使用 Amazon SageMaker 实现端点安全和运行状况的最佳实践 - Amazon SageMaker
不要在端点使用资源时将其删除按照以下步骤更新您的端点
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon SageMaker 实现端点安全和运行状况的最佳实践

为了解决最新的安全问题,Amazon SageMaker 会自动将端点修补到最新、最安全的软件。但是,如果您错误地修改了端点依赖关系,Amazon SageMaker 将无法自动修补您的端点或替换运行状况不佳的实例。为确保您的端点仍然符合自动更新的条件,请应用以下最佳实践。

不要在端点使用资源时将其删除

如果您的现有端点使用以下任何资源,请避免将其删除:

  • 您在 Amazon SageMaker API 中使用 CreateModel 操作创建的模型定义。

  • 您为 ModelDataUrl 参数指定的任何模型构件。

  • 您为 ExecutionRoleArn 参数指定的 IAM 角色和权限。

    提示

    在您的端点使用的模型定义中,确保您指定的 IAM 角色具有正确的权限。有关 Amazon SageMaker 端点所需权限的更多信息,请参阅CreateModel API:执行角色权限

  • 您为 Image 参数指定的推理映像(如果您使用自己的推理代码)。

    提示

    如果您使用私有注册表功能,请确保只要您使用端点,Amazon SageMaker 就可以访问私有注册表。

  • 您为 VpcConfig 参数指定的 Amazon VPC 子网和安全组。

  • 您使用 Amazon SageMaker API 中的 CreateEndpointConfig 操作创建的端点配置。

  • 您在端点配置中指定的任何 KMS 密钥或 Amazon S3 存储桶。

    提示

    确保不要禁用这些 KMS 密钥。

按照以下步骤更新您的端点

更新您的 Amazon SageMaker 端点时,请使用符合您需求的以下任何步骤。

更新您的模型定义设置

  1. 执行 Amazon SageMaker API 中的 CreateModel 操作,使用更新后的设置创建新的模型定义。

  2. 创建使用新模型定义的新端点配置。为此,请使用 Amazon SageMaker API 中的 CreateEndpointConfig 操作。

  3. 使用新的端点配置更新您的端点,以使更新后的模型定义设置生效。

  4. (可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

更新端点配置

  1. 使用更新后的设置创建新的端点配置。

  2. 使用新配置更新您的端点,以使更新生效。

  3. (可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

无论您何时创建新的模型定义或端点配置,我们都建议您使用唯一的名称。如果要更新这些资源并保留其原始名称,请使用以下步骤。

更新您的模型设置并保留原始模型名称

  1. 删除现有的模型定义。此时,任何使用该模型的端点都已损坏,但您可以通过以下步骤修复此问题。

  2. 使用更新的设置再次创建模型定义,并使用相同的模型名称。

  3. 创建使用更新后的模型定义的新端点配置。

  4. 使用新端点配置更新您的端点,以使更新生效。

更新您的端点配置并保留原始配置名称

  1. 删除现有的端点配置。

  2. 使用更新后的设置创建新的端点配置,并使用原始名称。

  3. 使用新配置更新您的端点,以使更新生效。