Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Greifen Sie über SSM auf Container zu

PDF
RSS
Fokusmodus
Greifen Sie über SSM auf Container zu - Amazon SageMaker KI
Liste der zugelassenenAktivieren des SSM-ZugangsIAM-KonfigurationSSM-Zugriff mit AWS PrivateLinkProtokollierung mit Amazon CloudWatch LogsZugreifen auf Modellcontainer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Amazon SageMaker AI können Sie mithilfe von AWS Systems Manager (SSM) eine sichere Verbindung zu den Docker-Containern herstellen, auf denen Ihre Modelle für Inference bereitgestellt werden. Dadurch erhalten Sie Zugriff auf den Container auf Shell-Ebene, sodass Sie die im Container laufenden Prozesse debuggen und Befehle und Antworten bei Amazon CloudWatch protokollieren können. Sie können auch eine AWS PrivateLink Verbindung zu den ML-Instances einrichten, die Ihre Container hosten, um privat über SSM auf die Container zuzugreifen.

Warnung

Die Aktivierung des SSM-Zugriffs kann sich auf die Leistung Ihres Endpunkts auswirken. Wir empfehlen, diese Funktion mit Ihren Entwicklungs- oder Testendpunkten und nicht mit den Endpunkten in der Produktion zu verwenden. Außerdem wendet SageMaker KI automatisch Sicherheitspatches an und ersetzt oder beendet fehlerhafte Endpunktinstanzen innerhalb von 10 Minuten. Bei Endgeräten mit SSM-fähigen Produktionsvarianten verzögert SageMaker KI das Patchen von Sicherheitspatches und das Ersetzen oder Beenden fehlerhafter Endpunktinstanzen jedoch um einen Tag, damit Sie debuggen können.

In den folgenden Abschnitten wird detailliert beschrieben, wie Sie diese Funktion verwenden können.

Liste der zugelassenen

Um diese Funktion nutzen zu können, müssen Sie sich an den Kundensupport wenden und Ihr Konto auf die Zulassungsliste setzen lassen. Sie können keinen Endpunkt mit aktiviertem SSM-Zugriff erstellen, wenn Ihr Konto für diesen Zugriff nicht zugelassen ist.

Aktivieren des SSM-Zugangs

Um den SSM-Zugriff für einen vorhandenen Container auf einem Endpunkt zu aktivieren, aktualisieren Sie den Endpunkt mit einer neuen Endpunktkonfiguration, wobei der EnableSSMAccess Parameter auf true gesetzt ist. Das folgende Beispiel bietet eine Beispiel-Endpunktkonfiguration. 

{
    "EndpointConfigName": "endpoint-config-name",
    "ProductionVariants": [
        {
            "InitialInstanceCount": 1,
            "InitialVariantWeight": 1.0,
            "InstanceType": "ml.t2.medium",
            "ModelName": model-name,
            "VariantName": variant-name,
            "EnableSSMAccess": true,
        },
    ]
}

Weitere Informationen zur Aktivierung des SSM-Zugriffs finden Sie unter Aktivieren. SSMAccess

IAM-Konfiguration

Endpunkt-IAM-Berechtigungen

Wenn Sie den SSM-Zugriff für eine Endpunktinstanz aktiviert haben, startet und verwaltet SageMaker AI den SSM-Agenten, wenn er die Endpunktinstanz initiiert. Damit der SSM-Agent mit den SSM-Diensten kommunizieren kann, fügen Sie der Ausführungsrolle, unter der der Endpunkt läuft, die folgende Richtlinie hinzu. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"    
        }
    ]
 }

IAM-Benutzerberechtigungen

Fügen Sie die folgende Richtlinie hinzu, um einem IAM-Benutzer SSM-Sitzungsberechtigungen zum Herstellen einer Verbindung mit einem SSM-Ziel zu erteilen. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"    
        }
    ]
}

Mit der folgenden Richtlinie können Sie die Endpunkte einschränken, mit denen ein IAM-Benutzer eine Verbindung herstellen kann. Ersetzen Sie italicized placeholder text durch Ihre Informationen. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
            ],
            "Resource": [
                "sagemaker-endpoint-arn"
            ]    
        }
    ]
}

Wenn Ihre Endgeräte in einer Virtual Private Cloud (VPC) ausgeführt werden, die nicht mit dem öffentlichen Internet verbunden ist, können Sie SSM verwenden, um SSM AWS PrivateLink zu aktivieren. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren Endpunkt-Instances, SSM und Amazon EC2 auf das Amazon-Netzwerk ein. Weitere Informationen zur Einrichtung des SSM-Zugriffs mit AWS PrivateLink finden Sie unter VPC-Endpunkt für Session Manager einrichten.

Protokollierung mit Amazon CloudWatch Logs

Für Endgeräte mit SSM-Zugriff können Sie Fehler des SSM-Agenten mit Amazon Logs protokollieren. CloudWatch Weitere Informationen zum CloudWatch Protokollieren von Fehlern mit Logs finden Sie unter Sitzungsaktivität protokollieren. Das Protokoll ist im SSM-Protokollstream, variant-name/ec2-instance-id/ssm, unter der Endpunkt-Protokollgruppe /aws/sagemaker/endpoints/endpoint-name verfügbar. Weitere Informationen zum Anzeigen des Protokolls finden Sie unter An CloudWatch Protokolle gesendete Protokolldaten anzeigen.

Produktionsvarianten hinter Ihrem Endpunkt können mehrere Modellcontainer haben. Das Protokoll für jeden Modellcontainer wird im Protokollstream aufgezeichnet. Jedem Protokoll wird ein [sagemaker ssm logs][container-name] vorangestellt, wobei container-name entweder der Name ist, den Sie dem Container gegeben haben, oder der Standardname, z. B. container_0 und container_1.

Zugreifen auf Modellcontainer

Um auf einen Modellcontainer auf Ihrer Endpunkt-Instance zuzugreifen, benötigen Sie dessen Ziel-ID. Die Ziel-ID weist eines der folgenden Formate auf:

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id für Container auf Einzelcontainer-Endpunkten

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id_container-name für Container auf Endpunkten mit mehreren Containern

Das folgende Beispiel zeigt, wie Sie mithilfe der AWS CLI auf einen Modellcontainer zugreifen können, indem Sie dessen Ziel-ID verwenden. 

aws ssm start-session --target sagemaker-endpoint:prod-image-classifier_variant1_i-003a121c1b21a90a9_container_1

Wenn Sie die Protokollierung aktivieren, wie unter beschriebenProtokollierung mit Amazon CloudWatch Logs, können Sie das Ziel IDs für alle Container finden, die am Anfang des SSM-Protokollstreams aufgeführt sind.

Anmerkung

  • Sie können mit SSM keine Verbindung zu Containern mit 1P-Algorithmus oder Containern MarketPlace mit Modellen herstellen, die von SageMaker KI abgerufen wurden. Sie können jedoch eine Verbindung zu Deep-Learning-Containern (DLCs) herstellen, die von bereitgestellt werden, AWS oder zu einem beliebigen benutzerdefinierten Container, den Sie besitzen.

  • Wenn Sie die Netzwerkisolierung für einen Modellcontainer aktiviert haben, die verhindert, dass er ausgehende Netzwerkaufrufe tätigt, können Sie keine SSM-Sitzung für diesen Container starten.

  • Sie können von einer SSM-Sitzung aus nur auf einen Container zugreifen. Um auf einen anderen Container zuzugreifen, auch wenn er sich hinter demselben Endpunkt befindet, starten Sie eine neue SSM-Sitzung mit der Ziel-ID dieses Endpunkts.

Auf dieser Seite

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.