Sagemaker User Profile 권한 관리 방법

• Sagemaker에는 사용자를 인증하기 위한 수단으로 **1/ IAM Identity Center(SSO)**와 2/ IAM 기반으로 나뉩니다. 이전에 미팅 시 Presigned_URL을 기반으로 Sagemaker Studio에 접속하고 계신다고 하신것을 보아 현재 2/ IAM 기반으로 Sagemaker Domain을 사용하고 계신 것 같습니다.(SSO 방식은 Presigned_URL이 적용되지 않습니다)
• 현재 2/ IAM 구조에서 사용자가 추가된다면 각 사용자(User-profile)들의 Execution Role(노트북에서 갖고 있는 역할)을 기반으로 Sagemaker studio의 aws에 엑세스 할 수 있는 권한들을 설정하고 관리해야 합니다. 그래서 현재 구조로 Domain을 사용하고 계신다면 각 User Profile들의 Execution role을 조정하는 방식으로 AWS의 서비스 접근 제어를 해야합니다.

• 그런데 JuypterLab 화면 안에서의 특정 권한을 막는 것은 IAM으로 적용되는 사항이 아닙니다. JupyterLab의 특정 기능을을 막는(예 : 파일 다운로드 방지) 설정들은 JuypterLab의 설정 파일을 조정해야합니다. 이는 Sagemaker의 Life Cycle Configuration의 기능을 통해서 Jupyter Notebook이 실행 될 때 Bootstrap을 통해 Config를 수정하여 해당 기능을 차단 할 수 있습니다.

• LCC 기능을 통해 Jupyter Notebook에서 다운로드 차단 방법

  #LCC에 설정한 Script
  jupyter labextension disable jupyterlab/docmanager-extension:download
  jupyter labextension disable @jupyterlab/filebrowser-extension:download
  

• 추가로 SSO를 통해서 사용자를 관리하는 고객도 있습니다. SSO를 사용하면 사내에서 사용하는 Identity Provider(ex: okta)를 AWS Identity Center와 연동하여 사용자를 관리 할 수 있습니다. SSO를 사용하게 되면 AWS Console을 통해서 Sagemaker Studio로 접근하지 않고, Identity Provider 화면 안에서 Sagemaker Studio로 접근하게됩니다. 아래 관련 영상과 제가 테스트 한 화면입니다.(IDP는 AWS의 기능을 사용했습니다) https://www.youtube.com/watch?v=9CnFrSqvXYM&t=210s

Sagemaker Audit Log가 어디까지 제공되는지?

• Sagemaker Studio에서 사용자가 실행하는 AWS API들은 모두 Cloudtrail 서비스에서 확인이 가능합니다. CloudTrail에서 확인이 가능한 Log 형식과 API Call들은 아래 문서에서 확인이 가능합니다. https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html

• 그러나 해당 CloudTrail의 Log에서는 호출한 User Profile 이름이 나오지 않고, User Profile이 갖고 있는 Role Name이 나오게 되는데, User Profile 이름까지 함께 나오기 위해서는 아래의 조치가 필요합니다. https://docs.aws.amazon.com/sagemaker/latest/dg/monitor-user-access.html

• Sagemaker Studio의 Juypter Notebook에서 출력되는 모든 Log들은 CloudWatch에 모두 기록되며 Cloudwatch의 /aws/sagemaker/studio안에서 각 User-Profile 별로 로그들이 기록됩니다.

https://docs.aws.amazon.com/sagemaker/latest/dg/logging-cloudwatch.html

사용하지 않는 인스턴스를 자동으로 내리는 정책이 있는지?

• Sagemaker의 Life Cycle Configuration을 통해서 설정 가능한 시간동안 사용하지 않는 Application은 자동 종료하도록 설정 가능합니다.

https://github.com/aws-samples/sagemaker-studio-apps-lifecycle-config-examples/tree/main/scripts/auto-stop-idle

아래의 스크린은 위 LCC을 적용하여 Jupyter을 생성하고 직접 테스트 한 결과 Log입니다.