本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制 SageMaker 筆記本執行個體的根存取權
<a name="nbi-root-access"></a>

預設情況下，當您建立建立筆記本執行個體時，登入該筆記本執行個體的使用者具有根存取權。資料科學是一個反覆處理過程，可能需要資料科學家測試和使用不同的軟體工具和套件，因此許多筆記本執行個體使用者需要具有根存取權，以便安裝這些工具和套件。由於具有根存取權的使用者具有管理員權限，因此使用者可以存取和編輯啟用了根存取權之筆記本執行個體上的所有檔案。

如果您不希望使用者具有筆記本執行個體的根存取權，當您呼叫 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) 或 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) 操作時，請將 `RootAccess` 欄位設定為 `Disabled`。您也可以在 Amazon SageMaker AI 主控台中建立或更新筆記本執行個體時，停用使用者的根存取權。如需相關資訊，請參閱[建立教學課程的 Amazon SageMaker 筆記本執行個體](gs-setup-working-env.md)。

**注意**  
生命週期組態需要根存取權才能設定筆記本執行個體。由於這個原因，即使您停用了使用者的根存取權，與筆記本執行個體關聯的生命週期組態也會一律以根存取權執行。

**注意**  
出於安全原因，無根 Docker 安裝在停用根的筆記本執行個體上，而非一般的 Docker 上。有關更多資訊，請參閱[以非根使用者身分 (無根模式) 執行 Docker 常駐程式](https://docs.docker.com/engine/security/rootless/)

## 安全考量
<a name="nbi-root-access-security-considerations"></a>

生命週期組態指令碼會以根存取權執行，並繼承筆記本執行個體 IAM 執行角色的完整權限。有權建立或修改生命週期組態和管理筆記本執行個體的任何人 （包括管理員） 都可以使用執行角色的登入資料執行程式碼，因此請遵循下列最佳實務。

最佳實務：
+ 限制管理存取：僅將生命週期組態許可授予了解安全性影響的信任管理員。
+ 套用最低權限原則：僅使用合法工作負載所需的最低許可來定義筆記本執行個體執行角色。
+ 啟用監控：定期檢閱 CloudWatch Logs 以取得日誌群組中的生命週期組態執行`/aws/sagemaker/NotebookInstances`，以偵測非預期的活動。
+ 實作變更控制：建立生產環境中生命週期組態變更的核准程序。