翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# SageMaker AI Studio Classic の CloudTrail ログで sourceIdentity を有効にする
Amazon SageMaker Studio Classic で、ユーザーリソースのアクセスをモニタリングできます。ただし、リソースアクセスに対する AWS CloudTrail のログには、識別子として Studio Classic 実行 IAM ロールのみリストされます。複数のユーザープロファイル間で単一の実行 IAM ロールを共有する場合は、 `sourceIdentity`設定を使用して、 AWS リソースにアクセスした特定のユーザーに関する情報を取得する必要があります。
以下のトピックでは、`sourceIdentity` 設定をオンまたはオフにする方法について説明します。
**Topics**
+ [前提条件](#monitor-user-access-prereq)
+ [sourceIdentity を有効にする](#monitor-user-access-enable)
+ [sourceIdentity を無効にする](#monitor-user-access-disable)
## 前提条件
+ の最新バージョンをインストールまたは更新する AWS Command Line Interface の手順をインストールして設定します。 [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ ドメイン内の Studio Classic ユーザーに、ドメインの更新または変更を許可するポリシーがないことを確認します。
+ `sourceIdentity` 伝達の開始または停止をするには、ドメイン内のすべてのアプリが `Stopped` または `Deleted` 状態である必要があります。アプリを停止およびシャットダウンする方法について詳しくは、「[Shut down and Update Studio Classic Apps](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html)」を参照してください。
+ ソース ID の伝播が有効になっている場合、すべての実行ロールに次の信頼ポリシーアクセス許可が必要です:
+ ドメインの実行ロールが引き受けるロールはすべて、信頼ポリシーに `sts:SetSourceIdentity` 権限が必要です。このアクセス許可がない場合は、ジョブ作成 API の呼び出し時に `AccessDeniedException` または `ValidationError` でアクションが失敗します。以下の信頼ポリシー例に、この `sts:SetSourceIdentity` アクセス許可が含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
]
}
]
}
```
------
+ ロールチェーンと呼ばれる別のロールを持つロールを引き受ける場合は、次の操作を行います。
+ `sts:SetSourceIdentity` の権限は、ロールを引き受けるプリンシパルのアクセス許可ポリシーと、ターゲットロールのロール信頼ポリシーの両方で必要です。そうしない場合、ロールの引き受け操作は失敗します。
+ このロールチェーンは、Studio Classic や Amazon EMR などの他のダウンストリームサービスで発生する可能性があります。ロールチェーンに関する詳細については、「[ロールに関する用語と概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)」を参照してください。
## sourceIdentity を有効にする
Studio Classic iでユーザープロファイル名を `sourceIdentity` として伝達する機能は、デフォルトではオフになっています。
ユーザープロファイル名を として伝達できるようにするには`sourceIdentity`、ドメインの作成時とドメインの更新 AWS CLI 時に を使用します。この機能はドメインレベルで有効になり、ユーザープロファイルレベルでは有効になりません。
この構成を有効にすると、管理者はアクセスされたサービスの AWS CloudTrail ログでユーザープロファイルを確認できるようになります。ユーザープロファイルは `userIdentity` セクションの `sourceIdentity` 値として表示されます。SageMaker AI での AWS CloudTrail ログの使用の詳細については、 [「Log Amazon SageMaker AI API Calls with AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html)」を参照してください。
次のコードを使用すると、`create-domain` API を使用してドメインを作成する際に、`sourceIdentity` としてユーザープロファイル名を伝達できるようになります。
```
create-domain
--domain-name
--auth-mode
--default-user-settings
--subnet-ids
--vpc-id
[--tags ]
[--app-network-access-type ]
[--home-efs-file-system-kms-key-id ]
[--kms-key-id ]
[--app-security-group-management ]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
`update-domain` API を使用してドメインを更新する際に、`sourceIdentity` としてユーザープロファイル名を伝達できるようになります。
この構成を更新するには、ドメイン内のすべてのアプリが `Stopped` または `Deleted` 状態である必要があります。アプリを停止およびシャットダウンする方法について詳しくは、「[Shut down and Update Studio Classic Apps](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html)」を参照してください。
次のコードを使用すると、`sourceIdentity` としてユーザープロファイル名を伝達できるようになります。
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
## sourceIdentity を無効にする
AWS CLIを使用して、`sourceIdentity` としてのユーザープロファイル名の伝達を無効にすることもできます。これは、`update-domain` API 呼び出しの一部として `--domain-settings-for-update` パラメータに `ExecutionRoleIdentityConfig=DISABLED` 値を渡すことにより、ドメインの更新中に発生します。
で AWS CLI、次のコードを使用して、ユーザープロファイル名の としての伝達を無効にします`sourceIdentity`。
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```