翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# sourceIdentity を使用して SageMaker AI Studio Classic からのユーザーリソースアクセスをモニタリングする
<a name="monitor-user-access"></a>

Amazon SageMaker Studio Classic で、ユーザーリソースのアクセスをモニタリングできます。リソースアクセスアクティビティを表示するには、 [「Log Amazon SageMaker API Calls with AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html)」の手順に従って、ユーザーアクティビティをモニタリングおよび記録 AWS CloudTrail するように を設定できます。

ただし、リソースアクセスの AWS CloudTrail ログには、Studio Classic 実行 IAM ロールのみが識別子として一覧表示されます。このレベルのログは、各ユーザープロファイルに異なる実行ロールが割り当てられている場合、ユーザーアクティビティを監査するのに十分です。ただし、単一の実行 IAM ロールが複数のユーザープロファイル間で共有されている場合、 AWS リソースにアクセスした特定のユーザーに関する情報を取得することはできません。  

共有実行ロールを使用すると、`sourceIdentity` 設定を使用して Studio Classic ユーザープロファイル名を伝達し、どの特定のユーザーが AWS CloudTrail ログでアクションを実行したかについての情報を得ることができます。ソース ID の詳細については、「[引き受けたロールで実行されるアクションのモニタリングとコントロールアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)」を参照してください。CloudTrail ログの `sourceIdentity` のオンまたはオフを切り替えるには、「[SageMaker AI Studio Classic の CloudTrail ログで sourceIdentity を有効にする](monitor-user-access-how-to.md)」を参照してください。

## sourceIdentity を使用する場合の考慮事項
<a name="monitor-user-access-considerations"></a>

Studio Classic ノートブック、SageMaker Canvas、または Amazon SageMaker Data Wrangler から AWS API コールを行うと、それらのコールが Studio Classic [実行ロール](sagemaker-roles.md)セッションまたはそのセッションからの[連鎖ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining)を使用して行われた場合にのみ、 が CloudTrail に記録`sourceIdentity`されます。

これらの API 呼び出しが他のサービスを呼び出して追加の操作を実行する場合、`sourceIdentity` のログは呼び出されたサービスの特定の実装に依存します。
+ Amazon SageMaker のトレーニングと処理: トレーニング機能か処理機能を使用してジョブを作成すると、ジョブ作成 API コールはセッションに存在する `sourceIdentity` を取り込みます。その結果、これらのジョブから行われた AWS API コールが CloudTrail ログに `sourceIdentity` を記録します。
+ Amazon SageMaker Pipelines: 自動化された CI/CD パイプラインを使用してジョブを作成すると、`sourceIdentity` が下流に伝播され、CloudTrail ログで確認できます。
+ Amazon EMR: [ランタイムロール](studio-notebooks-emr-cluster-rbac.md)を使用して Studio Classic から Amazon EMR に接続する場合、管理者は明示的に [PropagateSourceIdentity フィールドを設定](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-steps-runtime-roles.html)する必要があります。これにより、Amazon EMR は呼び出し側の認証情報からの `sourceIdentity` をジョブまたはクエリセッションに適用します。その後、`sourceIdentity` は CloudTrail ログに記録されます。

**注記**  
`sourceIdentity` を使用する場合、以下の例外が適用されます。  
SageMaker Studio Classic 共有スペースは`sourceIdentity`パススルーをサポートしていません。SageMaker AI 共有スペースから行われた AWS API コールは CloudTrail ログ`sourceIdentity`に記録されません。
 AWS API コールがユーザーまたは他のサービスによって作成されたセッションから行われ、セッションが Studio Classic 実行ロールセッションに基づいていない場合、 `sourceIdentity`は CloudTrail ログに記録されません。