SageMaker Studio 노트북에 대한 액세스 제어 및 설정 권한 - Amazon SageMaker

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SageMaker Studio 노트북에 대한 액세스 제어 및 설정 권한

Amazon SageMaker Studio는 Studio 사용자 및 노트북의 액세스 제어 및 격리를 위해 파일 시스템 및 컨테이너 권한을 사용합니다. 이는 Studio 노트북과 SageMaker 노트북 인스턴스의 주요 차이점 중 하나입니다. 이 주제에서는 보안 위협을 방지하기 위해 권한을 설정하는 방법, 기본적으로 수행하는 SageMaker 작업, 고객이 권한을 사용자 지정하는 방법을 설명합니다. Studio 노트북과 해당 런타임 환경에 대한 자세한 내용은 Amazon SageMaker Studio Classic 노트북 사용섹션을 참조하세요.

SageMaker 앱 권한

run-as 사용자는 컨테이너 내에서 JupyterServer 앱 및 KernelGateway 앱을 실행하는 데 사용되는 POSIX 사용자/그룹입니다.

JupyterServer 앱의 run-as 사용자는 기본적으로 sagemaker-user(1000)입니다. 이 사용자에게는 yum 패키지와 같은 종속성을 설치할 수 있는 sudo 권한이 있습니다.

KernelGateway 앱의 run-as 사용자는 기본적으로 루트(0)입니다. 이 사용자는 pip/apt-get/conda를 사용하여 종속성을 설치할 수 있습니다.

사용자 재매핑으로 인해 두 사용자 모두 리소스에 액세스하거나 호스트 인스턴스를 변경할 수 없습니다.

사용자 재매핑

SageMaker 는 사용자 제거를 수행하여 컨테이너 내부의 사용자를 컨테이너 외부의 호스트 인스턴스에 있는 사용자에게 매핑합니다. 컨테이너의 사용자 범위IDs(0~65535)는 인스턴스에서 65535 IDs 이상의 권한이 없는 사용자에게 매핑됩니다. 예를 들어 컨테이너 내부의 sagemaker-user(1000)는 인스턴스의 사용자(200001)에 매핑될 수 있습니다.여기서 괄호 안의 숫자는 사용자 ID입니다. 고객이 컨테이너 내에 새 사용자/그룹을 생성하는 경우 사용자/그룹 ID와 상관없이 호스트 인스턴스에서 권한이 부여되지 않습니다. 컨테이너의 루트 사용자는 인스턴스의 권한이 없는 사용자에게도 매핑됩니다. 자세한 내용은 사용자 네임스페이스로 컨테이너 격리를 참조하세요.

참고

사용자 sagemaker-user가 만든 파일은 sagemaker-studio(uid 65534) 소유인 것처럼 보일 수 있습니다. 이는 SageMaker 컨테이너 이미지가 미리 풀링되어 애플리케이션이 1분 이내에 시작될 수 있는 빠른 앱 생성 모드의 부작용입니다. 애플리케이션에 일치하는 파일 소유자 uid와 프로세스 소유자 uid가 필요한 경우 고객 서비스에 이미지 사전 가져오기 기능에서 계정 번호를 제거해 달라고 요청하세요.

사용자 지정 이미지 권한

고객은 자신의 사용자 지정 SageMaker 이미지를 가져올 수 있습니다. 이러한 이미지는 KernelGateway 앱을 시작할 다른 사용자/그룹으로 실행을 지정할 수 있습니다. 고객은 이미지 내에서 세분화된 권한 제어를 구현하여 예를 들어 루트 액세스를 비활성화하거나 다른 작업을 수행할 수 있습니다. 여기에도 동일한 사용자 재매핑이 적용됩니다. 자세한 내용은 자신의 SageMaker 이미지 가져오기섹션을 참조하세요.

컨테이너 격리

Docker는 컨테이너가 사용할 수 있는 기본 기능 목록을 유지합니다. SageMaker 는 추가 기능을 추가하지 않습니다. 는 특정 라우팅 규칙을 SageMaker 추가하여 컨테이너에서 Amazon EFS 및 인스턴스 메타데이터 서비스(IMDS)에 대한 요청을 차단합니다. 고객은 컨테이너에서 이러한 라우팅 규칙을 변경할 수 없습니다. 자세한 내용은 런타임 권한 및 Linux 기능을 참조하세요.

앱 메타데이터 액세스

앱 실행에 사용되는 메타데이터는 읽기 전용 권한으로 컨테이너에 마운트됩니다. 고객은 컨테이너에서 이 메타데이터를 수정할 수 없습니다. 사용 가능한 메타데이터는 Studio Classic 노트북 및 앱 메타데이터 가져오기섹션을 참조하세요.

의 사용자 격리 EFS

Studio에 온보딩하면 는 도메인의 모든 Studio 사용자가 공유하는 도메인의 Amazon Elastic File System(EFS) 볼륨을 SageMaker 생성합니다. 각 사용자는 EFS 볼륨에서 자체 프라이빗 홈 디렉터리를 가져옵니다. 이 홈 디렉터리는 사용자의 노트북, Git 리포지토리 및 기타 데이터를 저장하는 데 사용됩니다. 도메인의 다른 사용자가 사용자 데이터에 액세스하지 못하도록 는 사용자 프로필의 전역 고유 사용자 ID를 SageMaker 생성하고 이를 사용자의 홈 디렉터리의 POSIX 사용자/그룹 ID로 적용합니다.

EBS 액세스

Amazon Elastic Block Store(Amazon EBS) 볼륨은 호스트 인스턴스에 연결되고 모든 이미지에서 공유됩니다. 노트북의 루트 볼륨에 사용되며 컨테이너 내에서 생성된 임시 데이터를 저장합니다. 노트북을 실행하는 인스턴스가 삭제되어도 스토리지는 유지되지 않습니다. 컨테이너 내부의 루트 사용자는 EBS 볼륨에 액세스할 수 없습니다.

IMDS 액세스

보안 문제로 인해 SageMaker Studio에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터 서비스(IMDS)에 액세스할 수 없습니다. 에 대한 자세한 내용은 인스턴스 메타데이터 및 사용자 데이터 섹션을 IMDS참조하세요.