Kontrol akses root ke instance SageMaker notebook - Amazon SageMaker AI
Pertimbangan keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses root ke instance SageMaker notebook

Secara default, saat Anda membuat instance notebook, pengguna yang masuk ke instance notebook tersebut memiliki akses root. Ilmu data adalah proses berulang yang mungkin memerlukan ilmuwan data untuk menguji dan menggunakan alat dan paket perangkat lunak yang berbeda, sehingga banyak pengguna instance notebook perlu memiliki akses root untuk dapat menginstal alat dan paket ini. Karena pengguna dengan akses root memiliki hak administrator, pengguna dapat mengakses dan mengedit semua file pada instance notebook dengan akses root diaktifkan.

Jika Anda tidak ingin pengguna memiliki akses root ke instance notebook, saat Anda memanggil CreateNotebookInstanceatau UpdateNotebookInstancemengoperasikannya, setel RootAccess field keDisabled. Anda juga dapat menonaktifkan akses root untuk pengguna saat membuat atau memperbarui instance notebook di konsol Amazon SageMaker AI. Untuk informasi, lihat Buat Instans SageMaker Notebook Amazon untuk tutorial.

catatan

Konfigurasi siklus hidup membutuhkan akses asal untuk dapat mengatur instans notebook. Karena itu, konfigurasi siklus hidup yang terkait dengan instans notebook selalu berjalan dengan akses asal meskipun Anda menonaktifkan akses asal untuk pengguna.

catatan

Untuk alasan keamanan, Rootless Docker diinstal pada instance notebook yang dinonaktifkan root, bukan Docker biasa. Untuk informasi selengkapnya, lihat Menjalankan daemon Docker sebagai pengguna non-root (mode Rootless)

Pertimbangan keamanan

Skrip konfigurasi siklus hidup dijalankan dengan akses root dan mewarisi hak istimewa penuh dari peran eksekusi IAM instance notebook. Siapa pun (termasuk Administrator) yang memiliki izin untuk membuat atau memodifikasi konfigurasi siklus hidup dan mengelola instance notebook dapat mengeksekusi kode dengan kredensyal peran eksekusi, maka ikuti praktik terbaik di bawah ini.

Praktik terbaik:

  • Batasi akses administratif: Berikan izin konfigurasi siklus hidup hanya kepada administrator tepercaya yang memahami implikasi keamanan.

  • Menerapkan prinsip hak istimewa paling rendah: Tentukan peran eksekusi instans notebook hanya dengan izin minimum yang diperlukan untuk beban kerja yang sah.

  • Aktifkan pemantauan: Tinjau CloudWatch Log secara teratur untuk eksekusi konfigurasi siklus hidup di grup log /aws/sagemaker/NotebookInstances untuk mendeteksi aktivitas yang tidak terduga.

  • Menerapkan kontrol perubahan: Menetapkan proses persetujuan untuk perubahan konfigurasi siklus hidup di lingkungan produksi.