Attiva SourceIdentity nei CloudTrail log per AI Studio Classic SageMaker - Amazon SageMaker AI
PrerequisitiAttivazione di sourceIdentityDisattivazione di sourceIdentity

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attiva SourceIdentity nei CloudTrail log per AI Studio Classic SageMaker

Con Amazon SageMaker Studio Classic, puoi monitorare l'accesso alle risorse degli utenti. Tuttavia, i log AWS CloudTrail per l’accesso alle risorse elencano come identificatore solo il ruolo IAM dell’esecuzione di Studio Classic. Quando un ruolo IAM di esecuzione singola viene condiviso tra diversi profili utente, è necessario utilizzare la sourceIdentity configurazione per ottenere informazioni sull'utente specifico che ha avuto accesso alle AWS risorse.

I seguenti argomenti descrivono come attivare o disattivare la configurazione sourceIdentity.

Prerequisiti

  • Installa e configura i AWS Command Line Interface seguenti passaggi descritti in Installazione o aggiornamento della versione più recente di AWS CLI.

  • Assicurati che gli utenti di Studio Classic del tuo dominio non dispongano di una policy che consenta loro di aggiornare o modificare il dominio. 

  • Per attivare o disattivare la propagazione sourceIdentity, tutte le app del dominio devono trovarsi nello stato Stopped o Deleted. Per ulteriori informazioni su come interrompere e chiudere le app, consulta Chiusura e aggiornamento delle app di Studio Classic.

  • Se la propagazione dell’identità di origine è attivata, tutti i ruoli di esecuzione devono disporre delle seguenti autorizzazioni relative alla policy di attendibilità: 

    • Qualsiasi ruolo assunto dal ruolo di esecuzione del dominio deve disporre dell’autorizzazione sts:SetSourceIdentity nella policy di attendibilità come indicato di seguito. Se manca questa autorizzazione, le tue azioni hanno esito negativo con AccessDeniedException o ValidationError quando chiami l’API per la creazione dei processi. La seguente policy di attendibilità di esempio include le autorizzazioni sts:SetSourceIdentity:

      JSON
      {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

    • Quando assumi un ruolo con un altro ruolo, chiamato concatenamento dei ruoli, procedi come segue:

      • Le autorizzazioni per sts:SetSourceIdentity sono necessarie sia nella policy di autorizzazione del principale che assume il ruolo sia nella policy di attendibilità del ruolo di destinazione. In caso contrario, l'operazione di assunzione del ruolo avrà esito negativo.

      • Questo concatenamento dei ruoli può avvenire in Studio Classic o in qualsiasi altro servizio downstream, come Amazon EMR. Per ulteriori informazioni sui concatenamento dei ruoli, consulta la sezione Termini e concetti dei ruoli.

Attivazione di sourceIdentity

La possibilità di propagare il nome del profilo utente come sourceIdentity in Studio Classic è disattivata per impostazione predefinita.

Per abilitare la possibilità di propagare il nome del profilo utente sotto forma disourceIdentity, utilizza il AWS CLI durante la creazione e l'aggiornamento del dominio. Questa funzionalità è abilitata a livello di dominio e non a livello di profilo utente.

Dopo aver abilitato questa configurazione, gli amministratori possono visualizzare il profilo utente nel log AWS CloudTrail del servizio a cui si accede. Il profilo utente viene fornito come valore sourceIdentity nella sezione userIdentity. Per ulteriori informazioni sull'utilizzo dei AWS CloudTrail log con l' SageMaker intelligenza artificiale, consulta Log Amazon SageMaker AI API Calls with AWS CloudTrail.

Puoi utilizzare il codice seguente per abilitare la propagazione del nome del profilo utente come sourceIdentity durante la creazione del dominio utilizzando l'API create-domain. 


create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Puoi abilitare la propagazione del nome del profilo utente come sourceIdentity durante l'aggiornamento del dominio utilizzando l'API update-domain.

Per aggiornare questa configurazione, tutte le app del dominio devono trovarsi nello stato Stopped o Deleted. Per ulteriori informazioni su come interrompere e chiudere le app, consulta Chiusura e aggiornamento delle app di Studio Classic.

Utilizza il codice seguente per abilitare la propagazione del nome del profilo utente come sourceIdentity.


update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]

Disattivazione di sourceIdentity

È inoltre possibile disattivare la propagazione del nome del profilo utente come sourceIdentity utilizzando AWS CLI. Ciò si verifica durante l'aggiornamento del dominio, passando il valore ExecutionRoleIdentityConfig=DISABLED del parametro --domain-settings-for-update come parte della chiamata API update-domain.

InAWS CLI, utilizza il codice seguente per disabilitare la propagazione del nome del profilo utente come. sourceIdentity

update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]