Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Aktivieren Sie SourceIdentity in den CloudTrail Protokollen für AI Studio Classic SageMaker
<a name="monitor-user-access-how-to"></a>

Mit Amazon SageMaker Studio Classic können Sie den Zugriff auf Benutzerressourcen überwachen. In den AWS CloudTrail -Protokollen für den Ressourcenzugriff ist jedoch nur die IAM-Rolle für die Ausführung von Studio Classic als ID aufgeführt. Wenn eine einzelne Ausführungs-IAM-Rolle von mehreren Benutzerprofilen gemeinsam genutzt wird, müssen Sie die `sourceIdentity` Konfiguration verwenden, um Informationen über den spezifischen Benutzer abzurufen, der auf die AWS Ressourcen zugegriffen hat.

In den folgenden Themen wird erläutert, wie Sie die `sourceIdentity`-Konfiguration aktivieren oder deaktivieren.

**Topics**
+ [Voraussetzungen](#monitor-user-access-prereq)
+ [Aktivieren von sourceIdentity](#monitor-user-access-enable)
+ [Deaktivieren von sourceIdentity](#monitor-user-access-disable)

## Voraussetzungen
<a name="monitor-user-access-prereq"></a>
+ Installieren und konfigurieren Sie die AWS Command Line Interface folgenden Schritte unter [Installation oder Aktualisierung der neuesten Version von](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). AWS CLI
+ Stellen Sie sicher, dass Studio-Classic-Benutzer in Ihrer Domain nicht über eine Richtlinie verfügen, die es ihnen ermöglicht, die Domain zu aktualisieren oder zu ändern.  
+ Um die `sourceIdentity` Propagierung ein- oder auszuschalten, müssen sich alle Apps in der Domain im Status `Stopped` oder `Deleted` befinden. Weitere Informationen zum Beenden und Herunterfahren von Apps finden Sie unter [Studio-Classic-Apps herunterfahren und aktualisieren](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
+ Wenn die Weitergabe von Quellidentitäten aktiviert ist, müssen alle Ausführungsrollen über die folgenden Vertrauensrichtlinienberechtigungen verfügen: 
  + Jede Rolle, die die Ausführungsrolle der Domain annimmt, muss über die `sts:SetSourceIdentity`-Berechtigung in der Vertrauensrichtlinie verfügen. Fehlt diese Berechtigung, schlagen Ihre Aktionen mit `ValidationError` oder `AccessDeniedException` fehl, wenn Sie die Joberstellungs-API aufrufen. Die folgende Beispielrichtlinie enthält die `sts:SetSourceIdentity`-Berechtigung.

------
#### [ JSON ]

****  

    ```
    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "sagemaker.amazonaws.com"
                },
                "Action": [
                    "sts:AssumeRole",
                    "sts:SetSourceIdentity"
                ]
            }
        ]
    }
    ```

------
  + Wenn Sie eine Rolle mit einer anderen Rolle, der sogenannten Rollenverkettung, übernehmen, gehen Sie wie folgt vor:
    + Berechtigungen für `sts:SetSourceIdentity` sind sowohl in der Berechtigungsrichtlinie des Prinzipals, der die Rolle übernimmt, als auch in der Rollenvertrauensrichtlinie der Zielrolle erforderlich. Andernfalls schlägt die Operation fehl.
    +  Diese Rollenverkettung kann in Studio Classic oder einem anderen nachgelagerten Dienst wie Amazon EMR erfolgen. Weitere Informationen zur Rollenverkettung finden Sie unter [Begriffe und Konzepte für Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html). 

## Aktivieren von sourceIdentity
<a name="monitor-user-access-enable"></a>

Die Möglichkeit, den Benutzerprofilnamen wie `sourceIdentity` in Studio Classic weiterzugeben, ist standardmäßig deaktiviert.

Um die Möglichkeit zu aktivieren, den Namen des Benutzerprofils als weiterzuleiten`sourceIdentity`, verwenden Sie AWS CLI während der Domänenerstellung und der Domänenaktualisierung den. Diese Funktion ist auf Domainebene und nicht auf Benutzerprofilebene aktiviert.

 Nachdem Sie diese Konfiguration aktiviert haben, können Administratoren das Benutzerprofil im AWS CloudTrail Protokoll für den Dienst einsehen, auf den zugegriffen wurde. Das Benutzerprofil wird als `sourceIdentity` Wert im `userIdentity` Abschnitt angegeben. Weitere Informationen zur Verwendung von AWS CloudTrail Protokollen mit SageMaker KI finden Sie unter [Amazon SageMaker AI-API-Aufrufe protokollieren mit AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html). 

Sie können den folgenden Code verwenden, um die Weitergabe des Benutzerprofilnamens wie `sourceIdentity` bei der Domainerstellung mithilfe der `create-domain` API zu aktivieren. 

```
create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

Sie können die Weitergabe des Benutzerprofilnamens als `sourceIdentity` während der Domainaktualisierung mithilfe der `update-domain`-API aktivieren.

Um diese Konfiguration zu aktualisieren, müssen sich alle Anwendungen in der Domain im Status `Stopped` oder `Deleted` befinden. Weitere Informationen zum Beenden und Herunterfahren von Apps finden Sie unter [Studio-Classic-Apps herunterfahren und aktualisieren](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).

Verwenden Sie den folgenden Code, um die Weitergabe des Benutzerprofilnamens als `sourceIdentity` zu aktivieren.

```
update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

## Deaktivieren von sourceIdentity
<a name="monitor-user-access-disable"></a>

Sie können auch die Weitergabe des Benutzerprofilnamens als `sourceIdentity` mit dem Befehl AWS CLI ausschalten. Dies geschieht während der Domainaktualisierung, indem der `ExecutionRoleIdentityConfig=DISABLED` Wert für den `--domain-settings-for-update` Parameter als Teil des `update-domain` API-Aufrufs übergeben wird.

Verwenden Sie in der AWS CLI den folgenden Code, um die Weitergabe des Benutzerprofilnamens als zu deaktivieren`sourceIdentity`.

```
update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```