Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses dan pengaturan izin untuk notebook SageMaker Studio
Amazon SageMaker Studio menggunakan sistem file dan izin kontainer untuk kontrol akses dan isolasi pengguna dan notebook Studio. Ini adalah salah satu perbedaan utama antara notebook Studio dan instance SageMaker notebook. Topik ini menjelaskan bagaimana izin diatur untuk menghindari ancaman keamanan, SageMaker apa yang dilakukan secara default, dan bagaimana pelanggan dapat menyesuaikan izin. Untuk informasi selengkapnya tentang notebook Studio dan lingkungan runtime mereka, lihat. Gunakan Notebook Amazon SageMaker Studio Classic
SageMaker izin aplikasi
Pengguna run-as adalah POSIX pengguna/grup yang digunakan untuk menjalankan JupyterServer aplikasi dan KernelGateway aplikasi di dalam wadah.
Pengguna run-as untuk JupyterServer aplikasi ini adalah sagemaker-user (1000) secara default. Pengguna ini memiliki izin sudo untuk mengaktifkan instalasi dependensi seperti paket yum.
Pengguna run-as untuk KernelGateway aplikasi adalah root (0) secara default. Pengguna ini dapat menginstal dependensi menggunakan pip/apt-get/conda.
Karena pemetaan ulang pengguna, tidak ada pengguna yang dapat mengakses sumber daya atau membuat perubahan pada instance host.
Pemetaan ulang pengguna
SageMaker melakukan pemetaan ulang pengguna untuk memetakan pengguna di dalam wadah ke pengguna pada instance host di luar wadah. Rentang pengguna IDs (0 - 65535) dalam wadah dipetakan ke pengguna yang tidak memiliki hak istimewa IDs di atas 65535 pada instance. Misalnya, sagemaker-user (1000) di dalam container mungkin memetakan ke user (200001) pada instance, di mana angka dalam tanda kurung adalah ID pengguna. Jika pelanggan membuat pengguna/grup baru di dalam wadah, itu tidak akan mendapat hak istimewa pada instance host terlepas dari ID pengguna/grup. Pengguna root wadah juga dipetakan ke pengguna yang tidak memiliki hak istimewa pada instance. Untuk informasi selengkapnya, lihat Mengisolasi kontainer dengan namespace pengguna
catatan
File yang dibuat oleh pengguna sagemaker-user mungkin terlihat seperti dimiliki oleh sagemaker-studio (uid 65534). Ini adalah efek samping dari mode pembuatan aplikasi cepat di mana gambar SageMaker kontainer ditarik sebelumnya, memungkinkan aplikasi untuk memulai dalam waktu kurang dari satu menit. Jika aplikasi Anda mengharuskan uid pemilik file dan uid pemilik proses untuk mencocokkan, minta layanan pelanggan untuk menghapus nomor akun Anda dari fitur pra-tarik gambar.
Izin gambar kustom
Pelanggan dapat membawa SageMaker gambar kustom mereka sendiri. Gambar-gambar ini dapat menentukan run-as user/group yang berbeda untuk meluncurkan aplikasi. KernelGateway Pelanggan dapat menerapkan kontrol izin berbutir halus di dalam gambar, misalnya, untuk menonaktifkan akses root atau melakukan tindakan lain. Pemetaan ulang pengguna yang sama berlaku di sini. Untuk informasi selengkapnya, lihat Bawa SageMaker gambar Anda sendiri.
Isolasi kontainer
Docker menyimpan daftar kemampuan default yang dapat digunakan penampung. SageMaker tidak menambahkan kemampuan tambahan. SageMaker menambahkan aturan rute khusus untuk memblokir permintaan ke Amazon EFS dan layanan metadata instance (IMDS) dari container. Pelanggan tidak dapat mengubah aturan rute ini dari kontainer. Untuk informasi selengkapnya, lihat hak istimewa Runtime dan kemampuan Linux
Akses metadata aplikasi
Metadata yang digunakan dengan menjalankan aplikasi dipasang ke wadah dengan izin hanya-baca. Pelanggan tidak dapat memodifikasi metadata ini dari wadah. Untuk metadata yang tersedia, lihat. Dapatkan Notebook Studio Classic dan Metadata Aplikasi
Isolasi pengguna pada EFS
Saat Anda melakukan onboard ke Studio, SageMaker buat volume Amazon Elastic File System (EFS) untuk domain Anda yang dibagikan oleh semua pengguna Studio di domain tersebut. Setiap pengguna mendapatkan direktori home pribadi mereka sendiri pada EFS volume. Direktori home ini digunakan untuk menyimpan notebook pengguna, repositori Git, dan data lainnya. Untuk mencegah pengguna lain di domain mengakses data pengguna, SageMaker buat ID pengguna yang unik secara global untuk profil pengguna dan menerapkannya sebagai ID POSIX pengguna/grup untuk direktori home pengguna.
EBSakses
Volume Amazon Elastic Block Store (AmazonEBS) dilampirkan ke instance host dan dibagikan di semua gambar. Ini digunakan untuk volume root notebook dan menyimpan data sementara yang dihasilkan di dalam wadah. Penyimpanan tidak bertahan saat instance yang menjalankan notebook dihapus. Pengguna root di dalam wadah tidak dapat mengakses EBS volume.
IMDSakses
Karena masalah keamanan, akses ke Amazon Elastic Compute Cloud (AmazonEC2) Instance Metadata Service (IMDS) tidak tersedia di Studio. SageMaker Untuk informasi selengkapnyaIMDS, lihat Metadata instans dan data pengguna.
