As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controle o acesso root a uma instância do SageMaker notebook
<a name="nbi-root-access"></a>

Por padrão, quando você cria uma instância de caderno, os usuários que efetuam login nessa instância de caderno possuem acesso raiz. A ciência de dados é um processo iterativo que pode exigir que o cientista de dados teste e use diferentes pacotes e ferramentas de software, portanto, muitos usuários de instâncias de caderno precisam ter acesso raiz para poder instalar essas ferramentas e pacotes. Como os usuários com acesso raiz possuem privilégios de administrador, eles podem acessar e editar todos os arquivos em uma instância de caderno com acesso raiz habilitada.

Se você não deseja que os usuários tenham acesso raiz a uma instância de caderno, quando chamar as operações [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html), defina o campo `RootAccess` como `Disabled`. Você também pode desativar o acesso root para usuários ao criar ou atualizar uma instância de notebook no console Amazon SageMaker AI. Para mais informações, consulte [Crie uma instância do Amazon SageMaker Notebook para o tutorial](gs-setup-working-env.md).

**nota**  
As configurações de ciclo de vida precisam de acesso raiz para poder configurar uma instância de caderno. Por causa disso, as configurações de ciclo de vida associadas a uma instância de caderno sempre são executadas com acesso raiz, ainda que você desabilite o acesso raiz para os usuários.

**nota**  
Por motivos de segurança, o Docker sem raiz é instalado em instâncias de caderno com raiz desabilitada, em vez do Docker normal. Para obter mais informações, consulte [Executar o daemon do Docker como usuário não raiz (modo](https://docs.docker.com/engine/security/rootless/) sem raiz)

## Considerações sobre segurança
<a name="nbi-root-access-security-considerations"></a>

Os scripts de configuração do ciclo de vida são executados com acesso root e herdam todos os privilégios da função de execução do IAM da instância do notebook. Qualquer pessoa (incluindo administradores) que tenha permissões para criar ou modificar configurações de ciclo de vida e gerenciar instâncias de notebook pode executar código com as credenciais da função de execução. Portanto, siga as melhores práticas abaixo.

Práticas recomendadas:
+ Restrinja o acesso administrativo: conceda permissões de configuração do ciclo de vida somente a administradores confiáveis que entendam as implicações de segurança.
+ Aplique princípios de privilégio mínimo: defina funções de execução de instâncias de notebook com apenas as permissões mínimas necessárias para cargas de trabalho legítimas.
+ Ative o monitoramento: revise CloudWatch os registros regularmente para verificar as execuções da configuração do ciclo de vida no grupo de registros `/aws/sagemaker/NotebookInstances` para detectar atividades inesperadas.
+ Implemente controles de mudança: estabeleça processos de aprovação para mudanças na configuração do ciclo de vida em ambientes de produção.