Funktionsweise von Amazon Forecast mit IAM - Amazon Forecast

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von Amazon Forecast mit IAM

Bevor Sie IAM zum Verwalten des Zugriffs auf Amazon Forecast verwenden, sollten Sie verstehen, welche IAM-Funktionen für die Verwendung mit Forecast verfügbar sind. So erhalten Sie eine allgemeine Übersicht über die Forecast und andereAWSServices funktionieren mit IAM, sieheAWSServices, die mit IAM funktionierenimIAM User Guideaus.

Prognostizierte Identitätsbasierte Richtlinien

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Forecast unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

Actions

Administratoren können mithilfe von AWS-JSON-Richtlinien festlegen, wer zum Zugriff auf was berechtigt ist. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie die zugehörige AWS-API-Operation. Es gibt einige Ausnahmen, z. B. Aktionen, die nur mit Genehmigung durchgeführt werden können und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Richtlinienaktionen in Forecast verwenden das folgende Präfix vor der Aktion: forecast:aus. Um einem Benutzer beispielsweise die Berechtigung zum Ausführen eines Auftrags zur Erstellung von FOR-Datasets mit derCreateDatasetGroupAPI-Betrieb, Sie schließen dieforecast:CreateDatasetGroupMaßnahmen in ihrer Politik. Richtlinienanweisungen müssen entweder ein Action- oder ein NotAction-Element enthalten. Forecast definiert eine eigene Gruppe von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.

"Action": [ "forecast:action1", "forecast:action2"

Sie können auch Platzhalter (*) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:

"Action": "forecast:Describe*"

Die Liste der Prognoseaktionen finden Sie unterVon Amazon Forecast definierte AktionenimIAM User Guideaus.

Resources

Administratoren können mithilfe von AWS-JSON-Richtlinien festlegen, wer zum Zugriff auf was berechtigt ist. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das JSON-Richtlinienelement Resource gibt die Objekte an, auf die die Aktion angewendet wird. Anweisungen müssen entweder ein Resource- oder ein NotResource-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Eine Amazon Forecast-Dataset-Ressource hat den folgenden ARN:

arn:${Partition}:forecast:${Region}:${Account}:dataset/${DatasetName}

Weitere Informationen zum Format von ARNs finden Sie unter Amazon-Ressourcennamen (ARNs) und AWS-Service-Namespaces.

Um beispielsweise das Dataset namens MyDataset in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.

"Resource": "arn:aws:forecast:us-east-1:123456789012:dataset/MyDataset"

Um alle Datasets anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*).

"Resource": "arn:aws:forecast:us-east-1:123456789012:dataset/*"

Einige Prognoseaktionen, z. B. zum Erstellen von Ressourcen, können auf bestimmten Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.

"Resource": "*"

Eine Liste der Forecast-Ressourcentypen und ihrer ARNs anzeigen, finden Sie unterVon Amazon Forecast definierte RessourcenimIAM User Guideaus. Informationen dazu, mit welchen Aktionen Sie den ARN der einzelnen Ressourcen angeben können, finden Sie unterVon Amazon Forecast definierte Aktionenaus.

Bedingungsschlüssel

Eine Forecast bietet keine servicespezifischen Bedingungsschlüssel.

Examples

Beispiele für identitätsbasierte Forecast-Richtlinien finden Sie unterBeispiele für identitätsbasierte Amazon Forecast-Richtlinienaus.

Forecast von IAM-Rollen

Eine IAM-Rolle ist eine Entität in Ihrem AWS-Konto mit spezifischen Berechtigungen.

Verwenden temporärer Anmeldeinformationen mit Forecast

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Temporäre Sicherheitsanmeldeinformationen erhalten Sie durch Aufrufen von AWS STS-API-Vorgängen wie AssumeRole oder GetFederationToken.

Forecast unterstützt die Verwendung temporärer Anmeldeinformationen.

Serviceverknüpfte Rollen

Serviceverknüpfte Rollen erlauben AWS-Services den Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Auftrag auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Die Forecast unterstützt serviceverknüpfte Rollen nicht.

Servicerollen

Diese Funktion ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Services beeinträchtigen.

Forecast unterstützt Servicerollen.