使用 Amazon 实现终端安全和运行状况的最佳实践 SageMaker - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 实现终端安全和运行状况的最佳实践 SageMaker

为了解决最新的安全问题,Amazon SageMaker 会自动将终端节点修补到最新、最安全的软件。但是,如果您错误地修改了终端节点依赖关系,Amazon 将 SageMaker 无法自动修补您的终端节点或替换运行状况不佳的实例。为确保您的端点仍然符合自动更新的条件,请应用以下最佳实践。

不要在端点使用资源时将其删除

如果您的现有端点使用以下任何资源,请避免将其删除:

  • 您在 Amazon 中使用CreateModel操作创建的模型定义 SageMaker API。

  • 您为 ModelDataUrl 参数指定的任何模型构件。

  • 您为ExecutionRoleArn参数指定的IAM角色和权限。

    提示

    在您的终端节点使用的模型定义中,确保您指定的IAM角色具有正确的权限。有关 Amazon SageMaker 终端节点所需权限的更多信息,请参阅CreateModel API: 执行角色权限

  • 您为 Image 参数指定的推理映像(如果您使用自己的推理代码)。

    提示

    如果您使用私有注册表功能,请确保只要您使用终端节点,Amazon SageMaker 就可以访问私有注册表。

  • 您为VpcConfig参数指定的 Amazon VPC 子网和安全组。

  • 您在 Amazon 中使用CreateEndpointConfig操作创建的终端节点配置 SageMaker API。

  • 您在终端节点配置中指定的任何KMS密钥或 Amazon S3 存储桶。

    提示

    确保您没有禁用这些KMS密钥。

按照以下步骤更新您的端点

更新您的 Amazon SageMaker 终端节点时,请使用以下任何符合您需求的程序。

更新您的模型定义设置
  1. 使用 Amazon 中的 CreateModel 操作,使用更新后的设置创建新的模型定义 SageMaker API。

  2. 创建使用新模型定义的新端点配置。为此,请使用 Amazon 中的 CreateEndpointConfig 操作 SageMaker API。

  3. 使用新的端点配置更新您的端点,以使更新后的模型定义设置生效。

  4. (可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

更新端点配置
  1. 使用更新后的设置创建新的端点配置。

  2. 使用新配置更新您的端点,以使更新生效。

  3. (可选)如果您未将旧的端点配置与任何其他端点一起使用,请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用,也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

无论您何时创建新的模型定义或端点配置,我们都建议您使用唯一的名称。如果要更新这些资源并保留其原始名称,请使用以下步骤。

更新您的模型设置并保留原始模型名称
  1. 删除现有的模型定义。此时,任何使用该模型的端点都已损坏,但您可以通过以下步骤修复此问题。

  2. 使用更新的设置再次创建模型定义,并使用相同的模型名称。

  3. 创建使用更新后的模型定义的新端点配置。

  4. 使用新端点配置更新您的端点,以使更新生效。

更新您的端点配置并保留原始配置名称
  1. 删除现有的端点配置。

  2. 使用更新后的设置创建新的端点配置,并使用原始名称。

  3. 使用新配置更新您的端点,以使更新生效。