Einrichten von Berechtigungen für Amazon Forecast - Amazon Forecast
Erstellen einer IAM-Rolle für Amazon Forecast (IAM-Konsole)Erstellen einer IAM-Rolle für Amazon Forecast (AWS CLI)Serviceübergreifende Confused-Deputy-Prävention

Amazon Forecast ist für Neukunden nicht mehr verfügbar. Bestehende Kunden von Amazon Forecast können den Service weiterhin wie gewohnt nutzen. Erfahren Sie mehr“

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Berechtigungen für Amazon Forecast

Amazon Forecast verwendet Amazon Simple Storage Service (Amazon S3), um die Zielzeitreihendaten zu speichern, die zum Trainieren von Prädiktoren verwendet werden, die Prognosen generieren können. Um in Ihrem Namen auf Amazon S3 zuzugreifen, benötigt Amazon Forecast Ihre -Berechtigung.

Um Amazon Forecast die Berechtigung zur Verwendung von Amazon S3 in Ihrem Namen zu erteilen, müssen Sie über eine AWS Identity and Access Management (IAM)-Rolle und eine IAM-Richtlinie in Ihrem Konto verfügen. Die IAM-Richtlinie legt die erforderlichen Berechtigungen fest und muss an die IAM-Rolle angehängt werden.

Um die IAM-Rolle und -Richtlinie zu erstellen und die Richtlinie an die Rolle anzuhängen, können Sie die IAM-Konsole oder die AWS Command Line Interface () verwendenAWS CLI.

Anmerkung

Forecast kommuniziert nicht mit Amazon Virtual Private Cloud und kann das Amazon S3-VPCE-Gateway nicht unterstützen. Die Verwendung von S3-Buckets, die nur den VPC-Zugriff zulassen, führt zu einem AccessDenied Fehler.

Erstellen einer IAM-Rolle für Amazon Forecast (IAM-Konsole)

Sie können die AWS IAM-Konsole verwenden, um Folgendes zu tun:

  • Erstellen einer IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität

  • Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, mit denen Amazon Forecast Daten in einem Amazon S3-Bucket anzeigen, lesen und schreiben kann

  • Anfügen der IAM-Richtlinie an die IAM-Rolle

So erstellen Sie eine IAM-Rolle und -Richtlinie, die Amazon Forecast den Zugriff auf Amazon S3 ermöglicht (IAM-Konsole)

  1. Melden Sie sich bei der IAM-Konsole an (https://console.aws.amazon.com/iam).

  2. Klicken Sie auf Policies (Richtlinien) und gehen Sie wie folgt vor, um die erforderliche Richtlinie zu erstellen:

    1. Klicken Sie auf Richtlinie erstellen.

    2. Gehen Sie auf der Seite Create policy (Richtlinie erstellen) im Richtlinien-Editor auf die Registerkarte JSON.

    3. Kopieren Sie die folgende Richtlinie und ersetzen Sie den Text im Editor durch diese Richtlinie. Ersetzen Sie bucket-name durch den Namen Ihres S3-Buckets und klicken Sie auf Review policy (Richtlinie prüfen).

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}

      Klicken Sie auf Weiter: Tags

    4. Optional können Sie dieser Richtlinie Tags zuweisen. Klicken Sie auf Next: Review (Weiter: Prüfen).

    5. Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Richtlinie ein. Beispiel: AWSS3BucketAccess Geben Sie optional eine Beschreibung für die Richtlinie ein und klicken Sie auf Create policy (Richtlinie erstellen).

  3. Wählen Sie im Navigationsbereich Rollen aus. Gehen Sie dann wie folgt vor, um die IAM-Rolle zu erstellen:

    1. Wählen Sie Rolle erstellen aus.

    2. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

      Wählen Sie für Anwendungsfall die Option Prognose aus dem Abschnitt Häufige Anwendungsfälle oder der Dropdown-Liste Anwendungsfälle für andere AWS-Services aus. Wenn Sie Prognose nicht finden können, wählen Sie EC2 aus.

      Klicken Sie auf Weiter.

    3. Klicken Sie im Abschnitt Berechtigungen hinzufügen auf Weiter.

    4. Geben Sie im Abschnitt Name, Überprüfung und Erstellung für Rollenname einen Namen für die Rolle ein (z. B. ForecastRole). Aktualisieren Sie die Beschreibung für die Rolle unter Role description (Rollenbeschreibung) und klicken Sie auf Create role (Rolle erstellen).

    5. Sie sollten sich jetzt wieder auf der Seite Rollen befinden. Wählen Sie die neue Rolle aus, um die Detailseite der Rolle zu öffnen.

    6. Kopieren Sie unter Summary (Übersicht)den Role ARN (Rollen-ARN)-Wert und speichern Sie ihn. Sie benötigen ihn, um ein Dataset in Amazon Forecast zu importieren.

    7. Wenn Sie als Service für diese Rolle nicht Amazon Forecast (Amazon Forecast) ausgewählt haben, klicken Sie auf Trust relationships (Vertrauensstellungen) und dann auf Edit trust relationship (Vertrauensstellung bearbeiten), um die Vertrauensrichtlinie wie folgt zu aktualisieren. 

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}

    8. [OPTIONAL] Wenn Sie einen KMS-Schlüssel zum Aktivieren der Verschlüsselung verwenden, fügen Sie den KMS-Schlüssel und den ARN an:

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ForecastKMS",
            "Effect": "Allow",
            "Action": "kms:*",
            "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id"
        }
    ]
}

Erstellen einer IAM-Rolle für Amazon Forecast (AWS CLI)

Sie können den AWS CLI für Folgendes verwenden:

  • Erstellen einer IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität

  • Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, mit denen Amazon Forecast Daten in einem Amazon S3-Bucket anzeigen, lesen und schreiben kann

  • Anfügen der IAM-Richtlinie an die IAM-Rolle

So erstellen Sie eine IAM-Rolle und -Richtlinie, die es Amazon Forecast ermöglicht, auf Amazon S3 zuzugreifen (AWS CLI)

  1. Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität, die die Rolle für Sie übernehmen kann:

    aws iam create-role \
 --role-name ForecastRole \
 --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}'

    Dieser Befehl geht davon aus, dass das AWS Standardkonfigurationsprofil für ein von Amazon Forecast AWS-Region unterstütztes Ziel ist. Wenn Sie ein anderes Profil (z. B. aws-forecast) für ein konfiguriert haben, AWS-Region das von Amazon Forecast nicht unterstützt wird, müssen Sie diese Konfiguration explizit angeben, indem Sie den profile Parameter in den Befehl aufnehmen, z. B. --profile aws-forecast. Weitere Informationen zum Einrichten eines AWS CLI-Konfigurationsprofils finden Sie im AWS CLI-Befehl configure.

    Wenn der Befehl die Rolle erstellt hat, gibt er sie als Ausgabe zurück, die in etwa wie folgt aussieht:

    {
    "Role": {
        "Path": "/",
        "RoleName": "ForecastRole",
        "RoleId": your-role-ID,
        "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
        "CreateDate": "creation-date",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "forecast.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {
                        "StringEquals": {
                            "aws:SourceAccount": "your-acct-ID"
                        },
                        "ArnLike": {
                            "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
                        }
                    }
                }
            ]
        }
    }
}

    Notieren Sie sich den Rollen-ARN. Sie benötigen ihn, um ein Dataset zum Schulen eines Amazon Forecast-Predictors zu importieren.

  2. Erstellen Sie eine IAM-Richtlinie mit Berechtigungen zum Auflisten, Lesen und Schreiben von Daten in Amazon S3 und fügen Sie sie an die IAM-Rolle an, die Sie in Schritt 1 erstellt haben:

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'

  3. [OPTIONAL] Wenn Sie einen KMS-Schlüssel zum Aktivieren der Verschlüsselung verwenden, fügen Sie den KMS-Schlüssel und den ARN an:

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastKMSAccessPolicy \
  --policy-document ‘{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
         ],
         "Resource":[
         "arn:aws:kms:region:account-id:key/KMS-key-id"
         ]
      }
   ]
}’

Serviceübergreifende Confused-Deputy-Prävention

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Berechtigungen zwingen kann, die Aktion auszuführen. In AWS kann der serviceübergreifende Identitätswechsel zu Confused-Deputy-Problem führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der aufrufende Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, so dass er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen, die aws:SourceAccount globalen Bedingungskontextschlüssel aws:SourceArn und in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Identity and Access Management (IAM) Amazon Forecast Zugriff auf Ihre Ressourcen gewährt. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der aws:SourceAccount Wert und das Konto im aws:SourceArn Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.