如何解决使用 Systems Manager 连接到我的 Amazon SageMaker 端点时出现的问题？

简短描述

SageMaker 使用 Systems Manager 提供一种安全的方法来连接到托管已部署模型以进行推理的 Docker 容器。此功能授予对容器的 shell 级访问权限，并使用 Amazon CloudWatch 允许用户调试在容器中运行的进程。

此外，用户可以与托管其容器的机器学习实例建立 AWS PrivateLink 连接，并允许从 Systems Manager 私有访问容器。这种方法增强了用户以高度的安全性对其部署模型进行监控、故障排除和管理的能力。

注意：启用 SSM 访问权限可能会影响您的端点性能。最佳做法是将此功能用于开发或测试端点，而不是生产端点。有关详细信息，请参阅有关通过 SSM 访问容器的警告消息。

解决方法

根据以下错误对使用 Systems Manager 连接到 SageMaker 时出现的问题进行故障排除：

ValidationException: SSM access is not allowed for your account in the requested region.Please contact customer support to enable this feature

当您的账户未被列入在请求的 AWS 区域使用 SageMaker 端点 Systems Manager 功能的允许列表中时，就会出现此错误。要解决此错误，请联系 AWS Support 并请求将您的账户列入使用此功能的允许列表。如果您的账户未被列入访问的允许列表，则无法在开启 Systems Manager 访问权限的情况下创建端点。

调用 StartSession 操作时出现错误 (TargetNotConnected)： <example-endpoint-id>_<example-instance-id> 未连接

当您尝试连接到 SageMaker 端点并使用该端点的目标 ID 访问模型容器时，则会出现此错误。要对此错误进行故障排除，请完成以下步骤：

• 检查连接到端点的 IAM 用户的 AWS Identity and Access Management (IAM) 权限。此外，还要检查与该端点关联的运行时角色的权限。有关详细信息，请参阅 IAM 配置。
• 检查您要启动会话的托管节点的 AWS 账户或区域。如果托管节点位于不同的账户或区域，则会出现此错误。
• 检查实例 ID 是否不正确或已过期。在端点的整个生命周期中，会定期更换实例。要解决不正确或过期的实例，请找到端点后面的当前实例，并与该实例建立 Systems Manager 连接。

相关信息

GitHub 网站上的使用 SSM 连接到 SageMaker 推理端点