本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 限制與故障診斷
以下章節概述了使用 Amazon SageMaker Canvas 時適用的故障診斷說明和限制。您可以使用這些主題來協助您進行任何問題的故障診斷。
## 針對透過 SageMaker AI 主控台授予許可的問題進行故障診斷
如果您在將 Canvas 基本許可或Ready-to-use型模型許可授予使用者時遇到問題,您的使用者可能會有與 AWS 其他服務具有多個信任關係的 AWS IAM 執行角色。信任關係是連接至您角色的政策,可定義哪些主體者 (使用者、角色、帳戶或服務) 可以擔任該角色。例如,如果使用者的執行角色與 Amazon SageMaker AI 和 Amazon Forecast 具有信任關係,您可能會遇到將其他 Canvas 許可授予使用者的問題。
若要修正此問題,請選擇下列其中一個選項。
### 1. 從角色中移除所有信任服務,僅留下一個。
此解決方案需要您編輯使用者設定檔 IAM 角色的信任關係,並移除 SageMaker AI 以外的所有 AWS 服務。
若要編輯 IAM 執行角色的信任關係,請執行下列動作:
1. 移至 IAM 主控台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**。主控台會顯示您帳戶的角色。
1. 選擇您要修改之角色的名稱,然後在詳細資訊頁面上,選取**信任關係**標籤。
1. 選擇**編輯信任政策**。
1. 在**編輯信任政策編輯器**,貼上以下內容,然後選擇**更新政策**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
您也可以使用 IAM CLI 更新此政策文件。如需詳細資訊,請參閱 *IAM 命令行參考*中的 [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html)。
您現在可以重試將 Canvas 基礎許可或即用型模型許可授予您的使用者。
### 2. 在一個或更少的可信服務上使用不同的角色。
此解決方案要求您為使用者設定檔指定不同的 IAM 角色。如果您已經有可以替代的 IAM 角色,則可使用此選項。
若要為使用者指定其他執行角色,請執行以下動作:
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要檢視其使用者設定檔清單的網域。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 選擇您想要編輯其許可的使用者。在**使用者詳細資訊**頁面,選擇**編輯**。
1. 在**一般設定**頁面上,選擇**執行角色**下拉式清單,然後選取要使用的角色。
1. 選擇**提交**,將變更儲存至使用者設定檔。
您的使用者現在應該只使用一個受信任服務 (SageMaker AI) 的執行角色。
您可以重試將 Canvas 基礎許可或即用型模型許可授予您的使用者。
### 3. 手動將 AWS 受管政策連接至執行角色,而不是使用 SageMaker AI 網域設定中的切換。
您可以手動連接 AWS 受管政策,授予使用者正確許可,而非使用網域或使用者設定檔設定中的切換。
要授予使用者 Canvas 基本許可,請連接 [AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)。要授予使用者即用型許可,請連接 [AmazonSageMakerCanvasAIServicesAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) 政策。
使用下列程序將 AWS 受管政策連接至您的角色:
1. 移至 IAM 主控台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 選擇**角色**。
1. 在搜尋方塊中,依據名稱搜尋使用者的 IAM 角色並加以選取。
1. 在使用者角色頁面的**許可**下,選擇**新增許可**。
1. 在下拉式清單中,選擇**連接政策**。
1. 搜尋並選取要連接至使用者執行角色的一個或多個政策:
1. 要授予 Canvas 基本許可,請搜尋並選擇 [AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) 政策。
1. 要授予即用型基本許可,請搜尋並選擇 [AmazonSageMakerCanvasAIServicesAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) 政策。
1. 選擇**新增許可**以將政策連接到角色。
透過 IAM 主控台將 AWS 受管政策連接至使用者的角色之後,您的使用者現在應該擁有 Canvas 基本許可或Ready-to-use型模型許可。
## 針對由於空間而無法建立 Canvas 應用程式的問題進行故障診斷
建立新的 Canvas 應用程式時,如果您遇到錯誤,指出 `Unable to create app because space is not in InService state`,這表示基礎 Amazon SageMaker Studio 空間建立失敗。Studio *空間*是託管 Canvas 應用程式資料的基礎儲存體。如需更多有關 Studio 空間的一般資訊,請參閱 [Amazon SageMaker Studio 空間](studio-updated-spaces.md)。如需在 Canvas 中設定空間的詳細資訊,請參閱[將 SageMaker Canvas 應用程式資料存放在您自己的 SageMaker AI 空間](canvas-spaces-setup.md)。
若要判斷空間建立失敗的根本原因,您可以使用 [DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html) API 檢查 `FailureReason` 欄位。如需空間可能狀態及其含義的詳細資訊,請參閱 [Amazon SageMaker AI 網域實體和狀態](sm-domain.md)。
若要解決此問題,請在 SageMaker AI 主控台中找出您的網域,並刪除您收到的錯誤訊息中列出的失敗空間。如需如何尋找和刪除空間的詳細步驟,請參閱頁面[停止並刪除您的執行中 Studio 應用程式和空間](studio-updated-running-stop.md)並遵循**刪除 Studio 空間**的指示。刪除空間也會刪除與空間相關聯的任何應用程式。刪除空間後,您可以嘗試再次建立 Canvas 應用程式。空間現在應該已成功佈建,允許 Canvas 啟動。