本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用 Amazon C SageMaker anvas
<a name="canvas-getting-started"></a>

本指南告诉你如何开始使用 SageMaker Canvas。如果您是 IT 管理员并想了解更多详细信息，请参阅[Amazon SageMaker Canvas 设置和权限管理（适用于 IT 管理员）](canvas-setting-up.md)为用户设置 SageMaker Canvas。

**Topics**
+ [设置 Amazon C SageMaker anvas 的先决条件](#canvas-prerequisites)
+ [第 1 步：登录 SageMaker 画布](#canvas-getting-started-step1)
+ [第 2 步：使用 SageMaker Canvas 获取预测](#canvas-getting-started-step2)

## 设置 Amazon C SageMaker anvas 的先决条件
<a name="canvas-prerequisites"></a>

要设置 SageMaker Canvas 应用程序，请使用以下设置方法之一进行登录：

1. **使用 AWS 主机加载。**要通过控制 AWS 台进行登录，您需要先创建一个 Amazon SageMaker AI 域。 SageMaker AI 领域支持各种机器学习 (ML) 环境，例如 Canvas 和 [SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio.html)。有关域的更多信息，请参阅 [亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。

   1. （快速）[使用 Amazon A SageMaker I 的快速设置](onboard-quick-start.md)：如果您想快速设置域，请选择此选项。这会为用户授予所有默认 Canvas 权限和基本功能。任何其他功能（例如[文档查询](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html#canvas-fm-chat-query)）都可以由管理员稍后启用。如果您想要配置更精细的权限，我们建议您改用高级选项。

   1. （标准）[使用 Amazon A SageMaker I 的自定义设置](onboard-custom.md)：如果您想完成更高级的域设置，请选择此选项。对用户权限进行精细控制，例如访问数据准备功能、生成式人工智能和模型部署。

1. **与... 一起登机 CloudFormation。** [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)自动配置资源和配置，以便您可以同时为一个或多个用户配置文件设置 Canvas。如果您想大规模自动执行连接流程，并确保每次都以相同方式配置应用程序，请使用此选项。以下[CloudFormation 模板](https://github.com/aws-samples/cloudformation-studio-domain)提供了一种简化的 Canvas 入门方式，可确保正确设置所有必需的组件，并允许您专注于构建和部署机器学习模型。

以下部分介绍如何使用 AWS 控制台创建域来登录 Canvas。

**重要**  
要设置亚马逊 SageMaker Canvas，您的亚马逊 SageMaker Studio 版本必须为 3.19.0 或更高版本。有关更新 Amazon SageMaker Studio 的信息，请参阅[关闭并更新 Amazon SageMaker Studio 经典版](studio-tasks-update-studio.md)。

### 使用 AWS 主机上线
<a name="canvas-prerequisites-domain"></a>

如果您正在进行快速域设置，则可以按照 [使用 Amazon A SageMaker I 的快速设置](onboard-quick-start.md) 中的说明进行操作，跳过本节的其余部分，继续进行 [第 1 步：登录 SageMaker 画布](#canvas-getting-started-step1)。

如果您进行的是标准域设置，则您可以指定要授予用户访问权限的 Canvas 功能。在完成标准域设置时，请使用本节的其余部分来帮助您配置 Canvas 的特定权限。

在 [使用 Amazon A SageMaker I 的自定义设置](onboard-custom.md) 设置说明的**步骤 2：用户和 ML 活动**中，您必须选择要授予的 Canvas 权限。在 **ML 活动**部分，您可以选择以下权限策略来授予对 Canvas 功能的访问权限。在设置域时，您最多只能选择 8 个 **ML 活动**。使用 Canvas 需要以下列表中的前两个权限，其余权限用于其他功能。
+ **运行 Studio 应用程序**：这些权限是启动 Canvas 应用程序所必需的。
+ **[Canvas 核心访问权限](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasFullAccess.html)**：这些权限允许您访问 Canvas 应用程序和 Canvas 的基本功能，例如创建数据集、使用基本数据转换以及构建和分析模型。
+ （可选）**[Canvas 数据准备（由 Data Wrangler 提供支持）](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasDataPrepFullAccess.html)**：这些权限允许您在 Canvas 中创建数据流和使用高级转换来准备数据。创建数据处理作业和数据准备作业计划也需要这些权限。
+ （可选）**[Canvas AI 服务](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasAIServicesAccess.html)** — 这些权限允许您访问 Canvas 中的 Ready-to-use模型、基础模型和 “与数据聊天” 功能。
+ （可选）**Kendra 访问权限**：此权限允许您访问[文档查询](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html#canvas-fm-chat-query)功能，您可以使用 Canvas 中的基础模型查询存储在 Amazon Kendra 索引中的文档。

  如果您选择此选项，则在 **Canvas Kendra Access 部分，输入您要 IDs 授予访问权限**的亚马逊 Kendra 索引的。
+ （可选）**[Canvas MLOps](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasDirectDeployAccess.html)** — 此权限授予您访问 Canvas 中[模型部署](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-deploy-model.html)功能的权限，您可以在其中部署模型以用于生产。

在域设置的**步骤 3：应用程序**部分，选择**配置 Canvas**，然后执行以下操作：

1.  对于 **Canvas 存储配置**，请指定您希望 Canvas 存储应用程序数据（例如模型构件、批次预测、数据集和日志）的位置。 SageMaker AI 在此存储桶内创建一个用于存储数据的`Canvas/`文件夹。有关更多信息，请参阅 [配置 Amazon S3 存储](canvas-storage-configuration.md)。请在本节中执行以下操作：

   1. 如果您要将位置设置为遵循该模式`s3://sagemaker-{Region}-{your-account-id}`的 SageMaker AI 创建的默认存储桶，请选择 “**系统管理**”。

   1. 选择**自定义 S3**，将您自己的 Amazon S3 存储桶指定为存储位置。然后，输入 Amazon S3 URI。

   1. （可选）对于**加密密钥**，指定用于加密存储在指定位置的 Canvas 构件的 KMS 密钥。

1. （可选）对于 **Amazon Q 开发者版**，请执行以下操作：

   1. 开启 “在 ** SageMaker Canvas 中启用 Amazon Q 开发者进行自然语言机器**学习”，允许您的用户在 Canvas 的机器学习工作流程中利用生成式 AI 帮助。此选项仅授权查询 Amazon Q 开发者版，以帮助完成可在 Canvas 应用程序中执行的预定任务。

   1. 开**启启启用 Amazon Q Developer 聊天以 AWS 解答一般问题**，允许您的用户进行与 AWS 服务相关的生成式 AI 查询。

1. （可选）如果用户计划在 Canvas 中处理超过 5 GB 的数据集，请配置**大型数据处理**部分。有关如何配置这些选项的更多详细信息，请参阅[向用户授予在整个 ML 生命周期中使用大数据的权限](canvas-large-data-permissions.md)。

1. （可选）对于 **ML Ops 权限配置**部分，执行以下操作：

   1. **启用 “启用直接部署 Canvas 模型**” 选项以允许您的用户将其模型从 Canvas 部署到 A SageMaker I 端点。有关 Canvas 中模型部署的更多信息，请参阅 [将模型部署到端点](canvas-deploy-model.md)。

   1. 保持 “**为所有用户启用模型注册权限**” 选项处于启用状态，以授予用户向 SageMaker AI 模型注册表注册其模型版本的权限（该注册表默认处于开启状态）。有关更多信息，请参阅 [在 SageMaker AI 模型注册表中注册模型版本](canvas-register-model.md)。

   1. 如果您将**为所有用户启用模型注册权限**选项保持开启状态，则选择**仅注册到模型注册表**或**在模型注册表中注册并批准模型**。

1. （可选）在**本地文件上传配置**部分，打开**启用本地文件上传**选项，授予用户从本地计算机将文件上传到 Canvas 的权限。启用此选项后，会将跨源资源共享 (CORS) 策略附加到在 **Canvas 存储配置**中指定的 Amazon S3 存储桶（并覆盖任何现有的 CORS 策略）。要了解有关本地文件上传权限的更多信息，请参阅 [授予用户上传本地文件的权限](canvas-set-up-local-upload.md)。

1. （可选）在 **OAuth “设置”** 部分，执行以下操作：

   1. 选择**添加 OAuth 配置**。

   1. 在**数据来源**中，选择您的数据来源。

   1. 在**密钥设置**中，选择**创建新密钥**，然后输入身份供应商提供的信息。如果您尚未对数据源进行初始 OAuth 设置，请参阅[使用设置与数据源的连接 OAuth](canvas-setting-up-oauth.md)。

1. （可选）对于 **Canvas Ready-to-use 模型配置**，请执行以下操作：

   1. 让 “**启用画布 Ready-to-use模型**” 选项保持开启状态，让您的用户能够在 Canvas 中使用 Ready-to-use模型生成预测（默认情况下处于开启状态）。此选项还允许您与生成式人工智能支持的模型聊天。有关更多信息，请参阅 [C SageMaker anvas 中的生成式 AI 基础模型](canvas-fm-chat.md)。

   1. 打开**启用使用 Amazon Kendra 查询文档**选项，让用户有权限使用根基模型查询存储在 Amazon Kendra 索引中的文档。然后，从下拉菜单中选择要授予对其访问权限的现有索引。有关更多信息，请参阅 [C SageMaker anvas 中的生成式 AI 基础模型](canvas-fm-chat.md)。

   1. 对于 **Amazon Bedrock 角色**，选择**创建并使用新的执行角色**来创建与 Amazon Bedrock 具有信任关系的新 IAM 执行角色。这个 IAM 角色由 Amazon Bedrock 担任，负责在 Canvas 中微调大型语言模型 (LLMs)。如果您已经有一个具有信任关系的执行角色，请选择**使用现有的执行角色**，然后从下拉列表中选择您的角色。有关为自己的执行角色手动配置权限的更多信息，请参阅 [授予用户在 Canvas 中使用 Amazon Bedrock 和生成式人工智能功能的权限](canvas-fine-tuning-permissions.md)。

1. 按照 [使用 Amazon A SageMaker I 的自定义设置](onboard-custom.md) 步骤完成其余域设置的配置。

**注意**  
如果您在通过控制台授予权限（例如 Ready-to-use模型权限）时遇到任何问题，请参阅主题[解决通过 SageMaker AI 控制台授予权限的问题](canvas-limits.md#canvas-troubleshoot-trusted-services)。

现在，您应该已经设置了 A SageMaker I 域并配置了所有 Canvas 权限。

在初始域设置后，您可以编辑域或特定用户的 Canvas 权限。个人用户设置会覆盖域设置。要了解如何在域设置中编辑 Canvas 权限，请参阅 [编辑域设置](domain-edit.md)。

### 授予自己使用 Canvas 中特定功能的权限
<a name="canvas-prerequisites-permissions"></a>

以下信息概述了您可以向 Canvas 用户授予的权限，以允许他们使用 Canvas 中的各种特性和功能：其中有些权限可以在域设置时授予，但有些需要额外的权限或配置。请参阅要启用的每项功能的具体权限信息：
+ **本地文件上传。**在设置域时，默认情况下在 Canvas 基本权限中打开本地文件上传权限。如果您无法将本地文件从计算机上传到 C SageMaker anvas，则可以将 CORS 策略附加到您在 Canvas 存储配置中指定的 Amazon S3 存储桶。如果您允许 SageMaker AI 使用默认存储桶，则存储桶将遵循命名模式`s3://sagemaker-{Region}-{your-account-id}`。有关更多信息，请参阅[向用户授予上传本地文件的权限](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-set-up-local-upload.html)。
+ **自定义图像和文本预测模型。**在设置域时，默认情况下在 Canvas 基本权限中打开构建自定义映像和文本预测模型的权限。但是，如果您有自定义 IAM 配置并且不想将[AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)策略附加到用户的 IAM 执行角色，则必须明确向您的用户授予必要的权限。有关更多信息，请参阅 [授予用户构建自定义图像和文本预测模型的权限](canvas-set-up-cv-nlp.md)。
+ **Ready-to-use 模型和基础模型。**您可能需要使用 Canvas Ready-to-use 模型来预测您的数据。有了 Ready-to-use模型权限，你还可以与生成式人工智能驱动的模型聊天。在设置域时，默认情况下会打开这些权限，您也可以编辑已创建的域的权限。Canvas Ready-to-use 模型权限选项会将[AmazonSageMakerCanvasAIServices访问](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)策略添加到您的执行角色中。有关更多信息，请参阅 Ready-to-use模型文档的[开始使用](canvas-ready-to-use-models.md#canvas-ready-to-use-get-started)部分。

  有关开始使用生成式人工智能根基模型的更多信息，请参阅 [C SageMaker anvas 中的生成式 AI 基础模型](canvas-fm-chat.md)。
+ **微调基础模型。**如果您想对 Canvas 中的基础模型进行微调，可以在设置域时添加权限，也可以在创建域后编辑域或用户配置文件的权限。您必须将[AmazonSageMakerCanvasAIServices访问](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)策略添加到您在设置用户资料时选择的 AWS IAM 角色，还必须向该角色添加与 Amazon Bedrock 的信任关系。有关如何将这些权限添加到 IAM 角色的说明，请参阅 [授予用户在 Canvas 中使用 Amazon Bedrock 和生成式人工智能功能的权限](canvas-fine-tuning-permissions.md)。
+ **将批量预测发送到 Quick。**您可能需要将[*批量预测*或从自定义模型生成的预测数据集发送](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-send-predictions.html)到 Quick 进行分析。在中 [QuickSight](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html)，您可以构建和发布包含预测结果的预测仪表板。有关如何将这些权限添加到 Canvas 用户的 IAM 角色的说明，请参阅[向您的用户授予向 Quick 发送预测的权限](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-quicksight-permissions.html)。
+ **将 Canvas 模型部署到 A SageMaker I 端点。** SageMaker AI Hosting 提供了*终端节点，您可以使用这些端点*来部署模型以用于生产。您可以将在 Canvas 中构建的模型部署到 A SageMaker I 端点，然后在生产环境中以编程方式进行预测。有关更多信息，请参阅 [将模型部署到端点](canvas-deploy-model.md)。
+ **将模型版本注册到模型注册表。**您可能需要将模型的*版本*注册到 [SageMaker AI 模型注册表](https://docs.aws.amazon.com/sagemaker/latest/dg/model-registry.html)，该注册表是一个用于跟踪模型更新版本状态的存储库。在 SageMaker Model Registry 工作的数据科学家或 MLOps 团队可以查看您构建的模型版本，并批准或拒绝这些版本。然后，他们可以将您的模型版本部署到生产环境或启动自动化工作流。默认情况下，您的域的模型注册权限处于开启状态。您可以在用户配置文件级别管理权限，并授予或删除特定用户的权限。有关更多信息，请参阅 [在 SageMaker AI 模型注册表中注册模型版本](canvas-register-model.md)。
+ **从 Amazon Redshift 导入数据。**如果您想从 Amazon Redshift 导入数据，则必须授予自己额外的权限。您必须将`AmazonRedshiftFullAccess`托管策略添加到您在设置用户配置文件时选择的 AWS IAM 角色中。有关如何向角色添加策略的说明，请参阅[向用户授予导入 Amazon Redshift 数据的权限](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-redshift-permissions.html)。

**注意**  
和政策中包含[AmazonSageMakerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerFullAccess.html)通过其他数据源（例如 Amazon Athena 和 SaaS 平台）进行导入所需的权限。[AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)如果您按照标准设置说明进行操作，则这些策略应该已经附加到执行角色。有关这些数据来源及其权限的更多信息，请参阅 [连接到数据来源](canvas-connecting-external.md)。

## 第 1 步：登录 SageMaker 画布
<a name="canvas-getting-started-step1"></a>

初始设置完成后，您可以使用以下任何一种方法访问 SageMaker Canvas，具体取决于您的用例：
+ 在 [SageMaker AI 控制台](https://console.aws.amazon.com/sagemaker/)中，选择左侧导航窗格中的**画布**。然后，在 **Canvas** 页面上，从下拉列表中选择用户并启动 Canvas 应用程序。
+ 打开 [SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio.html)，然后在 Studio 界面中，转到画布页面并启动 Canvas 应用程序。
+ 使用贵组织基于 SAML 2.0 的 SSO 方法，例如 Okta 或 IAM Identity Center。

当你首次登录 SageMaker Canvas 时， SageMaker AI 会为你创建应用程序和 SageMaker 人工智能*空间*。Canvas 应用程序的数据存储在空间中。要了解有关空间的更多信息，请参阅 [使用共享空间进行协作](domain-space.md)。此空间由用户配置文件的应用程序和所有应用程序数据的共享目录组成。如果您不想使用 SageMaker AI 创建的默认空间，而是希望创建自己的空间来存储应用程序数据，请参阅页面[将 SageMaker Canvas 应用程序数据存储在你自己的 SageMaker AI 空间中](canvas-spaces-setup.md)。

## 第 2 步：使用 SageMaker Canvas 获取预测
<a name="canvas-getting-started-step2"></a>

登录 Canvas 后，您就可以开始构建模型并生成数据预测。

您可以使用 Canvas Ready-to-use 模型在不构建模型的情况下进行预测，也可以针对您的特定业务问题构建自定义模型。查看以下信息，以确定 Ready-to-use模型还是自定义模型最适合您的用例。
+ **Ready-to-use 模型。**借助 Ready-to-use模型，您可以使用预先构建的模型从数据中提取见解。这些 Ready-to-use模型涵盖了各种用例，例如语言检测和文档分析。要开始使用 Ready-to-use模型进行预测，请参阅[Ready-to-use 模型](canvas-ready-to-use-models.md)。
+ **自定义模型。**使用自定义模型，您可以构建各种模型类型，这些模型类型经过自定义，可以对数据进行预测。如果您想构建基于业务特定数据训练的模型，并且想要使用诸如[评估模型性能](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-evaluate-model.html)之类的功能，请使用自定义模型。要开始构建自定义模型，请参阅 [自定义模型](canvas-custom-models.md)。