Controle o acesso root a uma instância do SageMaker notebook

Por padrão, quando você cria uma instância de caderno, os usuários que efetuam login nessa instância de caderno possuem acesso raiz. A ciência de dados é um processo iterativo que pode exigir que o cientista de dados teste e use diferentes pacotes e ferramentas de software, portanto, muitos usuários de instâncias de caderno precisam ter acesso raiz para poder instalar essas ferramentas e pacotes. Como os usuários com acesso raiz possuem privilégios de administrador, eles podem acessar e editar todos os arquivos em uma instância de caderno com acesso raiz habilitada.

Se você não deseja que os usuários tenham acesso raiz a uma instância de caderno, quando chamar as operações CreateNotebookInstance ou UpdateNotebookInstance, defina o campo RootAccess como Disabled. Você também pode desativar o acesso root para usuários ao criar ou atualizar uma instância de notebook no console Amazon SageMaker AI. Para mais informações, consulte Crie uma instância do Amazon SageMaker Notebook para o tutorial.

nota

As configurações de ciclo de vida precisam de acesso raiz para poder configurar uma instância de caderno. Por causa disso, as configurações de ciclo de vida associadas a uma instância de caderno sempre são executadas com acesso raiz, ainda que você desabilite o acesso raiz para os usuários.

nota

Por motivos de segurança, o Docker sem raiz é instalado em instâncias de caderno com raiz desabilitada, em vez do Docker normal. Para obter mais informações, consulte Executar o daemon do Docker como usuário não raiz (modo sem raiz)

Considerações sobre segurança

Os scripts de configuração do ciclo de vida são executados com acesso root e herdam todos os privilégios da função de execução do IAM da instância do notebook. Qualquer pessoa (incluindo administradores) que tenha permissões para criar ou modificar configurações de ciclo de vida e gerenciar instâncias de notebook pode executar código com as credenciais da função de execução. Portanto, siga as melhores práticas abaixo.

Práticas recomendadas:

Restrinja o acesso administrativo: conceda permissões de configuração do ciclo de vida somente a administradores confiáveis que entendam as implicações de segurança.
Aplique princípios de privilégio mínimo: defina funções de execução de instâncias de notebook com apenas as permissões mínimas necessárias para cargas de trabalho legítimas.
Ative o monitoramento: revise CloudWatch os registros regularmente para verificar as execuções da configuração do ciclo de vida no grupo de registros /aws/sagemaker/NotebookInstances para detectar atividades inesperadas.
Implemente controles de mudança: estabeleça processos de aprovação para mudanças na configuração do ciclo de vida em ambientes de produção.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controle de acesso e cadernos do Studio

Referência de permissões da Amazon SageMaker AI API