限制和问题排查 - 亚马逊 SageMaker AI
解决通过 SageMaker AI 控制台授予权限的问题解决因空间故障而无法创建 Canvas 应用程序的问题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制和问题排查

以下部分概述了使用 Amazon C SageMaker anvas 时适用的疑难解答帮助和限制。您可以使用本主题来协助排除遇到的任何问题。

解决通过 SageMaker AI 控制台授予权限的问题

如果您在向用户授予 Canvas 基本权限或 Ready-to-use模型权限时遇到问题,则您的用户可能具有与其他 AWS 服务的多个信任关系的 AWS IAM 执行角色。信任关系是附加到您的角色的策略,用于定义哪些主体(用户、角色、账户或服务)可以代入该角色。例如,如果用户的执行角色与 Amazon AI 和 Amazon Forecast 都存在信任关系,则向其授予其他 Canv SageMaker as 权限时可能会遇到问题。

您可以选择以下选项之一来解决这个问题。

1. 从角色中删除一项可信服务以外的所有服务。

此解决方案要求您编辑用户配置文件的 IAM 角色的信任关系,并移除除 A SageMaker I 之外的所有 AWS 服务。

要编辑 IAM 执行角色的信任关系,请执行以下操作:

  1. 前往 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色。该控制台会显示您账户的角色。

  3. 选择您要修改的角色的名称,然后在详细信息页面中选择信任关系选项卡。

  4. 选择编辑信任策略

  5. 编辑信任策略编辑器中,粘贴以下内容,然后选择更新策略

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

您还可以使用 IAM CLI 更新此策略文档。有关更多信息,请参阅《IAM 命令行参考》中的 update-trust

现在,你可以重试向你的用户授予 Canvas 基本权限或 Ready-to-use模型权限。

2. 使用有一个或更少可信服务的不同角色。

此解决方案要求您为用户配置文件指定不同的 IAM 角色。如果您已经有可以替代的 IAM 角色,请使用此选项。

要为用户指定不同的执行角色,请执行以下操作:

  1. 打开 Amazon A SageMaker I 控制台,网址为https://console.aws.amazon.com/sagemaker/

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择

  4. 从域列表中,选择要查看用户配置文件列表的域。

  5. 域详细信息页面上,选择用户配置文件选项卡。

  6. 选择要编辑其权限的用户。在用户详细信息页面上,选择编辑

  7. 常规设置页面上,选择执行角色下拉列表并选择要使用的角色。

  8. 选择提交以保存对用户配置文件所做的更改。

现在,您的用户应该使用仅包含一项可信服务 (SageMaker AI) 的执行角色。

你可以重试向你的用户授予 Canvas 基本权限或 Ready-to-use模型权限。

3. 手动将 AWS 托管策略附加到执行角色,而不是使用 SageMaker AI 域设置中的切换按钮。

您可以手动附加授予用户正确权限的 AWS 托管式策略,而不是使用域或用户配置文件设置中的切换开关。

要向用户 Canvas 授予基本权限,请附加该AmazonSageMakerCanvasFullAccess策略。要向用户 Ready-to-use模型授予权限,请附加AmazonSageMakerCanvasAIServices访问策略。

使用以下步骤将 AWS 托管策略附加到您的角色:

  1. 前往 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 选择角色

  3. 在搜索框中,按名称搜索用户的 IAM 角色并将其选中。

  4. 在用户角色页面的权限下,选择添加权限

  5. 从下拉菜单中选择附加策略

  6. 搜索并选择要附加到用户执行角色的一个或多个策略:

    1. 要授予 Canvas 基本权限,请搜索并选择AmazonSageMakerCanvasFullAccess策略。

    2. 要授予 Ready-to-use模特权限,请搜索并选择AmazonSageMakerCanvasAIServices访问策略。

  7. 选择添加权限,将策略附加到角色。

通过 IAM 控制台将 AWS 托管策略附加到用户的角色后,您的用户现在应该拥有 Canvas 基本权限或 Ready-to-use模型权限。

解决因空间故障而无法创建 Canvas 应用程序的问题

在创建新的 Canvas 应用程序时,如果您遇到错误说明Unable to create app <app-arn> because space <space-arn> is not in InService state,则表示底层 Amazon SageMaker Studio 空间创建失败。Studio 空间是托管 Canvas 应用程序数据的底层存储空间。有关 Studio 空间的更多一般信息,请参阅 亚马逊 SageMaker Studio 空间。有关在 Canvas 中配置空间的更多信息,请参阅 将 SageMaker Canvas 应用程序数据存储在你自己的 SageMaker AI 空间中

要确定空间创建失败的根本原因,您可以使用 DescribeSpaceAPI 检查该FailureReason字段。有关可能的空间状态及其含义的更多信息,请参阅 亚马逊 SageMaker AI 域名实体和状态

要解决此问题,请在 SageMaker AI 控制台中找到您的域,然后删除您收到的错误消息中列出的故障空间。有关如何查找和删除空间的详细步骤,请参阅页面 停止并删除运行应用程序和空间的 Studio 并按照说明删除 Studio 空间。删除空间还会删除与此空间关联的所有应用程序。删除空间后,您可以再次尝试创建 Canvas 应用程序。现在,此空间应该可以成功配置,允许 Canvas 启动。