Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso root a un'istanza di notebook SageMaker
Per impostazione predefinita, quando crei un'istanza del notebook, gli utenti che accedono a tale istanza del notebook dispongono di accesso root. La scienza dei dati è un processo iterativo che potrebbe richiedere ai data scientist di testare e utilizzare diversi strumenti e pacchetti software. Pertanto, molti utenti dell'istanza del notebook devono disporre di accesso root per essere in grado di installare questi strumenti e pacchetti. Poiché gli utenti con accesso root dispongono di privilegi di amministratore, gli utenti possono accedere e modificare tutti i file su un'istanza del notebook con accesso root abilitato.
Se gli utenti non devono disporre di accesso root a un'istanza del notebook, quando chiami operazioni CreateNotebookInstance o UpdateNotebookInstance, imposta il campo RootAccess su Disabled. Puoi anche disabilitare l'accesso root per gli utenti quando crei o aggiorni un'istanza di notebook nella console Amazon SageMaker AI. Per informazioni, consulta Crea un'istanza Amazon SageMaker Notebook per il tutorial.
Nota
Le configurazioni del ciclo di vita richiedono l'accesso root per essere in grado di configurare un'istanza del notebook. Per questo motivo, le configurazioni del ciclo di vita associate a un'istanza del notebook vengono sempre eseguite come accesso root anche se si disattiva l'accesso root per utenti.
Nota
Per motivi di sicurezza, Rootless Docker viene installato su istanze del notebook con disabilitazione root anziché su Docker normale. Per ulteriori informazioni, consulta Esegui Daemon Docker come utente non root
Considerazioni relative alla sicurezza
Gli script di configurazione del ciclo di vita vengono eseguiti con accesso root ed ereditano tutti i privilegi del ruolo di esecuzione IAM dell'istanza notebook. Chiunque (compresi gli amministratori) disponga delle autorizzazioni per creare o modificare le configurazioni del ciclo di vita e gestire le istanze dei notebook può eseguire codice con le credenziali del ruolo di esecuzione, pertanto segui le migliori pratiche riportate di seguito.
Procedure consigliate:
-
Limita l'accesso amministrativo: concedi le autorizzazioni di configurazione del ciclo di vita solo ad amministratori affidabili che comprendono le implicazioni sulla sicurezza.
-
Applica i principi del privilegio minimo: definisci i ruoli di esecuzione delle istanze di notebook con solo le autorizzazioni minime richieste per i carichi di lavoro legittimi.
-
Abilita il monitoraggio: esamina regolarmente CloudWatch i log per verificare le esecuzioni della configurazione del ciclo di vita nel gruppo di log per rilevare attività impreviste.
/aws/sagemaker/NotebookInstances -
Implementa i controlli delle modifiche: stabilisci processi di approvazione per le modifiche alla configurazione del ciclo di vita negli ambienti di produzione.
