Contrôler l'accès root à une instance de SageMaker bloc-notes - Amazon SageMaker AI
Considérations sur la sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôler l'accès root à une instance de SageMaker bloc-notes

Par défaut, lorsque vous créez une instance de bloc-notes, les utilisateurs qui se connectent à cette instance de bloc-notes disposent d’un accès racine. La science des données est un processus itératif qui peut exiger des scientifiques de données qu’ils testent et utilisent différents outils logiciels et packages, afin que de nombreux utilisateurs d’instances de bloc-notes aient besoin d’un accès racine pour pouvoir installer ces outils et ces packages. Étant donné que les utilisateurs avec un accès racine possèdent des droits d’administrateur, ils peuvent accéder à et modifier tous les fichiers des instances de bloc-notes lorsque l’accès racine est activé.

Si vous ne voulez pas que les utilisateurs bénéficient d’un accès racine à une instance de bloc-notes, lorsque vous appelez les opérations CreateNotebookInstance ou UpdateNotebookInstance, configurez le champ RootAccess sur Disabled. Vous pouvez également désactiver l'accès root pour les utilisateurs lorsque vous créez ou mettez à jour une instance de bloc-notes dans la console Amazon SageMaker AI. Pour plus d'informations, consultez Création d'une instance Amazon SageMaker Notebook pour le didacticiel.

Note

Les configurations de cycle de vie requièrent un accès racine pour pouvoir configurer les instances de bloc-notes. C’est pourquoi les configurations de cycle de vie associées à l’instance de bloc-notes s’exécutent toujours avec un accès racine, même si vous avez désactivé l’accès racine pour les utilisateurs.

Note

Pour des raisons de sécurité, Rootless Docker est installé sur les instances de bloc-notes désactivées par la racine au lieu de Docker standard. Pour plus d’informations, consultez Run the Docker daemon as a non-root user (Rootless mode).

Considérations sur la sécurité

Les scripts de configuration du cycle de vie s'exécutent avec un accès root et héritent de tous les privilèges du rôle d'exécution IAM de l'instance de bloc-notes. Toute personne (y compris les administrateurs) autorisée à créer ou à modifier des configurations de cycle de vie et à gérer des instances de blocs-notes peut exécuter du code avec les informations d'identification du rôle d'exécution. Veuillez donc suivre les meilleures pratiques ci-dessous.

Bonnes pratiques :

  • Restreindre l'accès administratif : accordez des autorisations de configuration du cycle de vie uniquement aux administrateurs de confiance qui comprennent les implications en matière de sécurité.

  • Appliquez le principe du moindre privilège : définissez les rôles d'exécution des instances de bloc-notes avec uniquement les autorisations minimales requises pour les charges de travail légitimes.

  • Activez la surveillance : consultez régulièrement CloudWatch les journaux pour vérifier les exécutions de configuration du cycle de vie dans le groupe /aws/sagemaker/NotebookInstances de journaux afin de détecter toute activité inattendue.

  • Mettre en œuvre le contrôle des modifications : établir des processus d'approbation pour les modifications de configuration du cycle de vie dans les environnements de production.