本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon A SageMaker I 实现终端安全和运行状况的最佳实践
<a name="best-practice-endpoint-security"></a>

为了解决最新的安全问题，Amazon A SageMaker I 会自动将终端节点修补到最新、最安全的软件。但是，如果您错误地修改了终端节点依赖关系，Amazon A SageMaker I 将无法自动修补您的终端节点或替换运行状况不佳的实例。为确保您的端点仍然符合自动更新的条件，请应用以下最佳实践。

## 不要在端点使用资源时将其删除
<a name="dont-delete-resources-in-use"></a>

如果您的现有端点使用以下任何资源，请避免将其删除：
+ 您在 Amazon SageMaker API 中使用[CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)操作创建的模型定义。
+ 您为 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-ModelDataUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-ModelDataUrl) 参数指定的任何模型构件。
+ 您为 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-ExecutionRoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-ExecutionRoleArn) 参数指定的 IAM 角色和权限。
**提示**  
在您的端点使用的模型定义中，确保您指定的 IAM 角色具有正确的权限。有关 Amazon A SageMaker I 终端节点所需权限的更多信息，请参阅[CreateModel API：执行角色权限](sagemaker-roles.md#sagemaker-roles-createmodel-perms)。
+ 您为 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-Image) 参数指定的推理映像（如果您使用自己的推理代码）。
**提示**  
如果您使用私有注册表功能，请确保只要您使用终端节点， SageMaker Amazon AI 就可以访问私有注册表。
+ 您为 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-VpcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-VpcConfig) 参数指定的 Amazon VPC 子网和安全组。
+ 您在 Amazon SageMaker API 中使用[CreateEndpointConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)操作创建的终端节点配置。
+ 您在端点配置中指定的任何 KMS 密钥或 Amazon S3 存储桶。
**提示**  
确保不要禁用这些 KMS 密钥。

## 按照以下步骤更新您的端点
<a name="procedures-to-update-endpoint"></a>

更新您的 Amazon SageMaker AI 终端节点时，请使用以下任何符合您需求的程序。

**更新您的模型定义设置**

1. 使用 Amazon SageMaker API 中的 CreateModel 操作，使用更新后的设置创建新的模型定义。

1. 创建使用新模型定义的新端点配置。为此，请使用亚马逊 SageMaker API 中的 CreateEndpointConfig 操作。

1. 使用新的端点配置更新您的端点，以使更新后的模型定义设置生效。

1. （可选）如果您未将旧的端点配置与任何其他端点一起使用，请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用，也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

**更新端点配置**

1. 使用更新后的设置创建新的端点配置。

1. 使用新配置更新您的端点，以使更新生效。

1. （可选）如果您未将旧的端点配置与任何其他端点一起使用，请将其删除。如果您未将您在模型定义中指定的资源与任何其他端点一起使用，也可以将其删除。这些资源包括 Amazon S3 中的模型构件和推理映像。

无论您何时创建新的模型定义或端点配置，我们都建议您使用唯一的名称。如果要更新这些资源并保留其原始名称，请使用以下步骤。

**更新您的模型设置并保留原始模型名称**

1. 删除现有的模型定义。此时，任何使用该模型的端点都已损坏，但您可以通过以下步骤修复此问题。

1. 使用更新的设置再次创建模型定义，并使用相同的模型名称。

1. 创建使用更新后的模型定义的新端点配置。

1. 使用新端点配置更新您的端点，以使更新生效。

**更新您的端点配置并保留原始配置名称**

1. 删除现有的端点配置。

1. 使用更新后的设置创建新的端点配置，并使用原始名称。

1. 使用新配置更新您的端点，以使更新生效。