本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制对 SageMaker 笔记本实例的 root 访问权限
<a name="nbi-root-access"></a>

默认情况下，当您创建一个笔记本实例时，登录该笔记本实例的用户将拥有根访问权限。数据科学是一个迭代过程，可能需要数据科学家测试和使用不同的软件工具和包，因此许多笔记本实例用户需要具有根访问权限才能安装这些工具和包。由于具有根访问权限的用户具有管理员权限，所以，用户可以在启用根访问权限的情况下，访问和编辑笔记本实例上的所有文件。

如果不希望用户对笔记本实例具有根访问权限，则在调用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) 或 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) 操作时，将 `RootAccess` 字段设置为 `Disabled`。在 Amazon A SageMaker I 控制台中创建或更新笔记本实例时，您也可以禁用用户的根访问权限。有关信息，请参阅[为本教程创建 Amazon SageMaker 笔记本实例](gs-setup-working-env.md)。

**注意**  
生命周期配置需要根访问权限才能设置笔记本实例。因此，即使禁用了用户的根访问权限，与笔记本实例关联的生命周期配置也始终以根访问权限运行。

**注意**  
出于安全考虑，无根 Docker 安装在禁用了根的笔记本实例上，而不是普通 Docker 上。有关更多信息，请参阅[以非根用户身份运行 Docker 进程守护程序（无根模式）](https://docs.docker.com/engine/security/rootless/)

## 安全注意事项
<a name="nbi-root-access-security-considerations"></a>

生命周期配置脚本以根访问权限执行，并继承笔记本实例的 IAM 执行角色的全部权限。任何有权创建或修改生命周期配置以及管理笔记本实例的人（包括管理员）都可以使用执行角色的证书执行代码，因此请遵循以下最佳实践。

最佳实践：
+ 限制管理访问权限：仅向了解安全含义的可信管理员授予生命周期配置权限。
+ 应用最低权限原则：仅使用合法工作负载所需的最低权限来定义笔记本实例执行角色。
+ 启用监控：定期查看 CloudWatch 日志组中生命周期配置执行的日志`/aws/sagemaker/NotebookInstances`，以检测意外活动。
+ 实施变更控制：为生产环境中的生命周期配置更改建立批准流程。