投稿日: Sep 8, 2022
Amazon SageMaker Studio は、機械学習用の完全統合開発環境 (IDE) です。データサイエンティストとデベロッパーはこのサービスを使用して、データの準備からモデルの構築、トレーニング、チューニング、デプロイまで、機械学習ワークフローのすべてのステップを実行できます。SageMaker Studio は AWS CloudTrail と統合されているため、管理者は Studio ノートブック、SageMaker Data Wrangler、SageMaker Canvas のユーザーアクティビティと API コールをモニタリングして監査できます。本日より、SageMaker Studio を設定して、CloudTrail イベントにユーザー ID (具体的にはユーザープロファイル名) も記録できるようになりました。これにより、管理者はイベントを特定のユーザーに関連付けて、組織のセキュリティとガバナンス体制を向上させることができます。
管理者は、AWS CloudTrail にログ記録されたイベントを使って、Studio ノートブック、SageMaker Data Wrangler、SageMaker Canvas のユーザーアクティビティと API コールを監査できます。ただし、これまでログ記録から特定できるのは、ユーザーが使用する IAM ロールごとのイベントのみでした。各ユーザーに固有の IAM ロールが割り当てられている場合は、CloudTrail イベントをユーザーに関連付けるためにこのレベルのログで十分です。ただし、複数のユーザーが同じようなデータとリソースのアクセス許可を必要とするデータサイエンスチームは、管理者は単一の IAM ロールを何度も設定して、ユーザー間で共有されるようにします。このような場合、管理者は CloudTrail イベントを特定のユーザーに関連付けることができなかったため、ユーザーアクティビティの監査にギャップが生じてしまっていました。本日より、Studio ノートブック、Data Wrangler、SageMaker Canvas からのユーザーアクティビティと API コールの実行時に生成される CloudTrail イベントに対して、Studio ユーザープロファイル名をソース ID として自動的に記録するよう SageMaker Studio を設定できるようになりました。この機能により、管理者は、複数のユーザーが同じ IAM ロールを共有している場合でも、Studio ユーザーアクションを特定のユーザーに関連付けることができるようになりました。
この機能は、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ロンドン)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (香港)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (大阪)、南米 (サンパウロ) 、中東 (バーレーン)、アフリカ (ケープタウン) の AWS リージョンで一般提供されています。詳細については、SageMaker デベロッパーガイドの Monitoring user resource access from mazon SageMaker Studio (Amazon SageMaker Studio からのユーザーリソースアクセスのモニタリング) を参照してください。