Monitore o acesso de usuários individuais aos recursos do SageMaker Studio Classic com sourceIdentity - Amazon SageMaker
Considerações ao usar o sourceIdentity

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitore o acesso de usuários individuais aos recursos do SageMaker Studio Classic com sourceIdentity

Com o Amazon SageMaker Studio Classic, você pode monitorar o acesso aos recursos do usuário. Para visualizar a atividade de acesso a recursos, você pode configurar AWS CloudTrail para monitorar e registrar as atividades do usuário seguindo as etapas em Registrar SageMaker API chamadas da Amazon com AWS CloudTrail.

No entanto, os AWS CloudTrail registros de acesso a recursos listam apenas a IAM função de execução do Studio Classic como identificador. Esse nível de registro em log é suficiente para auditar a atividade do usuário quando cada perfil de usuário tem um perfil de execução distinto. No entanto, quando uma única IAM função de execução é compartilhada entre vários perfis de usuário, você não pode obter informações sobre o usuário específico que acessou os AWS recursos. 

Você pode obter informações sobre qual usuário específico realizou uma ação em um AWS CloudTrail registro ao usar uma função de execução compartilhada, usando a sourceIdentity configuração para propagar o nome do perfil de usuário do Studio Classic. Para obter mais informações sobre a identidade de origem, consulte Ações de controle e monitoramento realizadas com funções assumidas. Para sourceIdentity ativar ou desativar seus CloudTrail registros, consulteAtivar sourceIdentity os CloudTrail registros do SageMaker Studio Classic.

Considerações ao usar o sourceIdentity

Quando você faz AWS API chamadas de notebooks Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler, elas são registradas somente sourceIdentity CloudTrail se essas chamadas forem feitas usando a sessão de função de execução do Studio Classic ou qualquer função encadeada dessa sessão.

Quando essas API chamadas invocam outros serviços para realizar operações adicionais, o sourceIdentity registro depende da implementação específica dos serviços invocados.

  • Amazon SageMaker Processing: Quando você cria um trabalho usando esses recursos, a criação APIs do trabalho não consegue ingerir o sourceIdentity que existe na sessão. Como resultado, todas AWS API as chamadas feitas a partir desses trabalhos não são sourceIdentity registradas nos CloudTrail registros.

  • Amazon SageMaker Training: Quando você cria um trabalho de treinamento, a criação de emprego APIs é capaz de ingerir o sourceIdentity que existe na sessão. Como resultado, todas as AWS API chamadas feitas a partir desses trabalhos são sourceIdentity registradas nos CloudTrail registros.

  • Amazon SageMaker Pipelines: quando você cria trabalhos usando pipelines automatizados de CI/CD, eles sourceIdentity se propagam a jusante e podem ser visualizados nos registros. CloudTrail

  • AmazonEMR: Ao se conectar à Amazon a EMR partir do Studio Classic usando funções de tempo de execução, os administradores devem definir explicitamente o PropagateSourceIdentity campo. Isso garante que a Amazon EMR aplique as credenciais sourceIdentity de chamada a um trabalho ou sessão de consulta. Em seguida, sourceIdentity é registrado em CloudTrail registros.

nota

As seguintes exceções se aplicam ao usar sourceIdentity.

  • SageMaker Os espaços compartilhados do Studio Classic não oferecem suporte à sourceIdentity passagem. AWS APIas chamadas feitas a partir de espaços SageMaker compartilhados não são sourceIdentity registradas nos CloudTrail registros.

  • Se as AWS API chamadas forem feitas a partir de sessões criadas por usuários ou outros serviços e as sessões não forem baseadas na sessão da função de execução do Studio Classic, elas sourceIdentity não serão registradas nos CloudTrail registros.