Einrichten von Berechtigungen für Amazon Forecast - Amazon Forecast

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Berechtigungen für Amazon Forecast

Amazon Forecast verwendet Amazon Simple Storage Service (Amazon S3) zum Speichern der Ziel-Zeitreihendaten, die Sie zum Trainieren von Predictors für die Prognoseerstellung verwenden. Damit Amazon Forecast auf Amazon S3 zugreifen kann, müssen Sie die erforderlichen Berechtigungen gewähren.

Um Amazon Forecast die Berechtigung zu erteilen, Amazon S3 in Ihrem Namen zu verwenden, benötigen Sie eineAWS Identity and Access Management(IAM) -Rolle und IAM-Richtlinie in Ihrem Konto. Die IAM-Richtlinie mit den erforderlichen Berechtigungen muss der IAM-Rolle angefügt werden.

Verwenden Sie zum Erstellen der IAM-Rolle und -Richtlinie sowie zum Anfügen der Richtlinie an die Rolle die IAM-Konsole oder die AWS Command Line Interface (AWS CLI).

Anmerkung

Die Forecast kommuniziert nicht mit AWS VPCs und kann das S3-VPCE-Gateway nicht unterstützen. Die Verwendung von S3-Buckets, die nur VPC-Zugriff zulassen, führt zu einemAccessDeniedFehler.

Erstellen einer IAM-Rolle für Amazon Forecast (IAM-Konsole)

Sie können mit der AWS IAM-Konsole die folgenden Aktionen ausführen:

  • Erstellen einer IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität

  • Erstellen einer IAM-Richtlinie mit den Berechtigungen für Amazon Forecast, Daten in einem Amazon Forecast anzuzeigen, zu lesen und zu schreiben

  • IAM-Richtlinie an die IAM-Rolle anfügen

So erstellen Sie eine IAM-Rolle und -Richtlinie, mit der Amazon Forecast auf Amazon Forecast auf Amazon S3 (IAM-Konsole) zugreifen kann

  1. Melden Sie sich bei der IAM-Konsole an (https://console.aws.amazon.com/iam).

  2. Klicken Sie auf Policies (Richtlinien) und gehen Sie wie folgt vor, um die erforderliche Richtlinie zu erstellen:

    1. Gehen Sie auf der Seite Create policy (Richtlinie erstellen) im Richtlinien-Editor auf die Registerkarte JSON.

    2. Kopieren Sie die folgende Richtlinie und ersetzen Sie den Text im Editor durch diese Richtlinie. Ersetzen Sie bucket-name durch den Namen Ihres S3-Buckets und klicken Sie auf Review policy (Richtlinie prüfen).

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }
    3. Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Richtlinie ein. Zum Beispiel, AWSS3BucketAccess. Geben Sie optional eine Beschreibung für die Richtlinie ein und klicken Sie auf Create policy (Richtlinie erstellen).

  3. Wählen Sie im Navigationsbereich Roles (Rollen) aus. Gehen Sie dann wie folgt vor, um die IAM-Rolle zu erstellen:

    1. Wählen Sie Create role (Rolle erstellen) aus.

    2. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen) die Option AWS service (Service) aus.

    3. Wenn für Choose the service that will use this role (Service auswählen, der diese Rolle verwendet) die Option Amazon Forecast (Amazon Forecast) nicht angezeigt wird, wählen Sie EC2 (EC2) aus. Wählen Sie andernfalls Amazon Forecast (Amazon Forecast) aus.

    4. Wählen Sie Weiter. Berechtigungen.

    5. Aktivieren Sie für Attach permissions policies (Berechtigungsrichtlinien anfügen) das Kontrollkästchen neben der gerade erstellten Richtlinie. Um die Richtlinie in der Liste anzuzeigen, geben Sie den Namen der Richtlinie im Abfragefilter Filter policies (Richtlinien filtern) ein. Klicken Sie dann auf Next (Weiter): Tags.

    6. Sie müssen keinen Tags hinzufügen, klicken Sie daher aufWeiter: Prüfen.

    7. Geben Sie im Bereich Review (Prüfen) für Role name (Rollenname) einen Namen für die Rolle ein (z. B. ForecastRole). Aktualisieren Sie die Beschreibung für die Rolle unter Role description (Rollenbeschreibung) und klicken Sie auf Create role (Rolle erstellen).

    8. Wählen Sie die neue Rolle aus, um die Detailseite der Rolle zu öffnen.

    9. Kopieren Sie unter Summary (Übersicht)den Role ARN (Rollen-ARN)-Wert und speichern Sie ihn. Sie benötigen ihn, um ein Dataset in Amazon Forecast zu importieren.

    10. Wenn Sie als Service für diese Rolle nicht Amazon Forecast (Amazon Forecast) ausgewählt haben, klicken Sie auf Trust relationships (Vertrauensstellungen) und dann auf Edit trust relationship (Vertrauensstellung bearbeiten), um die Vertrauensrichtlinie wie folgt zu aktualisieren.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] }
    11. [OPTIONAL]Wenn Sie einen KMS-Schlüssel zum Aktivieren der Verschlüsselung verwenden, fügen Sie den KMS-Schlüssel und den ARN an:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "ForecastKMS", "Effect": "Allow", "Action": "kms:*", "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id" } ] }

Erstellen einer IAM-Rolle für Amazon Forecast (AWS CLI)

Sie können den AWS CLI für Folgendes verwenden:

  • Erstellen einer IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität

  • Erstellen einer IAM-Richtlinie mit den Berechtigungen für Amazon Forecast, Daten in einem Amazon Forecast anzuzeigen, zu lesen und zu schreiben

  • IAM-Richtlinie an die IAM-Rolle anfügen

So erstellen Sie eine IAM-Rolle und -Richtlinie, mit der Amazon Forecast auf zugreifen kann Amazon S3 (AWS CLI)

  1. Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdige Entität, die diese Rolle für Sie annehmen kann:

    aws iam create-role \ --role-name ForecastRole \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] }'

    Bei diesem Befehl wird davon ausgegangen, dass das Standard-AWS-Konfigurationsprofil auf eine AWS-Region ausgerichtet ist, die von Amazon Forecast unterstützt wird. Wenn Sie ein anderes Profil (z. B. aws-forecast) konfiguriert haben, um eine AWS-Region zu nutzen, die von Amazon Forecast nicht unterstützt wird, müssen Sie diese Konfiguration explizit angeben. Verwenden Sie dazu im Befehl den Parameter profile, z. B. --profile aws-forecast. Weitere Informationen zum Einrichten eines AWS CLI-Konfigurationsprofils finden Sie im AWS CLI-Befehl configure.

    Wenn der Befehl die Rolle erstellt hat, gibt er sie als Ausgabe zurück, die in etwa wie folgt aussieht:

    { "Role": { "Path": "/", "RoleName": "ForecastRole", "RoleId": your-role-ID, "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole", "CreateDate": "creation-date", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-acct-ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*" } } } ] } } }

    Notieren Sie sich den Rollen-ARN. Sie benötigen ihn, um ein Dataset zum Schulen eines Amazon Forecast-Predictors zu importieren.

  2. Erstellen Sie eine IAM-Richtlinie mit den Berechtigungen zum Auflisten, Lesen und Schreiben von Daten in Amazon S3 und fügen Sie sie der in Schritt 1 erstellten IAM-Rolle an:

    aws iam put-role-policy \ --role-name ForecastRole \ --policy-name ForecastBucketAccessPolicy \ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }'

  3. [OPTIONAL]Wenn Sie einen KMS-Schlüssel zum Aktivieren der Verschlüsselung verwenden, fügen Sie den KMS-Schlüssel und den ARN an:

    aws iam put-role-policy \ --role-name ForecastRole \ --policy-name ForecastBucketAccessPolicy \ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }'aws iam put-role-policy \ --role-name ForecastRole \ --policy-name ForecastKMSAccessPolicy \ --policy-document ‘{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:*" ], "Resource":[ "arn:aws:kms:region:account-id:key/KMS-key-id" ] } ] }’

Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In AWS kann der betriebsübergreifende Identitätswechsel zu dem Confused-Deputy-Problem führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen die Verwendung vonaws:SourceArnundaws:SourceAccountSchlüssel zum globalen Bedingungskontext in Ressourcenrichtlinien, um die Berechtigungen einzuschränken, die Identity and Access Management (IAM) Amazon Forecast Zugriff auf Ihre Ressourcen gewährt. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, wird deraws:SourceAccountWert und das Konto imaws:SourceArn-Wert muss dieselbe Konto-ID verwenden, wenn er in der gleichen Richtlinienanweisung verwendet wird.