O Amazon Forecast não está mais disponível para novos clientes. Os clientes existentes do Amazon Forecast podem continuar usando o serviço normalmente. Saiba mais
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar permissões para o Amazon Forecast
O Amazon Forecast usa o Amazon Simple Storage Service (Amazon S3) para armazenar os dados de séries temporais de destino usados para treinar os preditores que podem gerar previsões. Para acessar o Amazon S3 em seu nome, o Amazon Forecast precisa de permissão.
Para conceder ao Amazon Forecast permissão para usar o Amazon S3 em seu nome, você precisa ter um perfil do AWS Identity and Access Management (IAM) e uma política do IAM em sua conta. A política do IAM especifica as permissões necessárias e deve ser anexada ao perfil do IAM.
Para criar a função e a política do IAM e anexar a política à função, você pode usar o console do IAM ou o AWS Command Line Interface (AWS CLI).
nota
O Forecast não se comunica com a Amazon Virtual Private Cloud e não é compatível com o Amazon S3 VPCE Gateway. O uso de buckets do S3 que só permitem acesso à VPC resultará em um erro de AccessDenied.
Tópicos
Criar um perfil do IAM para o Amazon Forecast (console do IAM)
Você pode usar o console AWS do IAM para fazer o seguinte:
-
Criar um perfil do IAM com o Amazon Forecast como uma entidade confiável
-
Criar uma política do IAM com permissões para que o Amazon Forecast mostre, leia e grave dados em um bucket do Amazon S3
-
Anexar a política do IAM ao perfil do IAM
Para criar um perfil e uma política do IAM que permitam que o Amazon Forecast acesse o Amazon S3 (console do IAM)
-
Faça login no console do IAM (https://console.aws.amazon.com/iam
). -
Escolha Policies (Políticas) e faça o seguinte para criar a política necessária:
-
Clique em Create Policy (Criar política).
-
Na página Create policy (Criar política), no editor de políticas, escolha a guia JSON.
-
Copie a política a seguir e substitua o texto no editor colando esta essa política sobre ele. Certifique-se de substituir
bucket-name{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }Clique em Próximo: Etiquetas
-
Se desejar, você pode atribuir tags a essa política. Clique em Next: Review (Próximo: análise).
-
Em Review policy (Revisar política), em Name (Nome), digite um nome para a política. Por exemplo,
AWSS3BucketAccess. Opcionalmente, forneça uma descrição para a política e escolha Create policy (Criar política).
-
-
No painel de navegação, selecione Perfis. Depois, faça o seguinte para criar o perfil do IAM:
-
Selecione Criar perfil.
-
Em Tipo de Entidade Confiável, escolha AWS service (Serviço da AWS).
Em Caso de uso, selecione Previsão na seção Casos de uso comuns ou na lista suspensa Casos de uso para outros Serviços da AWS. Se você não conseguir encontrar o Forecast, escolha EC2.
Clique em Next.
-
Na seção Adicionar permissões, clique em Próximo.
-
Na página Nomear, revisar e criar, em Nome do perfil, digite um nome para o perfil (por exemplo,
ForecastRole). Atualize a descrição da função em Role description (Descrição da função) e escolha Create role (Criar função). -
Agora você retornará à página Perfis. Escolha a nova função para abrir a página de detalhes da função.
-
Em Summary (Resumo), copie o valor do Role ARN (ARN da função) e salve-o. Você precisa dele para importar um conjunto de dados no Amazon Forecast.
-
Se você não escolheu Amazon Forecast como o serviço que usará essa função, escolha Trust relationships (Relacionamentos de confiança) e escolha Edit trust relationship (Editar relacionamento de confiança) para atualizar a política de confiança da seguinte forma.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] } -
[OPCIONAL] Ao usar uma chave do KMS para habilitar a criptografia, anexe a chave do KMS e o ARN:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ForecastKMS", "Effect": "Allow", "Action": "kms:*", "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id" } ] }
-
Criar um perfil do IAM para o Amazon Forecast (AWS CLI)
Você pode usar o AWS CLI para fazer o seguinte:
-
Criar um perfil do IAM com o Amazon Forecast como uma entidade confiável
-
Criar uma política do IAM com permissões para que o Amazon Forecast mostre, leia e grave dados em um bucket do Amazon S3
-
Anexar a política do IAM ao perfil do IAM
Para criar um perfil e uma política do IAM que permitam que o Amazon Forecast acesse o Amazon S3 (AWS CLI)
-
Crie um perfil do IAM com o Amazon Forecast como uma entidade confiável que possa assumir o perfil por você:
aws iam create-role \ --role-nameForecastRole\ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:account-id:*" } } } ] }'Esse comando pressupõe que o perfil de AWS configuração padrão seja destinado a um perfil Região da AWS compatível com o Amazon Forecast. Se você configurou outro perfil (por exemplo,
aws-forecast) para atingir um Região da AWS que não é compatível com o Amazon Forecast, você deve especificar explicitamente essa configuração incluindo oprofileparâmetro no comando, por exemplo,--profile aws-forecast. Para obter mais informações sobre como configurar um perfil de AWS CLI configuração, consulte o comando AWS CLI configure.Se o comando criar a função com êxito, ele a retornará como saída, que deve ser semelhante à seguinte:
{ "Role": { "Path": "/", "RoleName": "ForecastRole", "RoleId":your-role-ID, "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole", "CreateDate": "creation-date", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-acct-ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*" } } } ] } } }Anote o ARN da função. Você precisará dele ao importar um conjunto de dados para treinar um preditor do Amazon Forecast.
-
Crie uma política do IAM com permissões para listar, ler e gravar dados no Amazon S3 e anexe-a ao perfil do IAM que você criou na Etapa 1:
aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastBucketAccessPolicy\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }' -
[OPCIONAL] Ao usar uma chave do KMS para habilitar a criptografia, anexe a chave do KMS e o ARN:
aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastBucketAccessPolicy\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }'aws iam put-role-policy \ --role-nameForecastRole\ --policy-nameForecastKMSAccessPolicy\ --policy-document ‘{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource":[ "arn:aws:kms:region:account-id:key/KMS-key-id" ] } ] }’
Prevenção do problema do substituto confuso entre serviços
O problema “confused deputy” é um problema de segurança no qual uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado a usar suas permissões para atuar nos recursos de outro cliente de modo a não ter permissão de acesso. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos o uso das chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em políticas de recursos para limitar as permissões que o Identity and Access Management (IAM) concede ao Amazon Forecast para acessar seus recursos. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
