Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Acceso a contenedores a través de SSM

PDF
RSS
Modo de enfoque
Acceso a contenedores a través de SSM - Amazon SageMaker AI
Lista de permisosHabilitación del acceso de SSMConfiguración de IAMAcceda por SSM con AWS PrivateLinkIniciar sesión con Amazon CloudWatch LogsAcceso a contenedores de modelos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon SageMaker AI le permite conectarse de forma segura a los contenedores Docker en los que se implementan sus modelos para realizar inferencias mediante AWS Systems Manager (SSM). Esto te da acceso al contenedor a nivel de shell para que puedas depurar los procesos que se ejecutan dentro del contenedor y registrar los comandos y las respuestas con Amazon CloudWatch. También puede configurar una AWS PrivateLink conexión con las instancias de aprendizaje automático que alojan sus contenedores para acceder a los contenedores a través de SSM de forma privada.

aviso

El hecho de habilitar el acceso de SSM puede afectar al rendimiento de su punto de conexión. Recomendamos utilizar esta características con los puntos de conexión de desarrollo o prueba y no con los puntos de conexión de producción. Además, la SageMaker IA aplica automáticamente los parches de seguridad y reemplaza o cierra las instancias de punto final defectuosas en 10 minutos. Sin embargo, en el caso de los puntos finales con variantes de producción compatibles con SSM, la SageMaker IA retrasa un día la aplicación de los parches de seguridad y la sustitución o finalización de las instancias de puntos finales defectuosas para poder realizar la depuración.

En las siguientes secciones, se detalla cómo puede utilizar esta característica.

Lista de permisos

Para utilizar esta característica, debe ponerse en contacto con el servicio de atención al cliente e incluir su cuenta en la lista de permitidos. No puede crear un punto de conexión con el acceso de SSM habilitado si su cuenta no está en la lista de permitidos para este acceso.

Habilitación del acceso de SSM

Para habilitar el acceso de SSM para un contenedor existente en un punto de conexión, actualice el punto de conexión con una nueva configuración de punto de conexión, con el parámetro EnableSSMAccess establecido en true. A continuación se incluye un ejemplo de una configuración de punto de conexión. 

{
    "EndpointConfigName": "endpoint-config-name",
    "ProductionVariants": [
        {
            "InitialInstanceCount": 1,
            "InitialVariantWeight": 1.0,
            "InstanceType": "ml.t2.medium",
            "ModelName": model-name,
            "VariantName": variant-name,
            "EnableSSMAccess": true,
        },
    ]
}

Para obtener más información sobre cómo habilitar el acceso al SSM, consulte Habilitar. SSMAccess

Configuración de IAM

Permisos de IAM de puntos de conexión

Si ha habilitado el acceso SSM para una instancia de punto final, la SageMaker IA inicia y administra el agente SSM cuando inicia la instancia de punto final. Para permitir que el agente de SSM se comunique con los servicios de SSM, añada la siguiente política al rol de ejecución en el que se ejecuta el punto de conexión. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"    
        }
    ]
 }

Permisos de IAM de usuario

Añada la siguiente política para conceder a un usuario de IAM permisos de sesión de SSM para conectarse a un destino de SSM. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"    
        }
    ]
}

Puede restringir los puntos de conexión a los que se puede conectar un usuario de IAM con la siguiente política. Reemplace los italicized placeholder text con su propia información. 

{
    "Version": "2012-10-17",            
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
            ],
            "Resource": [
                "sagemaker-endpoint-arn"
            ]    
        }
    ]
}

Si sus puntos de conexión se ejecutan en una nube privada virtual (VPC) que no está conectada a la Internet pública, puede AWS PrivateLink utilizarlos para habilitar SSM. AWS PrivateLink restringe todo el tráfico de red entre sus instancias de punto final, SSM y Amazon EC2 a la red de Amazon. Para obtener más información sobre cómo configurar el acceso de SSM con AWS PrivateLink, consulte Configurar un punto de conexión de VPC para Session Manager.

Iniciar sesión con Amazon CloudWatch Logs

En el caso de los puntos de enlace con acceso SSM, puede registrar los errores del agente SSM en Amazon Logs. CloudWatch Para obtener más información sobre cómo registrar los errores con los CloudWatch registros, consulte Registrar la actividad de la sesión. El registro está disponible en el flujo de registro de SSM, variant-name/ec2-instance-id/ssm, en el grupo de registro de punto de conexión /aws/sagemaker/endpoints/endpoint-name. Para obtener más información sobre cómo ver el registro, consulte Ver los datos de registro enviados a CloudWatch los registros.

Las variantes de producción detrás del punto de conexión pueden tener varios contenedores de modelos. El registro de cada contenedor de modelos se realiza en el flujo de registro. Cada registro va precedido de [sagemaker ssm logs][container-name], donde container-name puede ser el nombre que le haya dado al contenedor o el nombre predeterminado, como container_0 y container_1.

Acceso a contenedores de modelos

Para acceder a un contenedor de modelos en la instancia de punto de conexión, necesita su ID de destino. El ID de destino presenta uno de los siguientes formatos:

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id para contenedores en puntos de conexión de un solo contenedor

  • sagemaker-endpoint:endpoint-name_variant-name_ec2-instance-id_container-name para contenedores en puntos de conexión de un varios contenedores

En el siguiente ejemplo, se muestra cómo se puede utilizar AWS CLI para acceder a un contenedor modelo con su ID de destino. 

aws ssm start-session --target sagemaker-endpoint:prod-image-classifier_variant1_i-003a121c1b21a90a9_container_1

Si habilita el registro, como se menciona enIniciar sesión con Amazon CloudWatch Logs, podrá encontrar el destino IDs de todos los contenedores que aparecen al principio del flujo de registro de SSM.

nota

  • MarketPlace Con SSM, no puede conectarse a contenedores de algoritmos 1P ni a contenedores de modelos obtenidos de la SageMaker IA. Sin embargo, puede conectarse a los contenedores de aprendizaje profundo (DLCs) proporcionados por él AWS o a cualquier contenedor personalizado de su propiedad.

  • Si ha habilitado el aislamiento de red para un contenedor de modelos que le impide realizar llamadas de red salientes, no podrá iniciar una sesión de SSM para ese contenedor.

  • Solo puede acceder a un contenedor de una sesión de SSM. Para acceder a otro contenedor, incluso si está detrás del mismo punto de conexión, inicie una nueva sesión de SSM con el ID de destino de ese punto de conexión.

En esta página

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.