Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso y configuración de permisos para las libretas SageMaker Studio
Amazon SageMaker Studio utiliza permisos de contenedores y sistemas de archivos para el control de acceso y el aislamiento de los usuarios y cuadernos de Studio. Esta es una de las principales diferencias entre las libretas Studio y las instancias de libretas. SageMaker En este tema se describe cómo se configuran los permisos para evitar amenazas a la seguridad, qué es lo que SageMaker se hace de forma predeterminada y cómo el cliente puede personalizar los permisos. Para obtener más información sobre los cuadernos de Studio y su entorno de tiempo de ejecución, consulte Usa las libretas clásicas de Amazon SageMaker Studio.
SageMaker permisos de aplicaciones
Un usuario en ejecución es un POSIX usuario o grupo que se utiliza para ejecutar la JupyterServer aplicación y las KernelGateway aplicaciones dentro del contenedor.
El usuario en ejecución de la JupyterServer aplicación es sagemaker-user (1000) de forma predeterminada. Este usuario tiene permisos de sudo para permitir la instalación de dependencias, como los paquetes yum.
El usuario run-as de las KernelGateway aplicaciones es root (0) de forma predeterminada. Este usuario puede instalar dependencias mediante pip/apt-get/conda.
Debido a la reasignación de usuarios, ninguno de los usuarios puede acceder a los recursos ni realizar cambios en la instancia host.
Reasignación de usuarios
SageMaker realiza una reasignación de usuarios para asignar un usuario dentro del contenedor a un usuario de la instancia host situada fuera del contenedor. El rango de usuarios IDs (0 - 65535) del contenedor se asigna a un usuario no privilegiado IDs superior a 65535 en la instancia. Por ejemplo, el sagemaker-user (1000) del contenedor podría asignarse al usuario (200001) de la instancia, donde el número entre paréntesis es el ID de usuario. Si el cliente crea un nuevo usuario o grupo dentro del contenedor, no tendrá privilegios en la instancia host, independientemente del ID de usuario o grupo. El usuario raíz del contenedor también se asigna a un usuario sin privilegios de la instancia. Para obtener más información, consulte Isolate containers with a user namespace
nota
Puede parecer que los archivos creados por el usuario sagemaker-user son propiedad de sagemaker-studio (uid 65534). Este es un efecto secundario de un modo de creación rápida de aplicaciones, en el que las imágenes del SageMaker contenedor se extraen previamente, lo que permite que las aplicaciones se inicien en menos de un minuto. Si su aplicación requiere que el uid del propietario del archivo y el uid del propietario del proceso coincidan, pida al servicio de atención al cliente que elimine su número de cuenta de la característica de extracción previa de imágenes.
Permisos de imagen personalizados
Los clientes pueden traer sus propias SageMaker imágenes personalizadas. Estas imágenes pueden especificar un usuario o grupo diferente para ejecutar la aplicación. KernelGateway El cliente puede implementar un control de permisos detallado dentro de la imagen, por ejemplo, para deshabilitar el acceso raíz o realizar otras acciones. En este caso, se aplica la misma reasignación de usuarios. Para obtener más información, consulte Traiga su propia SageMaker imagen.
Aislamiento de contenedores
Docker mantiene una lista de las capacidades predeterminadas que puede usar el contenedor. SageMaker no añade capacidades adicionales. SageMaker añade reglas de ruta específicas para bloquear las solicitudes a Amazon EFS y al servicio de metadatos de la instancia (IMDS) desde el contenedor. Los clientes no pueden cambiar estas reglas de ruta desde el contenedor. Para obtener más información, consulte Runtime privilege and Linux capabilities
Acceso a los metadatos de la aplicación
Los metadatos que utilizan las aplicaciones en ejecución se montan en el contenedor con un permiso de solo lectura. Los clientes no pueden modificar estos metadatos desde el contenedor. Para ver los metadatos disponibles, consulte Obtenga metadatos de cuadernos y aplicaciones de Studio Classic.
Aislamiento de usuarios activado EFS
Al incorporarte a Studio, SageMaker crea un volumen de Amazon Elastic File System (EFS) para tu dominio que comparten todos los usuarios de Studio del dominio. Cada usuario tiene su propio directorio principal privado en el EFS volumen. Este directorio principal se usa para almacenar los cuadernos del usuario, los repositorios de Git y otros datos. Para evitar que otros usuarios del dominio accedan a los datos del usuario, SageMaker crea un ID de usuario único a nivel mundial para el perfil del usuario y lo aplica como un ID de POSIX usuario o grupo para el directorio principal del usuario.
EBSacceder
Se adjunta un volumen de Amazon Elastic Block Store (AmazonEBS) a la instancia host y se comparte en todas las imágenes. Se usa para el volumen raíz de los cuadernos y almacena los datos temporales que se generan dentro del contenedor. El almacenamiento no se conserva cuando se elimina la instancia en la que se ejecutan los cuadernos. El usuario raíz que se encuentra dentro del contenedor no puede acceder al EBS volumen.
IMDSacceder
Por motivos de seguridad, el acceso al servicio de metadatos de instancias de Amazon Elastic Compute Cloud (AmazonEC2) (IMDS) no está disponible en SageMaker Studio. Para obtener más informaciónIMDS, consulte los metadatos de las instancias y los datos de usuario.