Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses dan pengaturan izin untuk notebook SageMaker Studio
Amazon SageMaker Studio menggunakan sistem file dan izin kontainer untuk kontrol akses dan isolasi pengguna dan notebook Studio. Ini adalah salah satu perbedaan utama antara notebook Studio dan instance SageMaker notebook. Topik ini menjelaskan bagaimana izin diatur untuk menghindari ancaman keamanan, apa yang dilakukan SageMaker AI secara default, dan bagaimana pelanggan dapat menyesuaikan izin. Untuk informasi selengkapnya tentang notebook Studio dan lingkungan runtime mereka, lihat. Gunakan Notebook Amazon SageMaker Studio Classic
SageMaker Izin aplikasi AI
Pengguna run-as adalah pengguna/grup POSIX yang digunakan untuk menjalankan JupyterServer aplikasi dan KernelGateway aplikasi di dalam wadah.
Pengguna run-as untuk JupyterServer aplikasi ini adalah sagemaker-user (1000) secara default. Pengguna ini memiliki izin sudo untuk mengaktifkan instalasi dependensi seperti paket yum.
Pengguna run-as untuk KernelGateway aplikasi adalah root (0) secara default. Pengguna ini dapat menginstal dependensi menggunakan. pip/apt-get/conda
Karena pemetaan ulang pengguna, tidak ada pengguna yang dapat mengakses sumber daya atau membuat perubahan pada instance host.
Pemetaan ulang pengguna
SageMaker AI melakukan pemetaan ulang pengguna untuk memetakan pengguna di dalam wadah ke pengguna pada instance host di luar wadah. Rentang pengguna IDs (0 - 65535) dalam wadah dipetakan ke pengguna yang tidak memiliki hak istimewa IDs di atas 65535 pada instance. Misalnya, sagemaker-user (1000) di dalam container mungkin memetakan ke user (200001) pada instance, di mana angka dalam tanda kurung adalah ID pengguna. Jika pelanggan membuat user/group inside the container, it won't be privileged
on the host instance regardless of the user/group ID baru. Pengguna root wadah juga dipetakan ke pengguna yang tidak memiliki hak istimewa pada instance. Untuk informasi selengkapnya, lihat Mengisolasi kontainer dengan namespace pengguna
catatan
File yang dibuat oleh pengguna sagemaker-user mungkin terlihat seperti dimiliki oleh sagemaker-studio (uid 65534). Ini adalah efek samping dari mode pembuatan aplikasi cepat di mana gambar kontainer SageMaker AI ditarik sebelumnya, memungkinkan aplikasi untuk memulai dalam waktu kurang dari satu menit. Jika aplikasi Anda mengharuskan uid pemilik file dan uid pemilik proses untuk mencocokkan, minta layanan pelanggan untuk menghapus nomor akun Anda dari fitur pra-tarik gambar.
Izin gambar kustom
Pelanggan dapat membawa gambar SageMaker AI kustom mereka sendiri. Gambar-gambar ini dapat menentukan run-as user/group yang berbeda untuk meluncurkan aplikasi. KernelGateway Pelanggan dapat menerapkan kontrol izin berbutir halus di dalam gambar, misalnya, untuk menonaktifkan akses root atau melakukan tindakan lain. Pemetaan ulang pengguna yang sama berlaku di sini. Untuk informasi selengkapnya, lihat Bawa gambar SageMaker AI Anda sendiri.
Isolasi kontainer
Docker menyimpan daftar kemampuan default yang dapat digunakan penampung. SageMaker AI tidak menambahkan kemampuan tambahan. SageMaker AI menambahkan aturan rute khusus untuk memblokir permintaan ke Amazon EFS dan layanan metadata instance (IMDS) dari container. Pelanggan tidak dapat mengubah aturan rute ini dari kontainer. Untuk informasi selengkapnya, lihat hak istimewa Runtime dan kemampuan Linux
Akses metadata aplikasi
Metadata yang digunakan dengan menjalankan aplikasi dipasang ke wadah dengan izin hanya-baca. Pelanggan tidak dapat memodifikasi metadata ini dari wadah. Untuk metadata yang tersedia, lihat. Dapatkan Notebook Studio Classic dan Metadata Aplikasi
Isolasi pengguna di EFS
Saat Anda melakukan onboard ke Studio, SageMaker AI akan membuat volume Amazon Elastic File System (EFS) untuk domain Anda yang dibagikan oleh semua pengguna Studio di domain tersebut. Setiap pengguna mendapatkan direktori home pribadi mereka sendiri pada volume EFS. Direktori home ini digunakan untuk menyimpan notebook pengguna, repositori Git, dan data lainnya. Untuk mencegah pengguna lain di domain mengakses data pengguna, SageMaker AI membuat ID pengguna unik secara global untuk profil pengguna dan menerapkannya sebagai ID pengguna/grup POSIX untuk direktori home pengguna.
Akses EBS
Volume Amazon Elastic Block Store (Amazon EBS) dilampirkan ke instance host dan dibagikan di semua gambar. Ini digunakan untuk volume root notebook dan menyimpan data sementara yang dihasilkan di dalam wadah. Penyimpanan tidak bertahan saat instance yang menjalankan notebook dihapus. Pengguna root di dalam wadah tidak dapat mengakses volume EBS.
Akses IMDS
Karena masalah keamanan, akses ke Layanan Metadata Instans Amazon Elastic Compute Cloud (Amazon EC2) (IMDS) tidak tersedia di Studio. SageMaker Untuk informasi selengkapnya tentang IMDS, lihat Metadata instans dan data pengguna.