Amazon SageMaker 스튜디오 클래식에서의 사용자 리소스 액세스 모니터링 - 아마존 SageMaker
사전 조건sourceIdentity 사용 시 고려 사항sourceIdentity 켜기sourceIdentity 끄기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon SageMaker 스튜디오 클래식에서의 사용자 리소스 액세스 모니터링

Amazon SageMaker Studio Classic을 사용하면 사용자 리소스 액세스를 모니터링할 수 있습니다. 리소스 액세스 활동을 보려면 다음을 구성하면 됩니다. AWS CloudTrail Amazon SageMaker API Calls 로그 기록의 단계에 따라 사용자 활동을 모니터링하고 기록합니다. AWS CloudTrail.

하지만 AWS CloudTrail 리소스 액세스 로그에는 Studio Classic 실행 IAM 역할만 식별자로 나열됩니다. 이 수준의 로깅은 각 사용자 프로필에 고유한 실행 역할이 있을 때 사용자 활동을 감사하기에 충분합니다. 하지만 여러 사용자 프로필 간에 단일 실행 IAM 역할을 공유하는 경우에는 해당 프로필에 액세스한 특정 사용자에 대한 정보를 얻을 수 없습니다. AWS 있습니다. 

특정 사용자가 특정 계정에서 작업을 수행했는지에 대한 정보를 얻을 수 있습니다. AWS CloudTrail Studio Classic 사용자 프로필 이름을 전파하는 sourceIdentity 구성을 사용하여 공유 실행 역할을 사용할 때 기록합니다. 소스 ID에 대해 자세히 알아보려면 위임된 역할로 수행한 작업 모니터링 및 제어를 참고하세요.

사전 조건

  • 설치 및 구성 AWS Command Line Interface 최신 버전 설치 또는 업데이트의 단계에 따라 AWS CLI.

  • 도메인의 Studio Classic 사용자에게 도메인 업데이트 또는 수정을 허용하는 정책이 없는지 확인하십시오. 

  • sourceIdentity 전파를 켜거나 끄려면 도메인의 모든 앱이 Stopped 또는 Deleted 상태여야 합니다. 앱을 중지하고 종료하는 방법에 대한 자세한 내용은 Studio Classic 앱 종료 및 업데이트를 참조하십시오.

  • 소스 ID 전파가 켜져 있는 경우 모든 실행 역할에 다음과 같은 신뢰 정책 권한이 있어야 합니다. 

    • 도메인의 실행 역할이 맡는 모든 역할에는 트러스트 정책의 sts:SetSourceIdentity 권한이 있어야 합니다. 이 권한이 없는 경우 작업 생성 ValidationError API 시 AccessDeniedException 또는 호출 시 작업이 실패합니다. 다음 예제 신뢰 정책에는 sts:SetSourceIdentity 권한이 포함되어 있습니다.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • 역할 체이닝이라고 하는 다른 역할을 맡을 때는 다음과 같이 하세요.

      • 역할을 맡고 있는 보안 주체의 권한 정책 및 대상 역할의 역할 신뢰 정책 모두에서 sts:SetSourceIdentity에 대한 권한이 필요합니다. 그렇지 않으면 역할 수임 작업이 실패합니다.

      • 이 역할 체인은 Studio Classic 또는 Amazon과 같은 다른 다운스트림 서비스에서 발생할 수 있습니다. EMR 역할 체이닝에 대한 자세한 내용은 역할 용어 및 개념을 참고하세요.

sourceIdentity 사용 시 고려 사항

다음과 같은 작업을 수행하면 AWS APIStudio Classic 노트북, SageMaker Canvas 또는 Amazon SageMaker Data Wrangler에서 CloudTrail 걸려온 통화는 Studio Classic 실행 역할 세션 또는 해당 세션의 체인 역할을 사용하여 이루어진 경우에만 기록됩니다. sourceIdentity

이러한 API 호출이 다른 서비스를 호출하여 추가 작업을 수행하는 경우 sourceIdentity 로깅은 호출된 서비스의 특정 구현에 따라 달라집니다.

  • Amazon SageMaker Processing: 이러한 기능을 사용하여 작업을 생성하는 경우 작업 생성 APIs 시 세션에 sourceIdentity 있는 작업을 수집할 수 없습니다. 그 결과, 임의 AWS API이러한 작업에서 걸려온 통화는 sourceIdentity CloudTrail 로그에 기록되지 않습니다.

  • Amazon SageMaker Training: 교육 작업을 생성하면 작업 생성 APIs 시 세션에 sourceIdentity 있는 내용을 수집할 수 있습니다. 그 결과, 모든 AWS API이러한 작업에서 걸려온 통화는 sourceIdentity CloudTrail 로그에 기록됩니다.

  • Amazon SageMaker sourceIdentity Pipelines: 자동화된 CI/CD 파이프라인을 사용하여 작업을 생성하면 다운스트림으로 전파되어 로그에서 확인할 수 있습니다. CloudTrail

  • AmazonEMR: 런타임 역할을 사용하여 Studio EMR Classic에서 Amazon에 연결하는 경우 관리자는 필드를 명시적으로 설정해야 합니다. PropagateSourceIdentity 이렇게 하면 Amazon이 호출 자격 증명을 작업 또는 쿼리 세션에 EMR 적용할 수 있습니다. sourceIdentity 그러면 CloudTrail 로그에 기록됩니다. sourceIdentity

참고

sourceIdentity를 사용할 때 다음과 같은 예외가 적용됩니다.

  • SageMaker Studio Classic 공유 공간은 sourceIdentity 패스스루를 지원하지 않습니다. AWS API SageMaker 공유 공간에서 걸려온 통화는 sourceIdentity CloudTrail 로그에 기록되지 않습니다.

  • If AWS API사용자 또는 다른 서비스에 의해 생성된 세션에서 호출이 이루어지며 세션은 Studio Classic 실행 역할 세션을 기반으로 하지 않으므로 CloudTrail 로그에 기록되지 않습니다. sourceIdentity

sourceIdentity 켜기

Studio Classic에서와 같이 사용자 프로필 이름을 전파하는 기능은 기본적으로 꺼져 있습니다. sourceIdentity

사용자 프로필 이름을 다음과 같이 전파하는 기능을 활성화하려면 다음을 사용하십시오sourceIdentity. AWS CLI 도메인 생성 및 도메인 업데이트 중 이 기능은 사용자 프로필 수준이 아닌 도메인 수준에서 사용할 수 있습니다.

이 구성을 활성화하면 관리자는 다음 사용자 프로필을 볼 수 있습니다. AWS CloudTrail 액세스한 서비스의 로그. 사용자 프로필은 userIdentity 섹션의 sourceIdentity 값으로 제공됩니다. 사용에 대한 자세한 내용은 AWS CloudTrail 를 사용하여 SageMaker 기록합니다. Amazon SageMaker API 통화 기록을 참조하십시오. AWS CloudTrail.

다음 코드를 사용하면 를 사용하여 도메인을 생성할 sourceIdentity 때와 같이 사용자 프로필 이름을 전파할 수 있습니다. create-domain API 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

를 사용하여 도메인을 업데이트하는 sourceIdentity 동안처럼 사용자 프로필 이름을 전파할 수 있습니다. update-domain API

이 구성을 업데이트하려면 도메인의 모든 앱이 Stopped 또는 Deleted 상태여야 합니다. 앱을 중지하고 종료하는 방법에 대한 자세한 내용은 Studio Classic 앱 종료 및 업데이트를 참조하십시오.

다음 코드를 사용하면 sourceIdentity와 마찬가지로 사용자 프로필 이름을 전파할 수 있습니다.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

sourceIdentity 끄기

다음을 sourceIdentity 사용하여 사용자 프로필 이름의 전파를 끌 수도 있습니다. AWS CLI. 이는 도메인 업데이트 중에 update-domain API 호출의 일부로 --domain-settings-for-update 매개 변수 ExecutionRoleIdentityConfig=DISABLED 값을 전달하여 발생합니다.

에서 AWS CLI다음 코드를 사용하여 사용자 프로필 이름을 로 전파하지 않도록 설정합니다. sourceIdentity 

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]