翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SageMaker ノートブックインスタンスへのルートアクセスを制御する
デフォルトでは、ノートブックインスタンスを作成すると、そのノートブックインスタンスにログインするユーザーにルートアクセス権が付与されます。データサイエンスは、データサイエンティストがさまざまなソフトウェアツールやパッケージをテストして使用する必要がある反復プロセスであるため、これらのツールやパッケージをインストールするには、多くのノートブックインスタンスユーザーにルートアクセス権限が必要です。ルートアクセス権を持つユーザーには管理者権限が付与されているため、ユーザーはルートアクセス権限を有効にして、ノートブックインスタンス上のすべてのファイルにアクセスして編集できます。
ノートブックインスタンスへのルートアクセス権をユーザーに付与しないようにするには、CreateNotebookInstance または UpdateNotebookInstance オペレーションを呼び出す際に、RootAccess フィールドを Disabled に設定します。ノートブックインスタンスを Amazon SageMaker AI コンソールで作成または更新する際、ユーザーのルートアクセス権を無効にすることもできます。詳細については、「チュートリアル用 Amazon SageMaker ノートブックインスタンスを作成する」を参照してください。
注記
ノートブックインスタンスを設定できるようにするには、ライフサイクル構成にルートアクセス権限が必要です。そのため、ユーザーがルートアクセスを無効にしても、ノートブックインスタンスに関連付けられたライフサイクル構成は常にルートアクセスで実行されます。
注記
セキュリティ上の理由から、Rootless Docker は、通常の Docker ではなく、ルートが無効になっているノートブックインスタンスにインストールされます。詳細については、「Docker デーモンを root 以外のユーザーとして実行する (ルートレスモード)
セキュリティに関する考慮事項
ライフサイクル設定スクリプトはルートアクセスで実行され、ノートブックインスタンスの IAM 実行ロールの完全な権限を継承します。ライフサイクル設定を作成または変更し、ノートブックインスタンスを管理するアクセス許可を持つユーザー (管理者を含む) は、実行ロールの認証情報を使用してコードを実行できます。したがって、以下のベストプラクティスに従ってください。
ベストプラクティス:
-
管理アクセスの制限: セキュリティへの影響を理解している信頼できる管理者にのみライフサイクル設定のアクセス許可を付与します。
-
最小特権の原則を適用する: 正当なワークロードに必要な最小限のアクセス許可のみを持つノートブックインスタンス実行ロールを定義します。
-
モニタリングを有効にする: ロググループのライフサイクル設定の実行について CloudWatch Logs を定期的に確認
/aws/sagemaker/NotebookInstancesして、予期しないアクティビティを検出します。 -
変更管理の実装: 本番環境でのライフサイクル設定変更の承認プロセスを確立します。
