Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi e impostazione delle autorizzazioni per i notebook Studio SageMaker
Amazon SageMaker Studio utilizza le autorizzazioni di file system e container per il controllo degli accessi e l'isolamento degli utenti e dei notebook di Studio. Questa è una delle principali differenze tra i notebook Studio e le istanze notebook. SageMaker Questo argomento descrive come vengono configurate le autorizzazioni per evitare minacce alla sicurezza, cosa SageMaker funziona di default e come il cliente può personalizzare le autorizzazioni. Per ulteriori informazioni sui notebook Studio e sul relativo ambiente di esecuzione, consulta Usa i notebook Amazon SageMaker Studio Classic.
SageMaker autorizzazioni per le app
Un utente run-as è un POSIX utente/gruppo utilizzato per eseguire l' JupyterServer app e KernelGateway le app all'interno del contenitore.
L'utente run-as per l' JupyterServer app è sagemaker-user (1000) per impostazione predefinita. Questo utente dispone delle autorizzazioni sudo per abilitare l'installazione di dipendenze come i pacchetti yum.
L'utente run-as per le KernelGateway app è root (0) per impostazione predefinita. Questo utente è in grado di installare le dipendenze usando pip/apt-get/conda.
A causa della rimappatura degli utenti, nessuno degli utenti è in grado di accedere alle risorse o apportare modifiche all'istanza host.
Rimappatura degli utenti
SageMaker esegue la rimappatura degli utenti per mappare un utente all'interno del contenitore a un utente sull'istanza host all'esterno del contenitore. L'intervallo di utenti IDs (0 - 65535) nel contenitore viene mappato a un utente IDs non privilegiato superiore a 65535 sull'istanza. Ad esempio, sagemaker-user (1000) all'interno del container potrebbe essere mappato all'utente (200001) sull'istanza, dove il numero tra parentesi è l'ID utente. Se il cliente crea un nuovo utente/gruppo all'interno del container, non avrà i privilegi sull'istanza host indipendentemente dall'ID utente/gruppo. L'utente root del container viene inoltre mappato su un utente non privilegiato sull'istanza. Per ulteriori informazioni, consulta Isolare i container con uno spazio dei nomi utente
Nota
I file creati dall'utente sagemaker-user possono sembrare di proprietà di sagemaker-studio (uid 65534). Questo è un effetto collaterale di una modalità di creazione rapida delle app in cui le immagini dei SageMaker contenitori vengono preimpostate e consentono alle applicazioni di avviarsi in meno di un minuto. Se l'applicazione richiede che l'UID del proprietario del file e l'UID del proprietario del processo corrispondano, chiedi al servizio clienti di rimuovere il tuo numero di account dalla funzione di preestrazione delle immagini.
Autorizzazioni personalizzate per le immagini
I clienti possono portare le proprie immagini personalizzate SageMaker . Queste immagini possono specificare un utente/gruppo Run-as diverso per avviare l'app. KernelGateway Il cliente può implementare un controllo Fine Grained delle autorizzazioni all'interno dell'immagine, ad esempio per disabilitare l'accesso principale o eseguire altre operazioni. La stessa mappatura degli utenti si applica qui. Per ulteriori informazioni, consulta Porta la tua SageMaker immagine.
Isolamento del container
Docker mantiene un elenco di funzionalità predefinite che il contenitore può utilizzare. SageMaker non aggiunge funzionalità aggiuntive. SageMaker aggiunge regole di percorso specifiche per bloccare le richieste ad Amazon EFS e al servizio di metadati dell'istanza (IMDS) dal contenitore. I clienti non possono modificare queste regole di percorso dal container. Per ulteriori informazioni, consulta Privilegi di runtime e funzionalità Linux
Accesso ai metadati delle app
I metadati utilizzati dalle app in esecuzione vengono montati nel container con autorizzazione di sola lettura. I clienti non sono in grado di modificare questi metadati dal container. Per i metadati disponibili, consulta Scarica i metadati di Studio Classic per notebook e app.
Isolamento degli utenti su EFS
Quando effettui l'onboarding in Studio, SageMaker crea un volume Amazon Elastic File System (EFS) per il tuo dominio che viene condiviso da tutti gli utenti di Studio del dominio. Ogni utente ottiene la propria home directory privata sul EFS volume. Questa home directory viene utilizzata per archiviare i notebook dell'utente, i repository Git e altri dati. Per impedire ad altri utenti del dominio di accedere ai dati dell'utente, SageMaker crea un ID utente univoco a livello globale per il profilo dell'utente e lo applica come ID POSIX utente/gruppo per la home directory dell'utente.
EBSaccesso
Un volume Amazon Elastic Block Store (AmazonEBS) è collegato all'istanza host e condiviso su tutte le immagini. Viene utilizzato per il volume root dei notebook e archivia i dati temporanei generati all'interno del container. Lo storage non viene mantenuto quando l'istanza che esegue i notebook viene eliminata. L'utente root all'interno del contenitore non può accedere al EBS volume.
IMDSaccesso
Per motivi di sicurezza, l'accesso ad Amazon Elastic Compute Cloud (AmazonEC2) Instance Metadata Service (IMDS) non è disponibile in SageMaker Studio. Per ulteriori informazioniIMDS, consulta Metadati dell'istanza e dati utente.
