本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 SourceDentity 监控 SageMaker 来自 AI Studio Classic
<a name="monitor-user-access"></a>

使用 Amazon SageMaker Studio Classic，您可以监控用户资源访问情况。要查看资源访问活动，您可以按照记录 [Amazon SageMaker API 调用](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html)中的步骤进行配置 AWS CloudTrail ，以监控和记录用户活动 AWS CloudTrail。

但是，资源访问 AWS CloudTrail 日志仅将 Studio Classic 执行 IAM 角色列为标识符。当每个用户配置文件都有不同的执行角色时，此级别的日志记录足以审计用户活动。但是，当多个用户配置文件之间共享单个执行 IAM 角色时，您无法获取有关访问 AWS 资源的特定用户的信息。  

通过使用 `sourceIdentity` 配置传播 Studio Classic 用户配置文件名称，您可以在使用共享执行角色时，从 AWS CloudTrail 日志中获取有关哪一特定用户执行了操作的信息。有关源身份的更多信息，请参阅[监控和控制使用代入角色执行的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)。要开`sourceIdentity`启或关闭 CloudTrail 日志功能，请参阅[在 AI Studio Classic 的 CloudTrail 日志中开启 Source SageMaker D](monitor-user-access-how-to.md)。

## 使用 sourceIdentity 时的注意事项
<a name="monitor-user-access-considerations"></a>

当您从 Studio Classic 笔记本电脑、 SageMaker Canvas 或 Amazon SageMaker Data Wrangler 发出 AWS API 调用时，只有当这些调用`sourceIdentity`是使用 Studio [Classic [执行角色会话或该会话中的任何链接角色](sagemaker-roles.md)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining)进行调用时，才会记录在中 CloudTrail 。

当这些 API 调用去调用其他服务来执行其他操作时，`sourceIdentity` 日志记录取决于所调用服务的具体实施。
+ Amazon SageMaker Training and Processing：当您使用训练功能或处理功能创建任务时，任务创建 API 调用会话中`sourceIdentity`存在的。因此，从这些作业发出的任何 AWS API 调用都会记录`sourceIdentity`在 CloudTrail 日志中。
+ Amazon P SageMaker ipelines：当您使用自动 CI/CD 管道创建任务时，`sourceIdentity`会向下游传播，并且可以在 CloudTrail日志中查看。
+ [亚马逊 EMR：使用[运行时角色](studio-notebooks-emr-cluster-rbac.md)从 Studio Classic 连接亚马逊 EMR 时，管理员必须明确设置该字段。 PropagateSourceIdentity ](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-steps-runtime-roles.html)由此可确保 Amazon EMR 会将调用凭证中的 `sourceIdentity` 用于作业或查询会话。然后`sourceIdentity`将其记录在 CloudTrail 日志中。

**注意**  
使用 `sourceIdentity` 时存在以下例外：  
SageMaker Studio Classic 共享空间不支持`sourceIdentity`直通。 AWS 从 SageMaker AI 共享空间发出的 API 调用不会记录`sourceIdentity`在 CloudTrail 日志中。
如果 AWS API 调用是通过用户或其他服务创建的会话进行的，并且会话不是基于 Studio Classic 执行角色会话，`sourceIdentity`则不会记录在 CloudTrail 日志中。