Acceda a los contenedores a través de SSM - Amazon SageMaker
Lista de permisosHabilite el acceso por SSMConfiguración de IAMAcceso SSM con AWS PrivateLinkIniciar sesión con Amazon CloudWatch LogsAcceder a los contenedores modelo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a los contenedores a través de SSM

Amazon SageMaker le permite conectarse de forma segura a los contenedores Docker en los que se implementan sus modelos para realizar inferencias mediante AWS Systems Manager (SSM). Esto te da acceso al contenedor a nivel de shell para que puedas depurar los procesos que se ejecutan dentro del contenedor y registrar los comandos y las respuestas con Amazon CloudWatch. También puede configurar una AWS PrivateLink conexión con las instancias de aprendizaje automático que alojan sus contenedores para acceder a los contenedores a través de SSM de forma privada.

aviso

Habilitar el acceso por SSM puede afectar al rendimiento de su punto final. Recomendamos utilizar esta función con los puntos finales de desarrollo o prueba y no con los puntos finales de producción. Además, aplica SageMaker automáticamente los parches de seguridad y reemplaza o cierra las instancias de puntos finales defectuosas en un plazo de 10 minutos. Sin embargo, en el caso de los puntos finales con variantes de producción compatibles con SSM, SageMaker retrasa un día la aplicación de los parches de seguridad y la sustitución o finalización de las instancias de puntos finales defectuosas para poder realizar la depuración.

En las siguientes secciones se detalla cómo puede utilizar esta función.

Lista de permisos

Debe ponerse en contacto con el servicio de atención al cliente e incluir su cuenta en la lista de permitidos para utilizar esta función. No puede crear un terminal con el acceso SSM activado si su cuenta no está permitida en la lista de usuarios autorizados para este acceso.

Habilite el acceso por SSM

Para habilitar el acceso SSM a un contenedor existente en un punto final, actualice el punto final con una nueva configuración de punto final, con el EnableSSMAccess parámetro establecido en true El siguiente ejemplo proporciona un ejemplo de configuración de punto final. 

{
    "EndpointConfigName": "endpoint-config-name",
    "ProductionVariants": [
        {
            "InitialInstanceCount": 1,
            "InitialVariantWeight": 1.0,
            "InstanceType": "ml.t2.medium",
            "ModelName": model-name,
            "VariantName": variant-name,
            "EnableSSMAccess": true,
        },
    ]
}

Para obtener más información sobre cómo habilitar el acceso SSM, consulte EnablesSMAccess.

Configuración de IAM

Permisos de IAM para terminales

Si ha habilitado el acceso SSM para una instancia de punto final, SageMaker inicia y administra el agente SSM cuando inicia la instancia de punto final. Para permitir que el agente SSM se comunique con los servicios SSM, añada la siguiente política a la función de ejecución que desempeña el punto final. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"    
        }
    ]
 }

Permisos de IAM de usuario

Añada la siguiente política para conceder a un usuario de IAM permisos de sesión SSM para conectarse a un destino SSM. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"    
        }
    ]
}

Puede restringir los puntos finales a los que se puede conectar un usuario de IAM con la siguiente política. Sustituya el texto del marcador de posición en cursiva por su propia información. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
            ],
            "Resource": [
                "sagemaker-endpoint-arn"
            ]    
        }
    ]
}

Si sus puntos de conexión se ejecutan en una nube privada virtual (VPC) que no está conectada a la Internet pública, puede AWS PrivateLink utilizarlos para habilitar SSM. AWS PrivateLink restringe todo el tráfico de red entre sus instancias de punto final, SSM y Amazon EC2 a la red de Amazon. Para obtener más información sobre cómo configurar el acceso SSM con AWS PrivateLink, consulte Configurar un punto final de VPC para el administrador de sesiones.

Iniciar sesión con Amazon CloudWatch Logs

En el caso de los puntos de enlace con acceso SSM, puede registrar los errores del agente SSM en Amazon Logs. CloudWatch Para obtener más información sobre cómo registrar los errores con los CloudWatch registros, consulte Registrar la actividad de la sesión. El registro está disponible en el flujo de registros de SSMvariant-name/ec2-instance-id/ssm, en el grupo /aws/sagemaker/endpoints/endpoint-name de registros del punto final. Para obtener más información sobre cómo ver el registro, consulte Ver los datos de registro enviados a los CloudWatch registros.

Las variantes de producción incluidas en su terminal pueden tener varios modelos de contenedores. El registro de cada contenedor modelo se registra en el flujo de registros. Cada registro va precedido [sagemaker ssm logs][container-name] de: donde container-name aparece el nombre que le dio al contenedor o el nombre predeterminado, comocontainer_0, ycontainer_1.

Acceder a los contenedores modelo

Para acceder a un contenedor modelo en su instancia de punto final, necesita su ID de destino. El ID de destino tiene uno de los siguientes formatos:

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-idpara contenedores en puntos finales de un solo contenedor

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id_container-namepara contenedores en puntos finales de varios contenedores

En el siguiente ejemplo, se muestra cómo se puede utilizar AWS CLI para acceder a un contenedor modelo con su ID de destino. 

aws ssm start-session --target sagemaker-endpoint:prod-image-classifier_variant1_i-003a121c1b21a90a9_container_1

Si habilita el registro, como se menciona enIniciar sesión con Amazon CloudWatch Logs, podrá encontrar los ID de destino de todos los contenedores que aparecen al principio del flujo de registro de SSM.

nota

  • No puede conectarse a contenedores de algoritmos 1P ni a contenedores de modelos obtenidos SageMaker MarketPlace con SSM. Sin embargo, puede conectarse a los contenedores de aprendizaje profundo (DLC) proporcionados por él AWS o a cualquier contenedor personalizado de su propiedad.

  • Si ha habilitado el aislamiento de red para un contenedor modelo que le impide realizar llamadas de red salientes, no podrá iniciar una sesión de SSM para ese contenedor.

  • Solo puede acceder a un contenedor desde una sesión de SSM. Para acceder a otro contenedor, incluso si está detrás del mismo punto final, inicie una nueva sesión de SSM con el ID de destino de ese punto final.