を使用して Studio Classic からの SageMaker個々のユーザーリソースアクセスをモニタリングする sourceIdentity - Amazon SageMaker
sourceIdentity を使用するときの考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用して Studio Classic からの SageMaker個々のユーザーリソースアクセスをモニタリングする sourceIdentity

Amazon SageMaker Studio Classic では、ユーザーリソースへのアクセスをモニタリングできます。リソースアクセスアクティビティを表示するには、 で Amazon SageMaker API コールを記録する AWS CloudTrail の手順に従って、ユーザーアクティビティをモニタリングおよび記録 AWS CloudTrail するように を設定できます。

ただし、リソースアクセスの AWS CloudTrail ログには、Studio Classic 実行IAMロールのみが識別子として一覧表示されます。このレベルのログは、各ユーザープロファイルに異なる実行ロールが割り当てられている場合、ユーザーアクティビティを監査するのに十分です。ただし、単一の実行IAMロールが複数のユーザープロファイル間で共有されている場合、 AWS リソースにアクセスした特定のユーザーに関する情報を取得することはできません。 

共有実行ロールを使用する際に、Studio Classic ユーザープロファイル名を伝達する設定を使用してsourceIdentity、特定のユーザーがアクションを実行したかどうかを AWS CloudTrail ログで確認できます。ソース ID の詳細については、「引き受けたロールで実行されるアクションのモニタリングと制御」を参照してください。 CloudTrail ログのsourceIdentityオンまたはオフを切り替えるには、「」を参照してくださいStudio Classic sourceIdentity の CloudTrail ログで SageMaker を有効にする

sourceIdentity を使用するときの考慮事項

Studio Classic ノートブック、 SageMaker Canvas、または Amazon SageMaker Data Wrangler から呼び出しを行う AWS APIと、 CloudTrail sourceIdentityは Studio Classic 実行ロールセッションまたはそのセッションからの連鎖ロールを使用して呼び出しが行われた場合にのみ に記録されます。

これらのAPI呼び出しが他の サービスを呼び出して追加のオペレーションを実行する場合、sourceIdentityログ記録は呼び出したサービスの特定の実装によって異なります。

  • Amazon SageMaker 処理: これらの機能を使用してジョブを作成すると、ジョブの作成APIsはセッションsourceIdentityに存在する を取り込むことができません。その結果、 AWS APIこれらのジョブから行われた呼び出しは CloudTrail ログsourceIdentityに記録されません。

  • Amazon SageMaker トレーニング: トレーニングジョブを作成すると、ジョブの作成APIsはセッションsourceIdentityに存在する を取り込むことができます。その結果、これらのジョブから行われたAPI呼び出しは AWS CloudTrail ログsourceIdentityに記録されます。

  • Amazon SageMaker Pipelines: 自動 CI/CD パイプラインを使用してジョブを作成すると、 sourceIdentity はダウンストリームに伝播し、ログに CloudTrail表示できます。

  • Amazon EMR: ランタイムロール を使用して Studio Classic EMRから Amazon に接続する場合、管理者は明示的に PropagateSourceIdentity フィールド を設定する必要があります。これにより、Amazon は呼び出し認証情報sourceIdentityからジョブまたはクエリセッションに EMRを適用できます。その後、 sourceIdentityは CloudTrail ログに記録されます。

注記

sourceIdentity を使用する場合、以下の例外が適用されます。

  • SageMaker Studio Classic 共有スペースはsourceIdentityパススルーをサポートしていません。 AWS API SageMaker 共有スペースからの呼び出しは CloudTrail ログsourceIdentityに記録されません。

  • ユーザーまたは他のサービスによって作成されたセッションから呼び出しが行われ、セッションが Studio Classic AWS API実行ロールセッションに基づいていない場合、 sourceIdentityは CloudTrail ログに記録されません。