Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Surveillance de l'accès aux ressources utilisateur depuis SageMaker AI Studio Classic avec SourceIdentity
<a name="monitor-user-access"></a>

Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Pour afficher l'activité d'accès aux ressources, vous pouvez configurer AWS CloudTrail pour surveiller et enregistrer les activités des utilisateurs en suivant les étapes de la section [Log Amazon SageMaker API Calls with AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html). 

Toutefois, les AWS CloudTrail journaux d'accès aux ressources indiquent uniquement le rôle IAM d'exécution de Studio Classic comme identifiant. Ce niveau de journalisation est suffisant pour auditer l'activité des utilisateurs lorsque chaque profil utilisateur possède un rôle d'exécution distinct. Toutefois, lorsqu'un rôle IAM d'exécution unique est partagé entre plusieurs profils utilisateur, vous ne pouvez pas obtenir d'informations sur l'utilisateur spécifique qui a accédé aux AWS ressources.  

Vous pouvez obtenir des informations sur l’utilisateur spécifique qui a effectué une action dans un journal AWS CloudTrail lors de l’utilisation d’un rôle d’exécution partagé, à l’aide de la configuration de `sourceIdentity` pour propager le nom du profil utilisateur Studio Classic. Pour plus d'informations sur l'identité source, consultez [Surveiller et contrôler les actions prises avec les rôles endossés](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html). Pour `sourceIdentity` activer ou désactiver vos CloudTrail journaux, consultez[Activer SourceIdentity dans CloudTrail les journaux pour SageMaker AI Studio Classic](monitor-user-access-how-to.md).

## Considérations relatives à l’utilisation de sourceIdentity
<a name="monitor-user-access-considerations"></a>

Lorsque vous effectuez des appels d' AWS API depuis des blocs-notes Studio Classic, SageMaker Canvas ou Amazon SageMaker Data Wrangler, ils ne sont enregistrés que CloudTrail si ces appels sont effectués à l'aide de la session de rôle d'[exécution Studio Classic ou de tout autre rôle](sagemaker-roles.md) [enchaîné](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining) issu de cette session. `sourceIdentity`

Lorsque ces appels d'API invoquent d'autres services pour effectuer des opérations supplémentaires, la journalisation de `sourceIdentity` dépend de l'implémentation spécifique des services invoqués. 
+ Amazon SageMaker Training and Processing : lorsque vous créez une tâche à l'aide de la fonctionnalité de formation ou de la fonction de traitement, les appels de l'API de création de tâches ingèrent le `sourceIdentity` contenu existant dans la session. Par conséquent, tous les appels AWS d'API effectués à partir de ces tâches les enregistrent `sourceIdentity` dans les CloudTrail journaux.
+ Amazon SageMaker Pipelines : lorsque vous créez des tâches à l'aide de CI/CD pipelines automatisés, elles `sourceIdentity` se propagent en aval et peuvent être consultées dans les CloudTrail journaux.
+ [Amazon EMR : lors de la connexion à Amazon EMR depuis Studio Classic à l'aide de [rôles d'exécution, les](studio-notebooks-emr-cluster-rbac.md) administrateurs doivent définir le champ de manière explicite. PropagateSourceIdentity ](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-steps-runtime-roles.html) Cela garantit qu'Amazon EMR applique les informations d'identification de `sourceIdentity` de l'appel à une tâche ou à une session de requête. Elles `sourceIdentity` sont ensuite enregistrées dans CloudTrail des journaux.

**Note**  
Les exceptions suivantes s'appliquent avec `sourceIdentity`.  
SageMaker Les espaces partagés Studio Classic ne prennent pas en charge `sourceIdentity` le transfert. AWS Les appels d'API effectués à partir d'espaces partagés basés sur l' SageMaker IA ne sont pas enregistrés `sourceIdentity` dans CloudTrail les journaux.
Si les appels d' AWS API sont effectués à partir de sessions créées par des utilisateurs ou d'autres services et que les sessions ne sont pas basées sur la session de rôle d'exécution de Studio Classic, ils ne `sourceIdentity` sont pas enregistrés dans CloudTrail les journaux.