授予用户执行时间序列预测的权限

要在 Amazon SageMaker Canvas 中执行时间序列预测，用户必须拥有必要的权限。向用户授予这些权限的首选方法是，在设置 Amazon SageMaker 域或编辑特定用户配置文件设置时打开时间序列预测选项。您也可以使用手动方法将 Amazon Forecast 的策略和信任关系附加到 AWS Identity and Access Management (IAM) 角色。

如果您想用自己的密钥加密时间序列预测，必须使用 AWS KMS 密钥并修改 KMS 密钥策略，以便向 Amazon Forecast 使用的角色授予权限。有关设置 KMS 密钥和修改时间序列预测策略的更多信息，请参阅 时间序列预测的先决条件。

域设置方法

SageMaker 提供了通过域设置向用户授予时间序列预测权限的选项。您可以切换域中所有用户的权限，SageMaker 会为您管理附加所需的 IAM 策略和信任关系。

如果您是第一次设置 Amazon SageMaker 域，并希望为域中的所有用户打开时间序列预测权限，那么请使用以下过程。

Quick setup

在为域进行快速设置时，可使用以下过程打开 SageMaker Canvas 时间序列预测权限。

1. 在 Amazon SageMaker 域快速设置中，填写用户配置文件部分的名称和默认执行角色字段。

2. 让启用 SageMaker Canvas 权限选项保持打开状态。默认情况下，此选项处于打开状态。

3. 选择提交，完成域设置。

Standard setup

在为域进行标准设置时，可使用以下过程打开 SageMaker Canvas 时间序列预测权限。

1. 在 Amazon SageMaker 域标准设置中，填写常规设置、Studio 设置和 RStudio 设置页面。

2. 选择 Canvas 设置页面。

3. 对于 Canvas 基本权限配置，请保持启用 Canvas 基本权限选项处于打开状态。默认情况下，此选项处于打开状态。这些权限是开启时间序列预测权限所必需的。

4. 对于时间序列预测配置，请保持启用时间序列预测选项处于打开状态。默认情况下，此选项处于打开状态。

5. 选择创建并使用新的执行角色，或者，如果您已经拥有附带所需 Amazon Forecast 权限的 IAM 角色，则选择使用现有的执行角色。有关更多信息，请参阅 IAM 角色设置方法。

6. 完成对域设置的任何其他更改，然后选择提交。

您的用户现在应该拥有在 SageMaker Canvas 中执行时间序列预测所需的权限。

用户设置方法

您可以为现有域中的单个用户配置时间序列预测权限。用户配置文件设置优先于常规域设置，因此您可以向特定用户授予权限，而无需向所有用户授予权限。要向还没有权限的特定用户授予时间序列预测权限，请使用以下过程。

1. 通过 https://console.aws.amazon.com/sagemaker/ 打开 SageMaker 控制台。

2. 在左侧导航窗格中，选择管理员配置。

3. 在管理员配置下，选择域。

4. 在域页面上，选择您的域。

5. 在用户配置文件选项卡中，选择要编辑其权限的用户的名称。

6. 在用户详细信息页面上，选择编辑。

7. 选择 Canvas 设置页面。

8. 打开启用 Canvas 基本权限。这些权限是开启时间序列预测权限所必需的。

9. 打开启用时间序列预测选项。

10. 如果要为用户使用与域中指定的角色不同的执行角色，请选择创建并使用新的执行角色；如果已有可使用的 IAM 角色，请选择使用现有的执行角色。

    注意

    如果要使用现有的 IAM 角色，请确保该角色已附加 IAM 策略 AmazonSageMakerCanvasForecastAccess，并具有将 Amazon Forecast 作为服务主体的信任关系。有关更多信息，请参阅 IAM 角色设置方法 一节。

11. Canvas 设置页面应如以下屏幕截图所示。完成对用户配置文件的任何其他更改，然后选择提交以保存更改。

    

您的用户现在应该有权在 SageMaker Canvas 中进行时间序列预测。

您也可以使用上述过程并关闭启用时间序列预测选项来移除用户的权限。

IAM 角色设置方法

您可以手动授予用户在 Amazon SageMaker Canvas 中执行时间序列预测的权限，方法是在为用户配置文件指定的 AWS Identity and Access Management (IAM) 角色中添加附加权限。IAM 角色必须与 Amazon Forecast 之间存在信任关系，并附有授予 Forecast 权限的策略。

下一节将向您展示如何创建信任关系并将 AmazonSageMakerCanvasForecastAccess 托管策略附加到您的 IAM 角色，该策略授予在 SageMaker Canvas 中进行时间序列预测所需的最低权限。

注意

AmazonSageMakerCanvasForecastAccess 策略授予访问 SageMaker 创建的 Amazon S3 存储桶的权限，该存储桶是 Canvas 应用程序数据的默认存储位置。如果您为 Canvas 应用程序数据指定了自定义 Amazon S3 存储位置，则必须将策略中的权限更新为您自己的 Amazon S3 存储桶。有关 Canvas 的自定义 Amazon S3 存储位置的更多信息，请参阅 配置 Amazon S3 存储。

要使用手动方法配置 IAM 角色，请按以下步骤操作。

1. 通过 https://console.aws.amazon.com/sagemaker/ 打开 SageMaker 控制台。

2. 在左侧导航窗格中，选择管理员配置。

3. 在管理员配置下，选择域。

4. 在域页面上，选择您的域。

5. 从用户配置文件列表中，选择要向其授予时间序列预测权限的用户的配置文件。

6. 在详细信息下，复制或记下用户执行角色的名称。IAM 角色的名称应类似于下面的内容：111122223333。

   

7. 获得用户的 IAM 角色名称后，转至 IAM 控制台。

8. 选择角色。

9. 从角色列表中按名称搜索用户的 IAM 角色并将其选中。

10. 在权限下，选择添加权限。

11. 选择附加策略。

12. 搜索 AmazonSageMakerCanvasForecastAccess 托管策略并将其选中。选择附加策略将策略附加到该角色。

    附加策略后，该角色的权限部分现在应包括 AmazonSageMakerCanvasForecastAccess。

13. 返回 IAM 角色页面，在信任关系下，选择编辑信任策略。

14. 在编辑信任策略编辑器中，更新信任策略以将 Forecast 添加为服务主体。该策略应类似于以下示例。

    
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": [
                "sagemaker.amazonaws.com",
                "forecast.amazonaws.com"
            ]
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
      

15. 编辑信任策略后，选择更新策略。

现在，您应该拥有一个 IAM 角色，该角色已附加策略 AmazonSageMakerCanvasForecastAccess，并与 Amazon Forecast 建立了信任关系，允许用户在 SageMaker Canvas 中执行时间序列预测。有关 AWS 托管策略的信息，请参阅托管策略与内联策略。

注意

如果使用这种方法设置时间序列预测，并希望在预测中使用 AWS KMS 加密，则必须配置 KMS 密钥的策略以授予额外权限。有关更多信息，请参阅 时间序列预测的先决条件。