本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 SageMaker Studio Classic 监控单个用户的资源访问权限 sourceIdentity
使用 Amazon SageMaker Studio Classic,您可以监控用户资源访问情况。要查看资源访问活动,您可以按照记录 Amazon SageMaker API Calls 中的步骤进行配置 Amazon CloudTrail ,以监控和记录用户活动 Amazon CloudTrail。
但是,资源访问 Amazon CloudTrail 日志仅将 Studio Classic 执行IAM角色列为标识符。当每个用户配置文件都有不同的执行角色时,此级别的日志记录足以审计用户活动。但是,当多个用户配置文件之间共享一个执行IAM角色时,您将无法获得有关访问 Amazon 资源的特定用户的信息。
使用配置传播 Studio Classic 用户sourceIdentity
配置文件名称,您可以在 Amazon CloudTrail 日志中获取有关哪个特定用户在使用共享执行角色时执行了操作的信息。有关源身份的更多信息,请参阅监控和控制使用所担任角色执行的操作。要开sourceIdentity
启或关闭 CloudTrail 日志功能,请参阅打开 SageMaker Studio Classic 的 CloudTrail 日志记录 sourceIdentity 。
使用 sourceIdentity 时的注意事项
当您从 Studio Classic 笔记本电脑、 SageMaker Canvas 或 Amazon SageMaker Data Wrangler 拨打电话时, CloudTrail 只有在这些呼叫sourceIdentity
是使用 Studio Classic 执行角色会话或该会话中的任何链接角色进行通话时,才会记录这些呼叫。 Amazon API
当这些API调用调用其他服务来执行其他操作时,sourceIdentity
日志记录取决于所调用服务的具体实现。
-
A SageMaker mazon Processing:当您使用这些功能创建APIs任务时,创建的任务无法提取会话中
sourceIdentity
存在的任务。因此,从这些作业发出的任何 Amazon API呼叫都不会记录sourceIdentity
在 CloudTrail 日志中。 -
Amazon SageMaker Training:当您创建训练作业时,创建APIs的任务能够吸收会话中
sourceIdentity
存在的任务。因此,从这些作业发出的任何 Amazon API调用都会记录sourceIdentity
在 CloudTrail 日志中。 -
Amazon Pipelin SageMaker es:当您使用自动 CI/CD 管道创建任务时,
sourceIdentity
会向下游传播,并且可以在日志中查看。 CloudTrail -
亚马逊EMR:使用运行时角色EMR从 Studio Classic 连接到亚马逊时,管理员必须明确设置该 PropagateSourceIdentity 字段。这可确保 Amazon 将调用凭证EMR应用于任务或查询会话。
sourceIdentity
然后sourceIdentity
将其记录在 CloudTrail 日志中。
注意
使用 sourceIdentity
时存在以下例外:
-
SageMaker Studio Classic 共享空间不支持
sourceIdentity
直通。 Amazon API从 SageMaker 共享空间发出的呼叫不会记录sourceIdentity
在 CloudTrail 日志中。 -
如果通过用户或其他服务创建的会话进行 Amazon API呼叫,并且会话不是基于 Studio Classic 执行角色会话,
sourceIdentity
则不会记录在 CloudTrail 日志中。