peran, lihat Istilah dan konsep peran.

Pertimbangan saat menggunakan sourceIdentity

Saat Anda melakukan panggilan AWS API dari notebook Studio Classic, SageMaker Canvas, atau Amazon SageMaker Data Wrangler, panggilan hanya akan direkam CloudTrail jika panggilan tersebut dilakukan menggunakan sesi peran eksekusi Studio Classic atau peran berantai apa pun dari sesi tersebut. sourceIdentity

Ketika panggilan API ini memanggil layanan lain untuk melakukan operasi tambahan, sourceIdentity logging bergantung pada implementasi spesifik dari layanan yang dipanggil.

  • Amazon SageMaker Processing: Saat Anda membuat lowongan kerja menggunakan fitur-fitur ini, API pembuatan lowongan kerja tidak dapat memanfaatkan sourceIdentity yang ada di sesi tersebut. Akibatnya, panggilan AWS API apa pun yang dilakukan dari pekerjaan ini tidak tercatat sourceIdentity di CloudTrail log.

  • SageMaker Pelatihan Amazon: Saat Anda membuat pekerjaan pelatihan, API pembuatan pekerjaan dapat mencerna apa sourceIdentity yang ada di sesi tersebut. Akibatnya, panggilan AWS API apa pun yang dibuat dari pekerjaan ini tercatat sourceIdentity di CloudTrail log.

  • Pipa Pembuatan SageMaker Model Amazon: Saat Anda membuat pekerjaan menggunakan pipeline CI/CD otomatis, sourceIdentity menyebar ke hilir dan dapat dilihat di log. CloudTrail

  • Amazon EMR: Saat menghubungkan ke Amazon EMR dari Studio Classic menggunakan peran runtime, administrator harus secara eksplisit menyetel bidang. PropagateSourceIdentity Ini memastikan bahwa Amazon EMR menerapkan sourceIdentity dari kredensi panggilan ke sesi pekerjaan atau kueri. Kemudian sourceIdentity direkam dalam CloudTrail log.

catatan

Pengecualian berikut berlaku saat menggunakansourceIdentity.

  • SageMaker Ruang bersama Studio Classic tidak mendukung sourceIdentity passthrough. AWS Panggilan API yang dibuat dari spasi SageMaker bersama tidak merekam sourceIdentity dalam CloudTrail log.

  • Jika panggilan AWS API dibuat dari sesi yang dibuat oleh pengguna atau layanan lain dan sesi tidak didasarkan pada sesi peran eksekusi Studio Classic, maka panggilan tersebut sourceIdentity tidak direkam dalam CloudTrail log.

Mengaktifkan sourceIdentity

Kemampuan untuk menyebarkan nama profil pengguna seperti sourceIdentity di Studio Classic dimatikan secara default.

Untuk mengaktifkan kemampuan untuk menyebarkan nama profil pengguna sebagaisourceIdentity, gunakan AWS CLI selama pembuatan domain dan pembaruan domain. Fitur ini diaktifkan di tingkat domain dan bukan di tingkat profil pengguna.

Setelah Anda mengaktifkan konfigurasi ini, administrator dapat melihat profil pengguna di AWS CloudTrail log untuk layanan yang diakses. Profil pengguna diberikan sebagai sourceIdentity nilai di userIdentity bagian. Untuk informasi selengkapnya tentang menggunakan AWS CloudTrail log dengan SageMaker, lihat Log Panggilan SageMaker API Amazon dengan AWS CloudTrail.

Anda dapat menggunakan kode berikut untuk mengaktifkan propagasi nama profil pengguna sebagai sourceIdentity selama pembuatan domain menggunakan create-domain API. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Anda dapat mengaktifkan propagasi nama profil pengguna sebagai sourceIdentity selama pembaruan domain menggunakan update-domain API.

Untuk memperbarui konfigurasi ini, semua aplikasi di domain harus dalam Deleted status Stopped atau. Untuk informasi selengkapnya tentang cara menghentikan dan mematikan aplikasi, lihat Menutup dan Memperbarui Aplikasi Studio Classic.

Gunakan kode berikut untuk mengaktifkan propagasi nama profil pengguna sebagai. sourceIdentity


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Matikan sourceIdentity

Anda juga dapat mematikan propagasi nama profil pengguna sebagai sourceIdentity menggunakan. AWS CLI Ini terjadi selama pembaruan domain dengan meneruskan ExecutionRoleIdentityConfig=DISABLED nilai untuk --domain-settings-for-update parameter sebagai bagian dari panggilan update-domain API.

Dalam AWS CLI, gunakan kode berikut untuk menonaktifkan propagasi nama profil pengguna sebagai. sourceIdentity

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]