Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten von Berechtigungen für Amazon Forecast
Amazon Forecast verwendet Amazon Simple Storage Service (Amazon S3) zum Speichern der Zielzeitreihendaten, die zum Training von Prädiktoren verwendet wird, um Prognosen zu erstellen. Amazon Forecast benötigt Ihre Zustimmung, um in Ihrem Auftrag auf Amazon S3 in Ihrem Namen bereit.
Um Amazon Forecast die Erlaubnis zu erteilen, Amazon S3 in Ihrem Namen zu verwenden, müssen Sie über eineAWS Identity and Access Management (IAM-) Rolle und eine IAM-Richtlinie in Ihrem Konto verfügen. Die IAM-Richtlinie spezifiziert die erforderlichen Berechtigungen und muss der IAM-Rolle angefügt werden.
Um die IAM-Rolle und -Richtlinie zu erstellen und die Richtlinie an die Rolle anzuhängen, können Sie die IAM-Konsole oder dieAWS Command Line Interface (AWS CLI) verwenden.
Anmerkung
Forecast kommuniziert nicht mit Amazon Virtual Private Cloud und kann das Amazon S3 VPCE-Gateway nicht unterstützen. Die Verwendung von S3-Buckets, die nur VPC-Zugriff ermöglichen, führt zu einemAccessDenied Fehler.
Themen
Erstellen Sie eine IAM-Rolle für Amazon Forecast (IAM-Konsole)
Sie können dieAWS IAM-Konsole für Folgendes verwenden:
-
Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität
-
Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, die es Amazon Forecast ermöglicht, Daten in einem Amazon S3 S3-Bucket anzuzeigen, zu lesen und zu schreiben
-
Fügen Sie die IAM-Richtlinie an die IAM-Rolle an
So erstellen Sie eine IAM-Rolle und Richtlinie, die Amazon Forecast auf Amazon S3 (IAM-Konsole) ermöglicht
-
Melden Sie sich bei der IAM-Konsole an (https://console.aws.amazon.com/iam
). -
Klicken Sie auf Policies (Richtlinien) und gehen Sie wie folgt vor, um die erforderliche Richtlinie zu erstellen:
-
Klicken Sie auf Richtlinie erstellen.
-
Gehen Sie auf der Seite Create policy (Richtlinie erstellen) im Richtlinien-Editor auf die Registerkarte JSON.
-
Kopieren Sie die folgende Richtlinie und ersetzen Sie den Text im Editor durch diese Richtlinie. Ersetzen Sie
bucket-name{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }Klicken Sie auf Weiter: Schlagworte
-
Optional können Sie dieser Richtlinie Tags zuweisen. Klicken Sie auf Next: Review (Weiter: Prüfen).
-
Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Richtlinie ein. Zum Beispiel
AWSS3BucketAccess. Geben Sie optional eine Beschreibung für die Richtlinie ein und klicken Sie auf Create policy (Richtlinie erstellen).
-
-
Wählen Sie im Navigationsbereich Roles (Rollen) aus. Gehen Sie anschließend wie folgt vor, um die IAM-Rolle zu erstellen:
-
Wählen Sie Create role (Rolle erstellen) aus.
-
Wählen Sie für Trusted entity type (Vertrauenswürdige Entität) die Option AWS-Service aus.
Wählen Sie unter Anwendungsfall entweder im Abschnitt Allgemeine Anwendungsfälle oder in derAWS-Services Dropdownliste Anwendungsfälle für andere die Option Forecast aus. Wenn Sie Forecast nicht finden können, wählen Sie EC2.
Klicken Sie auf Next (Weiter).
-
Klicken Sie im Abschnitt Berechtigungen hinzufügen auf Weiter.
-
Geben Sie im Abschnitt Name, review, and create (Benennen, prüfen und erstellen) für Role name (Rollenname) einen Namen für die Rolle ein (z. B.
ForecastRole). Aktualisieren Sie die Beschreibung für die Rolle unter Role description (Rollenbeschreibung) und klicken Sie auf Create role (Rolle erstellen). -
Sie sollten jetzt wieder auf der Seite Rollen sein. Wählen Sie die neue Rolle aus, um die Detailseite der Rolle zu öffnen.
-
Kopieren Sie unter Summary (Übersicht)den Role ARN (Rollen-ARN)-Wert und speichern Sie ihn. Sie benötigen ihn, um ein Dataset in Amazon Forecast zu importieren.
-
Wenn Sie als Service für diese Rolle nicht Amazon Forecast (Amazon Forecast) ausgewählt haben, klicken Sie auf Trust relationships (Vertrauensstellungen) und dann auf Edit trust relationship (Vertrauensstellung bearbeiten), um die Vertrauensrichtlinie wie folgt zu aktualisieren.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] } -
[OPTIONAL] Wenn Sie einen KMS-Schlüssel verwenden, um die Verschlüsselung zu aktivieren, hängen Sie den KMS-Schlüssel und den ARN an:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ForecastKMS", "Effect": "Allow", "Action": "kms:*", "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id" } ] }
-
Erstellen Sie ein IAM für Amazon Forecast (AWS CLI)
Sie können den AWS CLI für Folgendes verwenden:
-
Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität
-
Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, die es Amazon Forecast ermöglicht, Daten in einem Amazon S3 S3-Bucket anzuzeigen, zu lesen und zu schreiben
-
Fügen Sie die IAM-Richtlinie an die IAM-Rolle an
So erstellen Sie eine IAM-Rolle und Richtlinie, die Amazon Forecast Zugriff auf Amazon S3 ermöglicht (AWS CLI)
-
Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität, die die Rolle für Sie übernehmen kann:
aws iam create-role \ --role-nameForecastRole\ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] }'Bei diesem Befehl wird davon ausgegangen, dass dasAWS Standardkonfigurationsprofil auf ein von Amazon ForecastAWS-Region unterstütztes ausgerichtet ist. Wenn Sie ein anderes Profil (z. B.
aws-forecast) als Targeting konfiguriert haben,AWS-Region das von Amazon Forecast nicht unterstützt wird, müssen Sie diese Konfiguration explizit angeben, indem Sie denprofileParameter in den Befehl--profile aws-forecastaufnehmen, z. B. Weitere Informationen zum Einrichten eines AWS CLI-Konfigurationsprofils finden Sie im AWS CLI-Befehl configure.Wenn der Befehl die Rolle erstellt hat, gibt er sie als Ausgabe zurück, die in etwa wie folgt aussieht:
{ "Role": { "Path": "/", "RoleName": "ForecastRole", "RoleId":your-role-ID, "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole", "CreateDate": "creation-date", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-acct-ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*" } } } ] } } }Notieren Sie sich den Rollen-ARN. Sie benötigen ihn, um ein Dataset zum Schulen eines Amazon Forecast-Predictors zu importieren.
-
Erstellen Sie eine IAM-Richtlinie mit Berechtigungen zum Auflisten, lesen und schreiben von Daten in Amazon S3 und fügen Sie sie der in Schritt 1 erstellten IAM-Rolle an:
aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastBucketAccessPolicy\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }' -
[OPTIONAL] Wenn Sie einen KMS-Schlüssel verwenden, um die Verschlüsselung zu aktivieren, hängen Sie den KMS-Schlüssel und den ARN an:
aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastBucketAccessPolicy\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }'aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastKMSAccessPolicy\ --policy-document ‘{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource":[ "arn:aws:kms:region:account-id:key/KMS-key-id" ] } ] }’
Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann der betriebsübergreifende Identitätswechsel zu dem Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Dienst kann manipuliert werden, um seine Berechtigungen zu verwenden, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen die Verwendung der Schlüsselaws:SourceArn und dieaws:SourceAccount globalen Bedingungskontext-Schlüssel in ressourcenbasierten Richtlinien, um die Berechtigungen, die Amazon Forecast erteilt, auf Ihre Ressourcen zu beschränken. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen deraws:SourceAccount Wert und das Konto imaws:SourceArn Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird.
