Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle d'accès et définition des autorisations pour les blocs-notes SageMaker Studio
Amazon SageMaker Studio utilise les autorisations des systèmes de fichiers et des conteneurs pour le contrôle d'accès et l'isolation des utilisateurs et des ordinateurs portables de Studio. Il s'agit de l'une des principales différences entre les blocs-notes Studio et les instances de SageMaker blocs-notes. Cette rubrique décrit comment les autorisations sont configurées pour éviter les menaces de sécurité, ce qui est SageMaker fait par défaut et comment le client peut personnaliser les autorisations. Pour de plus amples informations sur les blocs-notes Studio et leur environnement d'exécution, veuillez consulter Utiliser les blocs-notes Amazon SageMaker Studio Classic.
SageMaker autorisations d'application
Un utilisateur run-as est un POSIX utilisateur/groupe utilisé pour exécuter l' JupyterServer application et les KernelGateway applications à l'intérieur du conteneur.
L'utilisateur run-as de l' JupyterServer application est sagemaker-user (1000) par défaut. Cet utilisateur dispose d'autorisations sudo pour activer l'installation de dépendances telles que les packages yum.
L'utilisateur run-as pour les KernelGateway applications est root (0) par défaut. Cet utilisateur est capable d'installer des dépendances en utilisant pip/apt-get/conda.
En raison du remappage d'utilisateur, aucun utilisateur n'est en mesure d'accéder aux ressources ou d'apporter des modifications à l'instance hôte.
Remappage d'utilisateur
SageMaker effectue un remappage utilisateur pour mapper un utilisateur à l'intérieur du conteneur à un utilisateur de l'instance hôte à l'extérieur du conteneur. La plage d'utilisateurs IDs (0 à 65535) dans le conteneur est mappée à l'utilisateur non privilégié IDs supérieur à 65535 sur l'instance. Par exemple, sagemaker-user (1000) à l'intérieur du conteneur peut mapper à l'utilisateur (200001) sur l'instance, où le nombre entre parenthèses est l'ID utilisateur. Si le client crée un utilisateur/groupe à l'intérieur du conteneur, il ne sera pas privilégié sur l'instance hôte, quel que soit l'ID utilisateur/groupe. L'utilisateur racine du conteneur est également mappé à un utilisateur non privilégié sur l'instance. Pour de plus amples informations, veuillez consulter Isolate containers with a user namespace
Note
Les fichiers créés par l'utilisateur sagemaker-user peuvent sembler appartenir à sagemaker-studio (uid 65534). Il s'agit d'un effet secondaire d'un mode de création rapide d'applications SageMaker dans lequel les images des conteneurs sont préextraites, ce qui permet aux applications de démarrer en moins d'une minute. Si votre application nécessite que l'UID du propriétaire du fichier et l'UID du propriétaire du processus correspondent, demandez au service clientèle de supprimer votre numéro de compte de la fonctionnalité de pré-extraction d'image.
Autorisations d'image personnalisée
Les clients peuvent apporter leurs propres SageMaker images personnalisées. Ces images peuvent spécifier un autre utilisateur/groupe d'exécution en tant qu'utilisateur/groupe pour lancer l'application. KernelGateway Le client peut implémenter un contrôle d'autorisation précis à l'intérieur de l'image, par exemple, pour désactiver l'accès racine ou effectuer d'autres actions. Le même remappage utilisateur s'applique ici. Pour de plus amples informations, veuillez consulter Apportez votre propre SageMaker image.
Isolation du conteneur
Docker conserve une liste des fonctionnalités par défaut que le conteneur peut utiliser. SageMaker n'ajoute pas de fonctionnalités supplémentaires. SageMaker ajoute des règles de route spécifiques pour bloquer les demandes adressées à Amazon EFS et au service de métadonnées d'instance (IMDS) depuis le conteneur. Les clients ne peuvent pas modifier ces règles d'acheminement à partir du conteneur. Pour de plus amples informations, veuillez consulter Runtime privilege and Linux capabilities
Accès aux métadonnées de l'appli
Les métadonnées utilisées par les applis en cours d'exécution sont montées sur le conteneur avec une autorisation en lecture seule. Les clients ne sont pas en mesure de modifier ces métadonnées à partir du conteneur. Pour connaître les métadonnées disponibles, veuillez consulter Obtenir les métadonnées du bloc-notes et des applications Studio Classic.
Isolation de l'utilisateur activée EFS
Lorsque vous intégrez Studio, vous SageMaker créez un volume Amazon Elastic File System (EFS) pour votre domaine qui est partagé par tous les utilisateurs de Studio du domaine. Chaque utilisateur dispose de son propre répertoire personnel privé sur le EFS volume. Ce répertoire de base sert à stocker les blocs-notes, les référentiels Git et d'autres données de l'utilisateur. Pour empêcher les autres utilisateurs du domaine d'accéder aux données de l'utilisateur, SageMaker crée un ID utilisateur unique au niveau mondial pour le profil de l'utilisateur et l'applique en tant qu'identifiant d'POSIXutilisateur/de groupe pour le répertoire personnel de l'utilisateur.
EBSaccès
Un volume Amazon Elastic Block Store (AmazonEBS) est attaché à l'instance hôte et partagé entre toutes les images. Il est utilisé pour le volume racine des blocs-notes et stocke les données temporaires générées à l'intérieur du conteneur. Le stockage n'est pas conservé lorsque l'instance exécutant les blocs-notes est supprimée. L'utilisateur root à l'intérieur du conteneur ne peut pas accéder au EBS volume.
IMDSaccès
Pour des raisons de sécurité, l'accès au service de métadonnées d'instance Amazon Elastic Compute Cloud (AmazonEC2) (IMDS) n'est pas disponible dans SageMaker Studio. Pour plus d'informationsIMDS, consultez la section Métadonnées de l'instance et données utilisateur.
