Zugriffskontrolle und Festlegung von Berechtigungen für SageMaker Studio-Notizbücher - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle und Festlegung von Berechtigungen für SageMaker Studio-Notizbücher

Amazon SageMaker Studio verwendet Dateisystem- und Containerberechtigungen für die Zugriffskontrolle und Isolierung von Studio-Benutzern und Notebooks. Dies ist einer der Hauptunterschiede zwischen Studio-Notebooks und SageMaker Notebook-Instances. In diesem Thema wird beschrieben, wie Berechtigungen eingerichtet werden, um Sicherheitsbedrohungen zu vermeiden, was standardmäßig SageMaker funktioniert und wie der Kunde die Berechtigungen anpassen kann. Weitere Informationen zu Studio-Notebooks und ihrer Laufzeitumgebung finden Sie unter Verwenden Sie Amazon SageMaker Studio Classic-Notizbücher.

SageMaker App-Berechtigungen

Ein Run-as-Benutzer ist ein POSIX Benutzer/eine Gruppe, der verwendet wird, um die JupyterServer App und die KernelGateway Apps innerhalb des Containers auszuführen.

Der Run-as-Benutzer für die JupyterServer App ist standardmäßig sagemaker-user (1000). Dieser Benutzer hat Sudo-Berechtigungen, um die Installation von Abhängigkeiten wie Yum-Paketen zu ermöglichen.

Der Run-as-Benutzer für die KernelGateway Apps ist standardmäßig root (0). Dieser Benutzer kann Abhängigkeiten mit pip/apt-get/conda installieren.

Aufgrund der Neuzuweisung von Benutzern kann keiner der Benutzer auf Ressourcen zugreifen oder Änderungen an der Host-Instance vornehmen.

Neuzuweisung von Benutzern

SageMaker führt eine Benutzer-Neuzuweisung durch, um einen Benutzer innerhalb des Containers einem Benutzer auf der Host-Instance außerhalb des Containers zuzuordnen. Der Benutzerbereich IDs (0 — 65535) im Container wird einem Benutzer IDs ohne Zugriffsrechte über 65535 auf der Instance zugeordnet. Beispielsweise könnte sagemaker-user (1000) innerhalb des Containers dem Benutzer (200001) auf der Instance zugeordnet werden, wobei die Zahl in Klammern die Benutzer-ID ist. Wenn der Kunde einen neuen Benutzer/eine neue Gruppe innerhalb des Containers erstellt, erhält dieser unabhängig von der Benutzer-/Gruppen-ID keine Rechte auf der Host-Instance. Der Root-Benutzer des Containers ist auch einem Benutzer ohne Zugriffsrechte auf der Instance zugeordnet. Weitere Informationen finden Sie unter Isolieren von Containern mit einem Benutzernamespace.

Anmerkung

Dateien, die vom Benutzer sagemaker-user erstellt wurden, sehen möglicherweise so aus, als wären sie Eigentum von sagemaker-studio (UID 65534). Dies ist ein Nebeneffekt eines Modus zur schnellen App-Erstellung, bei dem SageMaker Container-Images vorab abgerufen werden, sodass Anwendungen in weniger als einer Minute gestartet werden können. Wenn Ihre Anwendung erfordert, dass die UID des Dateieigentümers und die UID des Prozesseigentümers übereinstimmen, bitten Sie den Kundendienst, Ihre Kontonummer aus der Funktion zum Pre-Pull von Bildern zu entfernen.

Benutzerdefinierte Bildberechtigungen

Kunden können ihre eigenen benutzerdefinierten SageMaker Bilder mitbringen. Diese Bilder können einen anderen Run-As-Benutzer/eine andere Run-As-Gruppe angeben, um die App zu starten. KernelGateway Der Kunde kann eine detaillierte Berechtigungssteuerung innerhalb des Images implementieren, um beispielsweise den Root-Zugriff zu deaktivieren oder andere Aktionen auszuführen. Hier gilt dieselbe Benutzer-Neuzuweisung. Weitere Informationen finden Sie unter Bringen Sie Ihr eigenes SageMaker Bild mit.

Container-Isolierung

Docker führt eine Liste von Standardfunktionen, die der Container verwenden kann. SageMaker fügt keine zusätzlichen Funktionen hinzu. SageMaker fügt spezifische Routenregeln hinzu, um Anfragen an Amazon EFS und den Instance-Metadatenservice (IMDS) aus dem Container zu blockieren. Kunden können diese Routenregeln nicht vom Container aus ändern. Weitere Informationen finden Sie unter Laufzeitprivileg und Linux-Funktionen.

Zugriff auf App-Metadaten

Metadaten, die von laufenden Apps verwendet werden, werden schreibgeschützt in den Container gemountet. Kunden können diese Metadaten nicht vom Container aus ändern. Die verfügbaren Metadaten finden Sie unter Holen Sie sich die Studio Classic-Notizbuch- und App-Metadaten.

Benutzerisolierung aktiviert EFS

Beim Onboarding in Studio SageMaker wird ein Amazon Elastic File System (EFS) -Volume für Ihre Domain erstellt, das von allen Studio-Benutzern in der Domain gemeinsam genutzt wird. Jeder Benutzer erhält sein eigenes privates Home-Verzeichnis auf dem EFS Volume. Dieses Home-Verzeichnis wird verwendet, um die Notebooks, Git-Repositorys und andere Daten des Benutzers zu speichern. Um zu verhindern, dass andere Benutzer in der Domäne auf die Daten des Benutzers zugreifen, SageMaker erstellt eine weltweit eindeutige Benutzer-ID für das Benutzerprofil und wendet sie als POSIX Benutzer-/Gruppen-ID für das Home-Verzeichnis des Benutzers an.

EBSZugriff

Ein Amazon Elastic Block Store (AmazonEBS) -Volume wird an die Host-Instance angehängt und von allen Images gemeinsam genutzt. Es wird für das Root-Volume der Notebooks verwendet und speichert temporäre Daten, die im Container generiert werden. Der Speicher bleibt nicht erhalten, wenn die Instance, auf der die Notebooks ausgeführt werden, gelöscht wird. Der Root-Benutzer im Container kann nicht auf das EBS Volume zugreifen.

IMDSZugriff

Aus Sicherheitsgründen ist der Zugriff auf den Amazon Elastic Compute Cloud (AmazonEC2) Instance Metadata Service (IMDS) in SageMaker Studio nicht verfügbar. Weitere Informationen dazu finden Sie IMDS unter Instance-Metadaten und Benutzerdaten.