As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Ative o SourceIdentity nos CloudTrail registros do SageMaker AI Studio Classic
Com o Amazon SageMaker Studio Classic, você pode monitorar o acesso aos recursos do usuário. No entanto, os logs AWS CloudTrail de acesso a recursos listam apenas o perfil do IAM de execução do Studio Classic como identificador. Quando uma única função do IAM de execução é compartilhada entre vários perfis de usuário, você deve usar a `sourceIdentity` configuração para obter informações sobre o usuário específico que acessou os AWS recursos.
Os tópicos a seguir explicam como ativar ou desativar a configuração `sourceIdentity`.
**Topics**
+ [Pré-requisitos](#monitor-user-access-prereq)
+ [Ativar a sourceIdentity](#monitor-user-access-enable)
+ [Desativar a sourceIdentity](#monitor-user-access-disable)
## Pré-requisitos
+ Instale e configure as etapas a AWS Command Line Interface seguir em [Instalando ou atualizando a versão mais recente do AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ Certifique-se de que os usuários do Studio Classic no domínio não tenham uma política que permita atualizar ou modificar o domínio.
+ Para ativar ou desativar a propagação `sourceIdentity`, todos as aplicações no domínio devem estar no estado `Stopped` ou `Deleted`. Para obter mais informações sobre como parar e encerrar aplicações, consulte [Encerrar e atualizar aplicações do Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
+ Se a propagação da identidade de origem estiver ativada, todos os perfis de execução deverão ter as seguintes permissões da política de confiança:
+ Qualquer perfil assumido pelo perfil de execução do domínio deve ter a permissão `sts:SetSourceIdentity` na política de confiança. Se essa permissão estiver ausente, as ações falharão com `AccessDeniedException` ou `ValidationError` quando você chamar a API de criação de trabalho. O seguinte exemplo de política de confiança inclui a permissão `sts:SetSourceIdentity`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
]
}
]
}
```
------
+ Ao assumir uma função com outra função, isto é, encadeamento de funções, faça o seguinte:
+ Permissões para `sts:SetSourceIdentity` são necessárias tanto na política de permissões das entidades principais que estão assumindo a função, quanto na política de confiança do perfil do destino. Caso contrário, a operação de função assumida falhará.
+ Esse encadeamento de perfis pode acontecer no Studio ou em qualquer outro serviço downstream, como o Amazon EMR. Para obter mais informações sobre encadeamento de funções, consulte [Termos e conceitos de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html).
## Ativar a sourceIdentity
A capacidade de propagar o nome do perfil de usuário como `sourceIdentity` no Studio Classic está desativada por padrão.
Para habilitar a capacidade de propagar o nome do perfil do usuário como o`sourceIdentity`, use o AWS CLI durante a criação e atualização do domínio. Esse atributo é habilitado no nível do domínio e não no nível do perfil do usuário.
Depois de habilitar essa configuração, os administradores podem visualizar o perfil do usuário no log AWS CloudTrail do serviço acessado. O perfil do usuário é fornecido como o valor `sourceIdentity` na seção `userIdentity`. Para obter mais informações sobre o uso de AWS CloudTrail registros com SageMaker IA, consulte [Registrar chamadas de API de SageMaker IA da Amazon com AWS CloudTrail](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html).
Você pode usar o código a seguir para habilitar a propagação do nome do perfil de usuário como `sourceIdentity` durante a criação do domínio usando a API `create-domain`.
```
create-domain
--domain-name
--auth-mode
--default-user-settings
--subnet-ids
--vpc-id
[--tags ]
[--app-network-access-type ]
[--home-efs-file-system-kms-key-id ]
[--kms-key-id ]
[--app-security-group-management ]
[--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
Você pode habilitar a propagação do nome do perfil de usuário como `sourceIdentity` durante a atualização do domínio usando a API `update-domain`.
Para atualizar essa configuração, todos as aplicações no domínio devem estar no estado `Stopped` ou `Deleted`. Para obter mais informações sobre como parar e encerrar aplicações, consulte [Encerrar e atualizar aplicações do Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-tasks-update-apps.html).
Use o código a seguir para permitir a propagação do nome do perfil de usuário como o `sourceIdentity`.
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```
## Desativar a sourceIdentity
Você também pode desativar a propagação do nome do perfil de usuário `sourceIdentity` usando o AWS CLI. Isso ocorre durante a atualização do domínio, passando o valor `ExecutionRoleIdentityConfig=DISABLED` do parâmetro `--domain-settings-for-update` como parte da chamada da API `update-domain`.
No AWS CLI, use o código a seguir para desativar a propagação do nome do perfil do usuário como o. `sourceIdentity`
```
update-domain
--domain-id
[--default-user-settings ]
[--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"]
[--cli-input-json ]
[--generate-cli-skeleton ]
```