本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon SageMaker AI 實現端點安全和健康狀態的最佳實務
<a name="best-practice-endpoint-security"></a>

為了解決最新的安全問題，Amazon SageMaker AI 會自動將端點修補至最新且最安全的軟體。但是，如果您錯誤地修改了端點相依性，Amazon SageMaker AI 無法自動修補端點或取代運作狀態不良的執行個體。若要確保您的端點符合自動更新的資格，請套用下列最佳做法。

## 請勿在端點使用資源時刪除資源
<a name="dont-delete-resources-in-use"></a>

如果您有使用下列任何資源的端點，請避免刪除這些資源：
+ 您在 Amazon SageMaker API 中使用 [CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) 動作建立的模型定義。
+ 您為 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-ModelDataUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-ModelDataUrl)參數指定的任何模型成品。
+ 您為 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-ExecutionRoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-ExecutionRoleArn) 參數指定的 IAM 角色和許可。
**提醒**  
在端點使用的模型定義中，確保您指定的 IAM 角色具有正確的許可。如需有關 Amazon SageMaker AI 端點必要許可權的詳細資訊，請參閱[CreateModel API：執行角色許可](sagemaker-roles.md#sagemaker-roles-createmodel-perms)。
+ 您為[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ContainerDefinition.html#sagemaker-Type-ContainerDefinition-Image)參數指定的推論影像 (如果您使用自己的推論程式碼)。
**提醒**  
如果您使用私有登錄功能，請確保只要您使用該端點，Amazon SageMaker AI 就可以存取私有登錄。
+ 您為.[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-VpcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html#sagemaker-CreateModel-request-VpcConfig) 參數指定的 Amazon VPC 子網路和安全群組。
+ 您可以使用 [CreateEndpointConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) API 建立端點組態。
+ 您在端點組態中指定的任何 KMS 金鑰或 Amazon S3 儲存貯體。
**提醒**  
請確定您未停用這些 KMS 金鑰。

## 請遵循下列程序來更新您的端點
<a name="procedures-to-update-endpoint"></a>

當您更新 Amazon SageMaker AI 端點時，請使用符合您需求的下列任何程序。

**更新模型定義設定**

1. 使用 Amazon SageMaker API 中的 CreateModel 動作，以您更新的設定建立新的定義。

1. 建立使用新模型定義的新端點組態。若要這麼做，請使用 Amazon SageMaker API 中的 CreateEndpointConfig 動作。

1. 使用新的端點組態更新端點，以便更新的模型定義設定生效。

1. (選用) 如果您未將舊端點組態與任何其他端點搭配使用，請刪除該設定。如果您未將資源與任何其他端點搭配使用，也可以刪除在模型定義中指定的資源。這些資源包含 Amazon S3 中的模型成品和推論影像。

**若要更新您的端點組態**

1. 使用更新的設定建立新的端點組態。

1. 使用新設定更新端點，以便更新生效。

1. (選用) 如果您未將舊端點組態與任何其他端點搭配使用，請刪除該設定。如果您未將資源與任何其他端點搭配使用，也可以刪除在模型定義中指定的資源。這些資源包含 Amazon S3 中的模型成品和推論影像。

每當您建立新模型定義或端點組態時，建議您使用唯一的名稱。如果您要更新這些資源並保留其原始名稱，請使用下列程序。

**更新模型設定並保留原始模型名稱**

1. 刪除現有的模型定義。此時，使用模型的任何端點都會中斷，但您可以在下列步驟中修正此問題。

1. 使用更新的設定再次建立模型定義，並使用相同的模型名稱。

1. 建立使用更新模型定義的新端點組態。

1. 使用新的端點組態更新您的端點，以便更新生效。

**更新端點組態並保留原始組態名稱**

1. 刪除現有的端點組態。

1. 使用更新的設定建立新的端點組態，並使用原始名稱。

1. 使用新設定更新端點，以便更新生效。