本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon 实现终端安全和运行状况的最佳实践 SageMaker
为了解决最新的安全问题,Amazon SageMaker 会自动将终端节点修补到最新、最安全的软件。但是,如果您错误地修改了终端节点依赖关系,Amazon 将 SageMaker 无法自动修补您的终端节点或替换运行状况不佳的实例。为确保您的端点仍然符合自动更新的条件,请应用以下最佳实践。
不要在端点使用资源时将其删除
如果您的现有端点使用以下任何资源,请避免将其删除:
-
您在 Amazon 中使用CreateModel操作创建的模型定义 SageMaker API。
-
您为
ModelDataUrl参数指定的任何模型构件。 -
您为
ExecutionRoleArn参数指定的IAM角色和权限。提示
在您的终端节点使用的模型定义中,确保您指定的IAM角色具有正确的权限。有关 Amazon SageMaker 终端节点所需权限的更多信息,请参阅CreateModel API: 执行角色权限。
-
您为
Image参数指定的推理映像(如果您使用自己的推理代码)。提示
如果您使用私有注册表功能,请确保只要您使用终端节点,Amazon SageMaker 就可以访问私有注册表。
-
您为
VpcConfig参数指定的 Amazon VPC 子网和安全组。 -
您在 Amazon 中使用CreateEndpointConfig操作创建的终端节点配置 SageMaker API。
-
您在终端节点配置中指定的任何KMS密钥或 Amazon S3 存储桶。
提示
确保您没有禁用这些KMS密钥。
按照以下步骤更新您的端点
更新您的 Amazon SageMaker 终端节点时,请使用以下任何符合您需求的程序。
更新您的模型定义设置
-
使用 Amazon 中的 CreateModel 操作,使用更新后的设置创建新的模型定义 SageMaker API。
-
创建使用新模型定义的新端点配置。为此,请使用 Amazon 中的 CreateEndpointConfig 操作 SageMaker API。
-
使用新的端点配置更新您的端点,以使更新后的模型定义设置生效。
-
(可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。
更新端点配置
-
使用更新后的设置创建新的端点配置。
-
使用新配置更新您的端点,以使更新生效。
-
(可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。
无论您何时创建新的模型定义或端点配置,我们都建议您使用唯一的名称。如果要更新这些资源并保留其原始名称,请使用以下步骤。
更新您的模型设置并保留原始模型名称
-
删除现有的模型定义。此时,任何使用该模型的端点都已损坏,但您可以通过以下步骤修复此问题。
-
使用更新的设置再次创建模型定义,并使用相同的模型名称。
-
创建使用更新后的模型定义的新端点配置。
-
使用新端点配置更新您的端点,以使更新生效。
更新您的端点配置并保留原始配置名称
-
删除现有的端点配置。
-
使用更新后的设置创建新的端点配置,并使用原始名称。
-
使用新配置更新您的端点,以使更新生效。
