Controle el acceso raíz a una instancia de SageMaker notebook - Amazon SageMaker AI
Consideraciones de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controle el acceso raíz a una instancia de SageMaker notebook

De forma predeterminada, cuando se crea una instancia del bloc de notas, los usuarios que inician sesión en dicha instancia disponen de acceso raíz. La ciencia de datos es un proceso iterativo en el que es posible que los científicos de datos necesiten probar y utilizar distintas herramientas y paquetes de software, por lo que es necesario que varios usuarios de la instancia del bloc de notas tengan acceso raíz para poder instalar estas herramientas y paquetes. Dado que los usuarios con acceso raíz tienen privilegios de administrador, pueden obtener acceso a todos los archivos de una instancia del bloc de notas que tenga habilitado el acceso raíz y editarlos.

Si no desea que los usuarios tengan acceso raíz a una instancia del bloc de notas, establezca el campo RootAccess en Disabled cuando llame a las operaciones CreateNotebookInstance o UpdateNotebookInstance. También puedes inhabilitar el acceso root para los usuarios al crear o actualizar una instancia de notebook en la consola de Amazon SageMaker AI. Para obtener información, consulte Crear una instancia de Amazon SageMaker Notebook para el tutorial.

nota

Las configuraciones de ciclo de vida necesitan acceso raíz para poder configurar una instancia del bloc de notas. Por este motivo, las configuraciones de ciclo de vida asociadas a una instancia del bloc de notas siempre se ejecutan con acceso raíz, incluso si se deshabilitado este para los usuarios.

nota

Por motivos de seguridad, se instala Docker sin raíz en las instancias de cuaderno con la raíz deshabilitada en lugar del Docker normal. Para obtener más información, consulte Run the Docker daemon as a non-root user (Rootless mode)

Consideraciones de seguridad

Los scripts de configuración del ciclo de vida se ejecutan con acceso root y heredan todos los privilegios de la función de ejecución de IAM de la instancia de notebook. Cualquier persona (incluidos los administradores) que tenga permisos para crear o modificar las configuraciones del ciclo de vida y administrar las instancias del portátil puede ejecutar código con las credenciales de la función de ejecución. Por lo tanto, siga las prácticas recomendadas que se indican a continuación.

Prácticas recomendadas:

  • Restrinja el acceso administrativo: conceda permisos de configuración del ciclo de vida únicamente a administradores de confianza que entiendan las implicaciones de seguridad.

  • Aplique los principios del mínimo privilegio: defina las funciones de ejecución de las instancias de los equipos portátiles con solo los permisos mínimos necesarios para las cargas de trabajo legítimas.

  • Habilite la supervisión: revise CloudWatch los registros con regularidad para ver las ejecuciones de la configuración del ciclo de vida en un grupo de registros /aws/sagemaker/NotebookInstances para detectar actividades inesperadas.

  • Implemente controles de cambios: establezca procesos de aprobación para los cambios de configuración del ciclo de vida en los entornos de producción.