Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Activa SourceIdentity en CloudTrail los registros de SageMaker AI Studio Classic
Con Amazon SageMaker Studio Classic, puede supervisar el acceso a los recursos de los usuarios. Sin embargo, los registros de AWS CloudTrail de acceso a recursos solo incluyen el rol de IAM de ejecución de Studio Classic como identificador. Cuando varios perfiles de usuario comparten una sola función de IAM de ejecución, debe usar la `sourceIdentity` configuración para obtener información sobre el usuario específico que accedió a los AWS recursos.
En los siguientes temas se explica cómo activar o desactivar la configuración de `sourceIdentity`.
**Topics**
+ [
## Requisitos previos
](#monitor-user-access-prereq)
+ [
## Activación de sourceIdentity
](#monitor-user-access-enable)
+ [
## Cierre de sourceIdentity
](#monitor-user-access-disable)
## Requisitos previos
+ Instale y configure los AWS Command Line Interface siguientes pasos que se indican en [Instalación o actualización de la última versión de](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). AWS CLI
+ Asegúrese de que los usuarios de Studio Classic del dominio no tengan una política que les permita actualizar o modificar el dominio.
+ Para activar o desactivar la `sourceIdentity` propagación, todas las aplicaciones del dominio deben estar en el estado `Stopped` o `Deleted`. Para obtener más información sobre cómo detener y cerrar las aplicaciones, consulte [Shut down and Update Studio Classic Apps](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
+ Si la propagación de la identidad de origen está activada, todos los roles de ejecución deben tener los siguientes permisos de política de confianza:
+ Cualquier rol que asuma el rol de ejecución del dominio debe tener el permiso `sts:SetSourceIdentity` de la política de confianza. Si falta este permiso, no se podrá realizar ninguna acción con `AccessDeniedException` o `ValidationError` al llamar a la API de creación de trabajo. En el siguiente ejemplo de política de confianza se incluye el permiso `sts:SetSourceIdentity`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
]
}
]
}
```
------
+ Cuando asuma un rol con otro rol, lo que se denomina encadenamiento de roles, haga lo siguiente:
+ Se requieren permisos para `sts:SetSourceIdentity` tanto en la política de permisos de la entidad principal que está asumiendo el rol como en la política de confianza de rol del rol de destino. De lo contrario, la operación de rol asumido no se llevará a cabo correctamente.
+ Este encadenamiento de roles se puede producir en Studio Classic o en cualquier otro servicio descendente, como, por ejemplo, Amazon EMR. Para obtener más información sobre encadenamiento de roles, consulte [Términos y conceptos de roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html).
## Activación de sourceIdentity
La capacidad de propagar el nombre del perfil de usuario como el valor de `sourceIdentity` en Studio Classic está desactivada de forma predeterminada.
Para habilitar la posibilidad de propagar el nombre del perfil de usuario como el`sourceIdentity`, utilícelo AWS CLI durante la creación y actualización del dominio. Esta característica está habilitada a nivel de dominio y no a nivel de perfil de usuario.
Tras habilitar esta configuración, los administradores pueden ver el perfil de usuario en el registro AWS CloudTrail del servicio al que se ha accedido. El perfil de usuario se proporciona como valor `sourceIdentity` en la sección `userIdentity`. Para obtener más información sobre el uso de AWS CloudTrail registros con SageMaker IA, consulte [Registrar llamadas a la API de Amazon SageMaker AI con AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html).
Puede usar el siguiente código para permitir la propagación del nombre del perfil de usuario como el que aparece `sourceIdentity` durante la creación del dominio mediante la API `create-domain`.
```
create-domain
--domain-name
--auth-mode
--default-user-settings
--subnet-ids
--vpc-id
[--tags ]
[--app-network-access-type ]
[--home-efs-file-system-kms-key-id ]
[--kms-key-id ]
[--app-security-group-management ]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
Puede habilitar la propagación del nombre de perfil de usuario como `sourceIdentity` durante la actualización de dominio con la API `update-domain`.
Para actualizar esta configuración, todas las aplicaciones del dominio deben estar en el estado `Stopped` o `Deleted`. Para obtener más información sobre cómo detener y cerrar las aplicaciones, consulte [Shut down and Update Studio Classic Apps](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
Utilice el siguiente código para permitir la propagación del nombre del perfil de usuario como `sourceIdentity`.
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
## Cierre de sourceIdentity
También puede desactivar la propagación del nombre del perfil de usuario `sourceIdentity` mediante el AWS CLI. Esto ocurre durante la actualización del dominio al pasar el valor `ExecutionRoleIdentityConfig=DISABLED` del parámetro `--domain-settings-for-update` como parte de la llamada a la API `update-domain`.
En el AWS CLI, utilice el siguiente código para deshabilitar la propagación del nombre del perfil de usuario como`sourceIdentity`.
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```