Aktivieren Sie SourceIdentity in den CloudTrail Protokollen für AI Studio Classic SageMaker - Amazon SageMaker KI
VoraussetzungenAktivieren von sourceIdentityDeaktivieren von sourceIdentity

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie SourceIdentity in den CloudTrail Protokollen für AI Studio Classic SageMaker

Mit Amazon SageMaker Studio Classic können Sie den Zugriff auf Benutzerressourcen überwachen. In den AWS CloudTrail-Protokollen für den Ressourcenzugriff ist jedoch nur die IAM-Rolle für die Ausführung von Studio Classic als ID aufgeführt. Wenn eine einzelne Ausführungs-IAM-Rolle von mehreren Benutzerprofilen gemeinsam genutzt wird, müssen Sie die sourceIdentity Konfiguration verwenden, um Informationen über den spezifischen Benutzer abzurufen, der auf die AWS Ressourcen zugegriffen hat.

In den folgenden Themen wird erläutert, wie Sie die sourceIdentity-Konfiguration aktivieren oder deaktivieren.

Voraussetzungen

  • Installieren und konfigurieren Sie die AWS Command Line Interface folgenden Schritte unter Installation oder Aktualisierung der neuesten Version von. AWS CLI

  • Stellen Sie sicher, dass Studio-Classic-Benutzer in Ihrer Domain nicht über eine Richtlinie verfügen, die es ihnen ermöglicht, die Domain zu aktualisieren oder zu ändern. 

  • Um die sourceIdentity Propagierung ein- oder auszuschalten, müssen sich alle Apps in der Domain im Status Stopped oder Deleted befinden. Weitere Informationen zum Beenden und Herunterfahren von Apps finden Sie unter Studio-Classic-Apps herunterfahren und aktualisieren.

  • Wenn die Weitergabe von Quellidentitäten aktiviert ist, müssen alle Ausführungsrollen über die folgenden Vertrauensrichtlinienberechtigungen verfügen: 

    • Jede Rolle, die die Ausführungsrolle der Domain annimmt, muss über die sts:SetSourceIdentity-Berechtigung in der Vertrauensrichtlinie verfügen. Fehlt diese Berechtigung, schlagen Ihre Aktionen mit ValidationError oder AccessDeniedException fehl, wenn Sie die Joberstellungs-API aufrufen. Die folgende Beispielrichtlinie enthält die sts:SetSourceIdentity-Berechtigung.

      JSON
      {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Wenn Sie eine Rolle mit einer anderen Rolle, der sogenannten Rollenverkettung, übernehmen, gehen Sie wie folgt vor:

      • Berechtigungen für sts:SetSourceIdentity sind sowohl in der Berechtigungsrichtlinie des Prinzipals, der die Rolle übernimmt, als auch in der Rollenvertrauensrichtlinie der Zielrolle erforderlich. Andernfalls schlägt die Operation fehl.

      • Diese Rollenverkettung kann in Studio Classic oder einem anderen nachgelagerten Dienst wie Amazon EMR erfolgen. Weitere Informationen zur Rollenverkettung finden Sie unter Begriffe und Konzepte für Rollen.

Aktivieren von sourceIdentity

Die Möglichkeit, den Benutzerprofilnamen wie sourceIdentity in Studio Classic weiterzugeben, ist standardmäßig deaktiviert.

Um die Möglichkeit zu aktivieren, den Namen des Benutzerprofils als weiterzuleitensourceIdentity, verwenden Sie AWS CLI während der Domänenerstellung und der Domänenaktualisierung den. Diese Funktion ist auf Domainebene und nicht auf Benutzerprofilebene aktiviert.

Nachdem Sie diese Konfiguration aktiviert haben, können Administratoren das Benutzerprofil im AWS CloudTrail Protokoll für den Dienst einsehen, auf den zugegriffen wurde. Das Benutzerprofil wird als sourceIdentity Wert im userIdentity Abschnitt angegeben. Weitere Informationen zur Verwendung von AWS CloudTrail Protokollen mit SageMaker KI finden Sie unter Amazon SageMaker AI-API-Aufrufe protokollieren mit AWS CloudTrail.

Sie können den folgenden Code verwenden, um die Weitergabe des Benutzerprofilnamens wie sourceIdentity bei der Domainerstellung mithilfe der create-domain API zu aktivieren. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Sie können die Weitergabe des Benutzerprofilnamens als sourceIdentity während der Domainaktualisierung mithilfe der update-domain-API aktivieren.

Um diese Konfiguration zu aktualisieren, müssen sich alle Anwendungen in der Domain im Status Stopped oder Deleted befinden. Weitere Informationen zum Beenden und Herunterfahren von Apps finden Sie unter Studio-Classic-Apps herunterfahren und aktualisieren.

Verwenden Sie den folgenden Code, um die Weitergabe des Benutzerprofilnamens als sourceIdentity zu aktivieren.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Deaktivieren von sourceIdentity

Sie können auch die Weitergabe des Benutzerprofilnamens als sourceIdentity mit dem Befehl AWS CLI ausschalten. Dies geschieht während der Domainaktualisierung, indem der ExecutionRoleIdentityConfig=DISABLED Wert für den --domain-settings-for-update Parameter als Teil des update-domain API-Aufrufs übergeben wird.

Verwenden Sie in der AWS CLI den folgenden Code, um die Weitergabe des Benutzerprofilnamens als zu deaktivierensourceIdentity.

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]