Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Greifen Sie über SSM auf Container zu
Mit Amazon SageMaker AI können Sie mithilfe von AWS Systems Manager (SSM) eine sichere Verbindung zu den Docker-Containern herstellen, auf denen Ihre Modelle für Inference bereitgestellt werden. Dadurch erhalten Sie Zugriff auf den Container auf Shell-Ebene, sodass Sie die im Container laufenden Prozesse debuggen und Befehle und Antworten bei Amazon CloudWatch protokollieren können. Sie können auch eine AWS PrivateLink Verbindung zu den ML-Instances einrichten, die Ihre Container hosten, um privat über SSM auf die Container zuzugreifen.
**Warnung**
Die Aktivierung des SSM-Zugriffs kann sich auf die Leistung Ihres Endpunkts auswirken. Wir empfehlen, diese Funktion mit Ihren Entwicklungs- oder Testendpunkten und nicht mit den Endpunkten in der Produktion zu verwenden. Außerdem wendet SageMaker KI automatisch Sicherheitspatches an und ersetzt oder beendet fehlerhafte Endpunktinstanzen innerhalb von 10 Minuten. Bei Endgeräten mit SSM-fähigen Produktionsvarianten verzögert SageMaker KI das Patchen von Sicherheitspatches und das Ersetzen oder Beenden fehlerhafter Endpunktinstanzen jedoch um einen Tag, damit Sie debuggen können.
In den folgenden Abschnitten wird detailliert beschrieben, wie Sie diese Funktion verwenden können.
## Liste der zugelassenen
Um diese Funktion nutzen zu können, müssen Sie sich an den Kundensupport wenden und Ihr Konto auf die Zulassungsliste setzen lassen. Sie können keinen Endpunkt mit aktiviertem SSM-Zugriff erstellen, wenn Ihr Konto für diesen Zugriff nicht zugelassen ist.
## Aktivieren des SSM-Zugangs
Um den SSM-Zugriff für einen vorhandenen Container auf einem Endpunkt zu aktivieren, aktualisieren Sie den Endpunkt mit einer neuen Endpunktkonfiguration, wobei der `EnableSSMAccess` Parameter auf `true` gesetzt ist. Das folgende Beispiel bietet eine Beispiel-Endpunktkonfiguration.
```
{
"EndpointConfigName": "endpoint-config-name",
"ProductionVariants": [
{
"InitialInstanceCount": 1,
"InitialVariantWeight": 1.0,
"InstanceType": "ml.t2.medium",
"ModelName": model-name,
"VariantName": variant-name,
"EnableSSMAccess": true,
},
]
}
```
[Weitere Informationen zur Aktivierung des SSM-Zugriffs finden Sie unter Aktivieren. SSMAccess](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ProductionVariant.html#API_EnableSSMAccess)
## IAM-Konfiguration
### Endpunkt-IAM-Berechtigungen
Wenn Sie den SSM-Zugriff für eine Endpunktinstanz aktiviert haben, startet und verwaltet SageMaker AI den [SSM-Agenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html), wenn er die Endpunktinstanz initiiert. Damit der SSM-Agent mit den SSM-Diensten kommunizieren kann, fügen Sie der Ausführungsrolle, unter der der Endpunkt läuft, die folgende Richtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
}
]
}
```
------
### IAM-Benutzerberechtigungen
Fügen Sie die folgende Richtlinie hinzu, um einem IAM-Benutzer SSM-Sitzungsberechtigungen zum Herstellen einer Verbindung mit einem SSM-Ziel zu erteilen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
Mit der folgenden Richtlinie können Sie die Endpunkte einschränken, mit denen ein IAM-Benutzer eine Verbindung herstellen kann. Ersetzen Sie *italicized placeholder text* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": "arn:aws:sagemaker:us-east-2:111122223333:endpoint/endpoint-name"
}
]
}
```
------
## SSM-Zugriff mit AWS PrivateLink
Wenn Ihre Endgeräte in einer Virtual Private Cloud (VPC) ausgeführt werden, die nicht mit dem öffentlichen Internet verbunden ist, können Sie SSM verwenden, um SSM AWS PrivateLink zu aktivieren. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren Endpunkt-Instances, SSM und Amazon EC2 auf das Amazon-Netzwerk ein. Weitere Informationen zur Einrichtung des SSM-Zugriffs mit AWS PrivateLink finden Sie unter [VPC-Endpunkt für Session Manager einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html).
## Protokollierung mit Amazon CloudWatch Logs
Für Endgeräte mit SSM-Zugriff können Sie Fehler des SSM-Agenten mit Amazon Logs protokollieren. CloudWatch Weitere Informationen zum CloudWatch Protokollieren von Fehlern mit Logs finden Sie unter Sitzungsaktivität [protokollieren](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-logging.html). Das Protokoll ist im SSM-Protokollstream, `variant-name/ec2-instance-id/ssm`, unter der Endpunkt-Protokollgruppe `/aws/sagemaker/endpoints/endpoint-name` verfügbar. Weitere Informationen zum Anzeigen des Protokolls finden Sie unter An [ CloudWatch Protokolle gesendete Protokolldaten anzeigen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData).
Produktionsvarianten hinter Ihrem Endpunkt können mehrere Modellcontainer haben. Das Protokoll für jeden Modellcontainer wird im Protokollstream aufgezeichnet. Jedem Protokoll wird ein `[sagemaker ssm logs][container-name]` vorangestellt, wobei `container-name` entweder der Name ist, den Sie dem Container gegeben haben, oder der Standardname, z. B. `container_0` und `container_1`.
## Zugreifen auf Modellcontainer
Um auf einen Modellcontainer auf Ihrer Endpunkt-Instance zuzugreifen, benötigen Sie dessen Ziel-ID. Die Ziel-ID weist eines der folgenden Formate auf:
+ `sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id` für Container auf Einzelcontainer-Endpunkten
+ `sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id_container-name` für Container auf Endpunkten mit mehreren Containern
Das folgende Beispiel zeigt, wie Sie mithilfe der AWS CLI auf einen Modellcontainer zugreifen können, indem Sie dessen Ziel-ID verwenden.
```
aws ssm start-session --target sagemaker-endpoint:prod-image-classifier_variant1_i-003a121c1b21a90a9_container_1
```
Wenn Sie die Protokollierung aktivieren, wie unter beschrieben[Protokollierung mit Amazon CloudWatch Logs](#ssm-access-logging), können Sie das Ziel IDs für alle Container finden, die am Anfang des SSM-Protokollstreams aufgeführt sind.
**Anmerkung**
Sie können mit SSM keine Verbindung zu Containern mit 1P-Algorithmus oder Containern MarketPlace mit Modellen herstellen, die von SageMaker KI abgerufen wurden. Sie können jedoch eine Verbindung zu Deep-Learning-Containern (DLCs) herstellen, die von bereitgestellt werden, AWS oder zu einem beliebigen benutzerdefinierten Container, den Sie besitzen.
Wenn Sie die Netzwerkisolierung für einen Modellcontainer aktiviert haben, die verhindert, dass er ausgehende Netzwerkaufrufe tätigt, können Sie keine SSM-Sitzung für diesen Container starten.
Sie können von einer SSM-Sitzung aus nur auf einen Container zugreifen. Um auf einen anderen Container zuzugreifen, auch wenn er sich hinter demselben Endpunkt befindet, starten Sie eine neue SSM-Sitzung mit der Ziel-ID dieses Endpunkts.