翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
制限事項とトラブルシューティング
以下のセクションでは、Amazon SageMaker Canvas を使用する場合に適用できるトラブルシューティングのヘルプと制限事項について概説します。これらのトピックは、問題が発生した際のトラブルシューティングに役立ちます。
SageMaker AI コンソールを使用したアクセス許可の付与に関する問題のトラブルシューティング
Canvas の基本アクセス許可または Ready-to-use モデルのアクセス許可をユーザーに付与できない場合は、ユーザーに他の AWS サービスと複数の信頼関係を持つ AWS IAM 実行ロールがある可能性があります。信頼関係とは、どのプリンシパル (ユーザー、ロール、アカウント、またはサービス) がそのロールを引き受けることができるかを定義する、ロールにアタッチされたポリシーです。例えば、実行ロールに Amazon SageMaker AI と Amazon Forecast の両方との信頼関係がある場合、ユーザーに追加の Canvas アクセス許可を付与する問題が発生することがあります。
この問題を解決するには、次のいずれかのオプションを選択します。
1. 1 つを除いて、すべての信頼されたサービスをロールから削除します。
このソリューションでは、ユーザープロファイルの IAM ロールの信頼関係を編集し、SageMaker AI を除くすべての AWS サービスを削除する必要があります。
IAM 実行ロールの信頼関係を編集するには、次の手順に従います。
IAM コンソール (https://console.aws.amazon.com/iam/
) に移動します。 IAM コンソールのナビゲーションペインで [Roles] (ロール) を選択します。コンソールには、アカウントにあるロールが表示されます。
変更するロールの名前を選択した後、詳細ページの [Trust relationships] (信頼関係) タブを開きます。
[信頼ポリシーを編集] を選択します。
-
[信頼ポリシーの編集エディタ] に以下の内容を貼り付けた後、[ポリシーを更新] を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
また、IAM CLI を使用してこのポリシードキュメントを更新することも可能です。詳細については、「IAM Command Line Reference」の「update-trust」を参照してください。
これで、ユーザーに Canvas 基本権限または Ready-To-use モデル権限を付与し直すことができます。
2. 1 つ以下の信頼されたサービスを持つ別のロールを使用します。
このソリューションでは、ユーザープロファイルに別の IAM ロールを指定する必要があります。代替の IAM ロールがある場合は、このオプションを使用します。
ユーザーに別の実行ロールを指定するには、次の手順に従います。
https://console.aws.amazon.com/sagemaker/
で Amazon SageMaker AI コンソールを開きます。 -
左のナビゲーションペインで、[管理設定] を選択します。
-
[管理設定] で、[ドメイン] を選択します。
ドメインのリストから、ユーザープロファイルのリストを表示するドメインを選択します。
[ドメインの詳細] ページで、[ユーザープロファイル] タブを選択します。
権限を編集するユーザーを選択します。[ユーザーの詳細] ページで、[編集] を選択します。
[全般設定] ページで、[実行ロール] ドロップダウンリストを選択し、使用するロールを選択します。
[送信] を選択して、ユーザープロファイルへの変更を保存します。
これで、ユーザーは信頼できるサービス (SageMaker AI) を 1 つだけ持つ実行ロールを使用しているはずです。
これで、ユーザーに Canvas 基本権限または Ready-To-use モデル権限を付与し直すことができました。
3. SageMaker AI ドメイン設定のトグルを使用する代わりに、 AWS 管理ポリシーを実行ロールに手動でアタッチします。
ドメイン設定またはユーザープロファイル設定のトグルを使用する代わりに、ユーザーに正しい権限を付与する AWS マネージドポリシーを手動でアタッチできます。
ユーザーに Canvas の基本権限を付与するには、AmazonSageMakerCanvasFullAccess ポリシーをアタッチします。ユーザーに Ready-to-use モデルの権限を付与するには、AmazonSageMakerCanvasAIServicesAccess ポリシーをアタッチします。
AWS 管理ポリシーをロールにアタッチするには、次の手順に従います。
IAM コンソール (https://console.aws.amazon.com/iam/
) に移動します。 [ロール] を選択します。
検索ボックスで、ユーザーの IAM ロールを名前で検索して選択します。
ユーザーのロールのページの [権限] で、[権限の追加] を選択します。
ドロップダウンメニューで、[ポリシーをアタッチ] を選択します。
-
ユーザーの実行ロールにアタッチする 1 つまたは複数のポリシーを検索して選択します。
Canvas の基本権限を付与するには、AmazonSageMakerCanvasFullAccess ポリシーを検索して選択します。
Ready-to-use モデルの権限を付与するには、AmazonSageMakerCanvasAIServicesAccess ポリシーを検索して選択します。
[アクセス許可の追加] を選択して、ポリシーをロールにアタッチします。
IAM コンソールを使用して AWS マネージドポリシーをユーザーのロールにアタッチすると、ユーザーに Canvas の基本アクセス許可または Ready-to-use モデルのアクセス許可が付与されます。
Canvas アプリケーションの作成におけるスペースの問題のトラブルシューティング
新しい Canvas アプリケーションを作成する際に「Unable
to create app <app-arn> because space <space-arn> is not in InService state」というエラーが発生した場合、それは基盤となる Amazon SageMaker Studio スペースの作成に失敗したことを示します。Studio のスペースは、Canvas アプリケーションデータをホストする、基盤となるストレージです。Studio のスペースの詳細については、「Amazon SageMaker Studio のスペース」を参照してください。Canvas でのスペースの設定の詳細については、「SageMaker Canvas アプリケーションデータを独自の SageMaker AI スペースに保存」を参照してください。
スペースの作成に失敗した理由の根本原因を特定するには、DescribeSpace API を使用して FailureReason フィールドを確認します。有効なスペースのステータスとその意味の詳細については、「Amazon SageMaker AI ドメインのエンティティとステータス」を参照してください。
この問題を解決するには、SageMaker AI コンソールでドメインを検索し、受信したエラーメッセージに記載されている失敗したスペースを削除します。スペースを検索して削除するための詳細な手順については、「Studio で実行中のアプリケーションとスペースを停止して削除する」のページを参照し、手順に従って Studio スペース を削除します。スペースを削除すると、そのスペースに関連付けられたアプリケーションも削除されます。スペースを削除したら、Canvas アプリケーションを再度作成できます。これで、スペースが正常にプロビジョニングされ、Canvas を起動できるようになります。
