翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 制限事項とトラブルシューティング
<a name="canvas-limits"></a>

以下のセクションでは、Amazon SageMaker Canvas を使用する場合に適用できるトラブルシューティングのヘルプと制限事項について概説します。これらのトピックは、問題が発生した際のトラブルシューティングに役立ちます。

## SageMaker AI コンソールを介したアクセス許可の付与に関する問題のトラブルシューティング
<a name="canvas-troubleshoot-trusted-services"></a>

Canvas の基本アクセス許可または Ready-to-use モデルのアクセス許可をユーザーに付与できない場合は、ユーザーに他の AWS サービスとの複数の信頼関係を持つ AWS IAM 実行ロールがある可能性があります。信頼関係とは、どのプリンシパル (ユーザー、ロール、アカウント、またはサービス) がそのロールを引き受けることができるかを定義する、ロールにアタッチされたポリシーです。例えば、実行ロールが Amazon SageMaker AI と Amazon Forecast の両方と信頼関係にある場合、ユーザーに追加の Canvas アクセス許可を付与する際に問題が発生する可能性があります。

この問題を解決するには、次のいずれかのオプションを選択します。

### 1. 1 つを除いて、すべての信頼されたサービスをロールから削除します。
<a name="canvas-troubleshoot-trusted-services-remove"></a>

このソリューションでは、ユーザープロファイルの IAM ロールの信頼関係を編集し、SageMaker AI を除くすべての AWS サービスを削除する必要があります。

IAM 実行ロールの信頼関係を編集するには、次の手順に従います。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動します。

1. IAM コンソールのナビゲーションペインで **[Roles]** (ロール) を選択します。コンソールには、アカウントにあるロールが表示されます。

1. 変更するロールの名前を選択した後、詳細ページの **[Trust relationships]** (信頼関係) タブを開きます。

1. **[Edit trust policy]** (信頼ポリシーを編集) を選択します。

1. **[信頼ポリシーの編集エディタ]** に以下の内容を貼り付けた後、**[ポリシーを更新]** を選択します。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "sagemaker.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

また、IAM CLI を使用してこのポリシードキュメントを更新することも可能です。詳細については、「*IAM Command Line Reference*」の「[update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html)」を参照してください。

これで、ユーザーに Canvas 基本権限または Ready-To-use モデル権限を付与し直すことができます。

### 2. 1 つ以下の信頼されたサービスを持つ別のロールを使用します。
<a name="canvas-troubleshoot-trusted-services-alternate"></a>

このソリューションでは、ユーザープロファイルに別の IAM ロールを指定する必要があります。代替の IAM ロールがある場合は、このオプションを使用します。

ユーザーに別の実行ロールを指定するには、次の手順に従います。

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. 左のナビゲーションペインで、**[管理設定‭]** を選択します。

1. **[管理設定]** で、**[ドメイン]** を選択します。

1. ドメインのリストから、ユーザープロファイルのリストを表示するドメインを選択します。

1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。

1. 権限を編集するユーザーを選択します。**[ユーザーの詳細]** ページで、**[編集]** を選択します。

1. **[全般設定]** ページで、**[実行ロール]** ドロップダウンリストを選択し、使用するロールを選択します。

1. **[送信]** を選択して、ユーザープロファイルへの変更を保存します。

これで、ユーザーは単一の信頼できるサービス (SageMaker AI) でのみ実行ロールを使用することになります。

これで、ユーザーに Canvas 基本権限または Ready-To-use モデル権限を付与し直すことができました。

### 3. SageMaker AI ドメイン設定でトグルを使用する代わりに、 AWS 管理ポリシーを実行ロールに手動でアタッチします。
<a name="canvas-troubleshoot-trusted-services-manual"></a>

ドメイン設定またはユーザープロファイル設定のトグルを使用する代わりに、ユーザーに正しい権限を付与する AWS マネージドポリシーを手動でアタッチできます。

ユーザーに Canvas の基本権限を付与するには、[AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) ポリシーをアタッチします。ユーザーに Ready-to-use モデルの権限を付与するには、[AmazonSageMakerCanvasAIServicesAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) ポリシーをアタッチします。

 AWS 管理ポリシーをロールにアタッチするには、次の手順に従います。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動します。

1. **[ロール]** を選択します。

1. 検索ボックスで、ユーザーの IAM ロールを名前で検索して選択します。

1. ユーザーのロールのページの **[権限]** で、**[権限の追加]** を選択します。

1. ドロップダウンメニューで、**[ポリシーをアタッチ]** を選択します。

1. ユーザーの実行ロールにアタッチする 1 つまたは複数のポリシーを検索して選択します。

   1. Canvas の基本権限を付与するには、[AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) ポリシーを検索して選択します。

   1. Ready-to-use モデルの権限を付与するには、[AmazonSageMakerCanvasAIServicesAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) ポリシーを検索して選択します。

1. **[アクセス許可の追加]** を選択して、ポリシーをロールにアタッチします。

IAM コンソールを使用して AWS マネージドポリシーをユーザーのロールにアタッチすると、ユーザーに Canvas の基本アクセス許可または Ready-to-use モデルのアクセス許可が付与されます。

## Canvas アプリケーションの作成におけるスペースの問題のトラブルシューティング
<a name="canvas-troubleshoot-spaces"></a>

新しい Canvas アプリケーションを作成する際に「`Unable to create app <app-arn> because space <space-arn> is not in InService state`」というエラーが発生した場合、それは基盤となる Amazon SageMaker Studio スペースの作成に失敗したことを示します。Studio の*スペース*は、Canvas アプリケーションデータをホストする、基盤となるストレージです。Studio のスペースの詳細については、「[Amazon SageMaker Studio のスペース](studio-updated-spaces.md)」を参照してください。Canvas でのスペースの設定の詳細については、「[SageMaker Canvas アプリケーションデータを独自の SageMaker AI スペースに保存する](canvas-spaces-setup.md)」を参照してください。

スペースの作成に失敗した理由の根本原因を特定するには、[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html) API を使用して `FailureReason` フィールドを確認します。有効なスペースのステータスとその意味の詳細については、「[Amazon SageMaker AI ドメインのエンティティとステータス](sm-domain.md)」を参照してください。

この問題を解決するには、SageMaker AI コンソールでドメインを検索し、受信したエラーメッセージに記載されている、障害が発生したスペースを削除します。スペースを検索して削除するための詳細な手順については、「[Studio で実行中のアプリケーションとスペースを停止して削除する](studio-updated-running-stop.md)」のページを参照し、手順に従って **Studio スペース を削除**します。スペースを削除すると、そのスペースに関連付けられたアプリケーションも削除されます。スペースを削除したら、Canvas アプリケーションを再度作成できます。これで、スペースが正常にプロビジョニングされ、Canvas を起動できるようになります。