As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Controle de acesso e permissões de configuração para notebooks SageMaker Studio O Amazon SageMaker Studio usa permissões de sistema de arquivos e contêiner para controle de acesso e isolamento de usuários e notebooks do Studio. Essa é uma das principais diferenças entre notebooks Studio e SageMaker instâncias de notebooks. Este tópico descreve como as permissões são configuradas para evitar ameaças à segurança, o que a SageMaker IA faz por padrão e como o cliente pode personalizar as permissões. Para obter mais informações sobre cadernos do Studio e seu ambiente runtime, consulte [Use os notebooks Amazon SageMaker Studio Classic](notebooks.md). **SageMaker Permissões de aplicativos de IA** Um *usuário run-as* é um POSIX user/group usado para executar o JupyterServer aplicativo e os KernelGateway aplicativos dentro do contêiner. O usuário run-as do JupyterServer aplicativo é sagemaker-user (1000) por padrão. Esse usuário tem permissões sudo para permitir a instalação de dependências, como pacotes yum. O usuário run-as dos KernelGateway aplicativos é root (0) por padrão. Esse usuário pode instalar dependências usando o. pip/apt-get/conda Devido ao remapeamento do usuário, nenhum usuário pode acessar recursos ou fazer alterações na instância do host. **Remapeamento de usuário** SageMaker A IA realiza o remapeamento do usuário para mapear um usuário dentro do contêiner para um usuário na instância hospedeira fora do contêiner. O intervalo de usuários IDs (0 a 65535) no contêiner é mapeado para um usuário sem privilégios IDs acima de 65535 na instância. Por exemplo, sagemaker-user (1000) dentro do contêiner pode mapear para o usuário (200001) na instância, onde o número entre parênteses é o ID do usuário. Se o cliente criar um novo user/group dentro do contêiner, ele não terá privilégios na instância hospedeira, independentemente do user/group ID. O usuário-raiz do contêiner também é mapeado para um usuário sem privilégios na instância. Para obter mais informações, consulte [Isolar contêineres com um namespace de usuário](https://docs.docker.com/engine/security/userns-remap/). **nota** Os arquivos criados pelo usuário sagemaker-user podem parecer pertencentes ao sagemaker-studio (uid 65534). Esse é um efeito colateral de um modo de criação rápida de aplicativos em que as imagens de contêiner de SageMaker IA são pré-extraídas, permitindo que os aplicativos sejam iniciados em menos de um minuto. Se sua aplicação exigir que o uid do proprietário do arquivo e o uid do proprietário do processo correspondam, peça ao serviço de atendimento ao cliente que remova o número da sua conta do atributo de pré-extração de imagens. **Permissões de imagem personalizadas** Os clientes podem trazer suas próprias SageMaker imagens personalizadas. Essas imagens podem especificar um run-as diferente user/group para iniciar o KernelGateway aplicativo. O cliente pode implementar um controle de permissão refinado dentro da imagem, por exemplo, para desativar o acesso raiz ou realizar outras ações. O mesmo remapeamento de usuário se aplica aqui. Para obter mais informações, consulte [Imagens personalizadas no Amazon SageMaker Studio Classic](studio-byoi.md). **Isolamento de contêiner** O Docker mantém uma lista dos recursos padrão que o contêiner pode usar. SageMaker A IA não adiciona recursos adicionais. SageMaker A IA adiciona regras de rota específicas para bloquear solicitações ao Amazon EFS e ao [serviço de metadados da instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) do contêiner. Os clientes não podem alterar essas regras de rota a partir do contêiner. Para obter mais informações, consulte [Privilégio de runtime e recursos do Linux](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities). **Acesso aos metadados de aplicação** Os metadados usados pelas aplicações em execução são montados no contêiner com permissão somente para leitura. Os clientes não conseguem modificar esses metadados do contêiner. Para obter os metadados disponíveis, consulte [Obtenha metadados do notebook e do aplicativo Amazon SageMaker Studio Classic](notebooks-run-and-manage-metadata.md). **Isolamento do usuário no EFS** Quando você se integra ao Studio, a SageMaker IA cria um volume do Amazon Elastic File System (EFS) para seu domínio, que é compartilhado por todos os usuários do Studio no domínio. Cada usuário obtém seu próprio diretório pessoal privado no volume EFS. Esse diretório inicial é usado para armazenar os cadernos, repositórios Git e outros dados do usuário. Para impedir que outros usuários no domínio acessem os dados do usuário, a SageMaker IA cria uma ID de usuário globalmente exclusiva para o perfil do usuário e a aplica como uma user/group ID POSIX para o diretório inicial do usuário. **Acesso ao EBS** Um volume do Amazon Elastic Block Store (Amazon EBS) é anexado à instância do host e compartilhado em todas as imagens. Ele é usado para o volume raiz dos cadernos e armazena dados temporários que são gerados dentro do contêiner. O armazenamento não persiste quando a instância que executa os cadernos é excluída. O usuário-raiz dentro do contêiner não pode acessar o volume do EBS. **Acesso ao IMDS** Devido a questões de segurança, o acesso ao Serviço de Metadados de Instância (IMDS) do Amazon Elastic Compute Cloud (Amazon EC2) não está disponível no Studio. SageMaker Para obter mais informações sobre o IMDS, consulte [Metadados de instância e dados do usuário](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).