Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activer SourceIdentity dans CloudTrail les journaux pour SageMaker AI Studio Classic
<a name="monitor-user-access-how-to"></a>

Avec Amazon SageMaker Studio Classic, vous pouvez surveiller l'accès aux ressources des utilisateurs. Toutefois, les journaux AWS CloudTrail d’accès aux ressources répertorient uniquement le rôle IAM d’exécution de Studio Classic comme identifiant. Lorsqu'un rôle IAM d'exécution unique est partagé entre plusieurs profils utilisateur, vous devez utiliser la `sourceIdentity` configuration pour obtenir des informations sur l'utilisateur spécifique qui a accédé aux AWS ressources.

Les rubriques suivantes expliquent comment activer ou désactiver la configuration `sourceIdentity`.

**Topics**
+ [Conditions préalables](#monitor-user-access-prereq)
+ [Activation de sourceIdentity](#monitor-user-access-enable)
+ [Désactivation de sourceIdentity](#monitor-user-access-disable)

## Conditions préalables
<a name="monitor-user-access-prereq"></a>
+ Installez et configurez les AWS Command Line Interface étapes décrites dans la section [Installation ou mise à jour de la dernière version du AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ Assurez-vous que les utilisateurs de Studio Classic dans votre domaine ne disposent pas d’une politique leur permettant de mettre à jour ou de modifier le domaine.  
+ Pour activer ou désactiver la propagation `sourceIdentity`, toutes les applications du domaine doivent être dans l'état `Stopped` ou `Deleted`. Pour plus d’informations sur la manière d’arrêter et de fermer les applications, consultez [Arrêt et mise à jour des applis Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
+ Si la propagation de l’identité source est désactivée, tous les rôles d’exécution doivent disposer des autorisations de politique de confiance suivantes : 
  + Tout rôle endossé par le rôle d’exécution du domaine doit posséder l’autorisation `sts:SetSourceIdentity` dans la politique de confiance. Si cette autorisation est absente, vos actions échouent avec les erreurs `AccessDeniedException` ou `ValidationError` lorsque vous appelez l’API de création de tâches. L’exemple de politique de confiance suivant inclut l’autorisation `sts:SetSourceIdentity`.

------
#### [ JSON ]

****  

    ```
    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "sagemaker.amazonaws.com"
                },
                "Action": [
                    "sts:AssumeRole",
                    "sts:SetSourceIdentity"
                ]
            }
        ]
    }
    ```

------
  + Lorsque vous endossez un rôle avec un autre rôle (chaînage de rôles), procédez comme suit :
    + Des autorisations sont exigées pour `sts:SetSourceIdentity` tant dans la politique d'autorisations du principal qui endosse le rôle que dans la politique d'approbation de rôle du rôle cible. Sinon, l'opération consistant à endosser le rôle échouera.
    +  Ce chaînage de rôles peut se produire dans Studio Classic ou dans tout autre service en aval, tel qu’Amazon EMR. Pour plus d'informations sur le chaînage de rôles, consultez [Termes et concepts relatifs aux rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html). 

## Activation de sourceIdentity
<a name="monitor-user-access-enable"></a>

La possibilité de propager le nom du profil utilisateur en tant que `sourceIdentity` dans Studio Classic est désactivée par défaut.

Pour permettre de propager le nom du profil utilisateur sous la forme de`sourceIdentity`, utilisez le AWS CLI lors de la création et de la mise à jour du domaine. Cette fonctionnalité est activée au niveau du domaine et non au niveau du profil utilisateur.

 Une fois cette configuration activée, les administrateurs peuvent consulter le profil utilisateur dans le journal AWS CloudTrail du service auquel vous avez accédé. Le profil utilisateur est donné en tant que valeur `sourceIdentity` dans la section `userIdentity`. Pour plus d'informations sur l'utilisation AWS CloudTrail des journaux avec l' SageMaker IA, consultez la section [Enregistrer les appels d'API Amazon SageMaker AI avec AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html). 

Vous pouvez utiliser le code suivant pour activer la propagation du nom du profil utilisateur en tant que `sourceIdentity` lors de la création du domaine à l'aide de l'API `create-domain`. 

```
create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

Vous pouvez activer la propagation du nom du profil utilisateur en tant que `sourceIdentity` lors de la mise à jour du domaine à l'aide de l'API `update-domain`.

Pour mettre à jour cette configuration, toutes les applications du domaine doivent être dans l'état `Stopped` ou `Deleted`. Pour plus d’informations sur la manière d’arrêter et de fermer les applications, consultez [Arrêt et mise à jour des applis Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).

Utilisez le code suivant pour activer la propagation du nom du profil utilisateur en tant que `sourceIdentity`.

```
update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

## Désactivation de sourceIdentity
<a name="monitor-user-access-disable"></a>

Vous pouvez également désactiver la propagation du nom du profil utilisateur en tant que `sourceIdentity` à l'aide de l'interface AWS CLI. Cela intervient lors de la mise à jour du domaine en transmettant la valeur `ExecutionRoleIdentityConfig=DISABLED` pour le paramètre `--domain-settings-for-update` dans le cadre de l'appel d'API `update-domain`.

Dans le AWS CLI, utilisez le code suivant pour désactiver la propagation du nom du profil utilisateur en tant que`sourceIdentity`.

```
update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```