安全加固

ICS-SDK制作的镜像容器和minio安全通信增强

• ICS-SDK开发的训练相关容器由用户自己制作，建议使用安全的普通用户运行。
• minio存储的权限管理由用户自己负责。
• ICS-SDK支持http/https访问minio，通过用户生成的K8s secret：“minio-secret（namspace=kubeflow）”进行控制。secret data包含的内容key为：“endpoint”、“accesskey”、“secretkey”、“secure”、“ca.crt”（可选）。
  

  • 为防止容器访问伪冒minio服务，使用ICS-SDK开发应用程序时，建议开发者将s3_secure（对应secret中的“secure”）参数设置为“true”，并提供验签证书。
  • 为防止minio校验凭据泄露，开发者可以通过自身的密钥加解密服务对secret内容进行加密，在容器使用时进行解密，使用完成后进行销毁。