![【Security Hub修復手順】[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを持つべきではない](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを持つべきではない
こんにちは!フニです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを持つべきではない
[SageMaker.3] Users should not have root access to SageMaker notebook instances
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、Amazon SageMaker AI ノートブックインスタンスでルートアクセスが有効になっているかどうかをチェックします。ノートブックインスタンスでルートアクセスが有効になっている場合、コントロールは失敗します。
SageMaker ノートブックインスタンスはデフォルトでルートアクセスが有効になっています。
ルートアクセスが有効な場合、ユーザーはノートブックインスタンス上の全てのファイルにアクセス・編集できる管理者権限を持つことになります。
最小権限の原則に基づき、意図しない過剰な権限付与を避けるため、ルートアクセスを無効にすることが推奨されています。
ただし、データサイエンティストがさまざまなソフトウェアツールやパッケージをインストールする必要がある場合は、ルートアクセスが必要になることもあります。
そのような場合は、抑制の対応でも問題ございません。
なお、ライフサイクル設定はルートアクセスを無効にしていても常にルートアクセスで実行されます。
また、ルートアクセスを無効にしたノートブックインスタンスでは、セキュリティ上の理由から通常の Docker ではなく Rootless Docker がインストールされます。Docker を利用している場合は、動作に影響がないか事前にご確認ください。
詳細は以下の公式ドキュメントをご参照ください。
修復手順
1 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。
- SageMaker ノートブックインスタンスのルートアクセスを無効化して良いか
- ルートアクセスを無効化すると、ユーザーがソフトウェアやパッケージをインストールできなくなる場合があります。
- 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。
2 ルートアクセスを無効化する
- SageMaker コンソールから「ノートブックインスタンス」を開き、対象のノートブックインスタンスのステータスが「InService」であることを確認します。
- 対象のノートブックインスタンスを選択し、「停止」を押下します。ステータスが「Stopped」になるまで待機します。
- ステータスが「Stopped」になったら、対象のノートブックインスタンス名を押下して詳細画面を開きます。
- 「ルートアクセス」を無効化に変更して「ノートブックインスタンスの設定を更新」を押下します。
- ステータスが「Updating」から「Stopped」に戻ったら、「開始」を押下してノートブックインスタンスを再起動します。
- ステータスが「InService」になれば完了です。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、フニでした!
