Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Attiva SourceIdentity nei CloudTrail log per AI Studio Classic SageMaker
<a name="monitor-user-access-how-to"></a>

Con Amazon SageMaker Studio Classic, puoi monitorare l'accesso alle risorse degli utenti. Tuttavia, i log AWS CloudTrail per l’accesso alle risorse elencano come identificatore solo il ruolo IAM dell’esecuzione di Studio Classic. Quando un ruolo IAM di esecuzione singola viene condiviso tra diversi profili utente, è necessario utilizzare la `sourceIdentity` configurazione per ottenere informazioni sull'utente specifico che ha avuto accesso alle AWS risorse.

I seguenti argomenti descrivono come attivare o disattivare la configurazione `sourceIdentity`.

**Topics**
+ [Prerequisiti](#monitor-user-access-prereq)
+ [Attivazione di sourceIdentity](#monitor-user-access-enable)
+ [Disattivazione di sourceIdentity](#monitor-user-access-disable)

## Prerequisiti
<a name="monitor-user-access-prereq"></a>
+ Installa e configura i AWS Command Line Interface seguenti passaggi descritti in [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ Assicurati che gli utenti di Studio Classic del tuo dominio non dispongano di una policy che consenta loro di aggiornare o modificare il dominio.  
+ Per attivare o disattivare la propagazione `sourceIdentity`, tutte le app del dominio devono trovarsi nello stato `Stopped` o `Deleted`. Per ulteriori informazioni su come interrompere e chiudere le app, consulta [Chiusura e aggiornamento delle app di Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
+ Se la propagazione dell’identità di origine è attivata, tutti i ruoli di esecuzione devono disporre delle seguenti autorizzazioni relative alla policy di attendibilità: 
  + Qualsiasi ruolo assunto dal ruolo di esecuzione del dominio deve disporre dell’autorizzazione `sts:SetSourceIdentity` nella policy di attendibilità come indicato di seguito. Se manca questa autorizzazione, le tue azioni hanno esito negativo con `AccessDeniedException` o `ValidationError` quando chiami l’API per la creazione dei processi. La seguente policy di attendibilità di esempio include le autorizzazioni `sts:SetSourceIdentity`:

------
#### [ JSON ]

****  

    ```
    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "sagemaker.amazonaws.com"
                },
                "Action": [
                    "sts:AssumeRole",
                    "sts:SetSourceIdentity"
                ]
            }
        ]
    }
    ```

------
  + Quando assumi un ruolo con un altro ruolo, chiamato concatenamento dei ruoli, procedi come segue:
    + Le autorizzazioni per `sts:SetSourceIdentity` sono necessarie sia nella policy di autorizzazione del principale che assume il ruolo sia nella policy di attendibilità del ruolo di destinazione. In caso contrario, l'operazione di assunzione del ruolo avrà esito negativo.
    +  Questo concatenamento dei ruoli può avvenire in Studio Classic o in qualsiasi altro servizio downstream, come Amazon EMR. Per ulteriori informazioni sui concatenamento dei ruoli, consulta la sezione [Termini e concetti dei ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html). 

## Attivazione di sourceIdentity
<a name="monitor-user-access-enable"></a>

La possibilità di propagare il nome del profilo utente come `sourceIdentity` in Studio Classic è disattivata per impostazione predefinita.

Per abilitare la possibilità di propagare il nome del profilo utente come il`sourceIdentity`, utilizza il AWS CLI durante la creazione e l'aggiornamento del dominio. Questa funzionalità è abilitata a livello di dominio e non a livello di profilo utente.

 Dopo aver abilitato questa configurazione, gli amministratori possono visualizzare il profilo utente nel log AWS CloudTrail del servizio a cui si accede. Il profilo utente viene fornito come valore `sourceIdentity` nella sezione `userIdentity`. Per ulteriori informazioni sull'utilizzo dei AWS CloudTrail log con l' SageMaker intelligenza artificiale, consulta [Log Amazon SageMaker AI API Calls with AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html). 

Puoi utilizzare il codice seguente per abilitare la propagazione del nome del profilo utente come `sourceIdentity` durante la creazione del dominio utilizzando l'API `create-domain`. 

```
create-domain
--domain-name <value>
--auth-mode <value>
--default-user-settings <value>
--subnet-ids <value>
--vpc-id <value>
[--tags <value>]
[--app-network-access-type <value>]
[--home-efs-file-system-kms-key-id <value>]
[--kms-key-id <value>]
[--app-security-group-management <value>]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

Puoi abilitare la propagazione del nome del profilo utente come `sourceIdentity` durante l'aggiornamento del dominio utilizzando l'API `update-domain`.

Per aggiornare questa configurazione, tutte le app del dominio devono trovarsi nello stato `Stopped` o `Deleted`. Per ulteriori informazioni su come interrompere e chiudere le app, consulta [Chiusura e aggiornamento delle app di Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).

Utilizza il codice seguente per abilitare la propagazione del nome del profilo utente come `sourceIdentity`.

```
update-domain
--domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

## Disattivazione di sourceIdentity
<a name="monitor-user-access-disable"></a>

È inoltre possibile disattivare la propagazione del nome del profilo utente come `sourceIdentity` utilizzando AWS CLI. Ciò si verifica durante l'aggiornamento del dominio, passando il valore `ExecutionRoleIdentityConfig=DISABLED` del parametro `--domain-settings-for-update` come parte della chiamata API `update-domain`.

In AWS CLI, utilizza il codice seguente per disabilitare la propagazione del nome del profilo utente come. `sourceIdentity`

```
update-domain
 --domain-id <value>
[--default-user-settings <value>]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```