기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SageMaker 인스턴스에 대한 루트 액세스 제어
노트북 인스턴스를 생성할 경우 해당 노트북 인스턴스에 로그인하는 사용자는 기본적으로 루트 액세스 권한을 갖습니다. 데이터 과학은 데이터 과학자가 다양한 소프트웨어 도구와 패키지를 테스트하고 사용해야 할 수 있는 반복적인 과정입니다.그래서 많은 노트북 인스턴스 사용자는 이러한 도구와 패키지를 설치하기 위해 루트 액세스 권한이 필요합니다. 루트 액세스 권한이 있는 사용자는 관리자 권한이 있기 때문에 루트 액세스가 활성화된 노트북 인스턴스의 모든 파일을 액세스하고 편집할 수 있습니다.
사용자가 노트북 인스턴스에 대해 루트 액세스 권한을 갖지 못하게 하려면 CreateNotebookInstance또는 UpdateNotebookInstance작업을 호출할 때 RootAccess필드를 Disabled로 설정합니다. Amazon SageMaker AI 콘솔에서 노트북 인스턴스를 생성하거나 업데이트할 때 사용자에 대해 루트 액세스 권한을 비활성화할 수도 있습니다. 자세한 내용은 자습서를 위해 Amazon SageMaker 노트북 인스턴스 만들기 단원을 참조하세요.
참고
수명 주기 구성에서 노트북 인스턴스를 설정하려면 루트 액세스 권한이 필요합니다. 따라서 노트북 인스턴스와 연결된 수명 주기 구성은 사용자에 대해 루트 액세스 권한을 비활성화할 경우에도 항상 루트 액세스 권한으로 실행됩니다.
참고
보안상의 이유로 Rootless 도커는 일반 도커 대신 루트가 비활성화된 노트북 인스턴스에 설치됩니다. 자세한 내용은 루트가 아닌 사용자로 도커 데몬 실행(루트리스 모드)
보안 고려 사항
수명 주기 구성 스크립트는 루트 액세스로 실행되고 노트북 인스턴스의 IAM 실행 역할의 전체 권한을 상속합니다. 수명 주기 구성을 생성 또는 수정하고 노트북 인스턴스를 관리할 권한이 있는 모든 사용자(관리자 포함)는 실행 역할의 자격 증명으로 코드를 실행할 수 있으므로 아래 모범 사례를 따르세요.
모범 사례:
-
관리 액세스 제한: 보안 영향을 이해하는 신뢰할 수 있는 관리자에게만 수명 주기 구성 권한을 부여합니다.
-
최소 권한 원칙 적용: 합법적인 워크로드에 필요한 최소 권한만 사용하여 노트북 인스턴스 실행 역할을 정의합니다.
-
모니터링 활성화: CloudWatch Logs를 정기적으로 검토하여 로그 그룹에서 수명 주기 구성 실행
/aws/sagemaker/NotebookInstances을 수행하여 예상치 못한 활동을 감지합니다. -
변경 제어 구현: 프로덕션 환경에서 수명 주기 구성 변경에 대한 승인 프로세스를 설정합니다.
