Amazon Forecast ist für Neukunden nicht mehr verfügbar. Bestehende Kunden von Amazon Forecast können den Service weiterhin wie gewohnt nutzen. [Erfahren Sie mehr“](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten
Bevor Sie Amazon Forecast zur Auswertung oder Prognose von Zeitreihendaten verwenden, erstellen Sie eine AWS-Konto, konfigurieren Sie die Zugriffsberechtigungen und richten Sie die AWS Command Line Interface (AWS CLI) ein.
**Topics**
+ [Melden Sie sich an für AWS](aws-forecast-set-up-aws-account.md)
+ [Richten Sie das ein AWS CLI](aws-forecast-set-up-aws-cli.md)
+ [Einrichten von Berechtigungen für Amazon Forecast](aws-forecast-iam-roles.md)
# Melden Sie sich an für AWS
Wenn Sie sich für Amazon Web Services (AWS) registrieren, wird Ihr AWS Konto automatisch für alle Dienste angemeldet AWS, einschließlich Amazon Forecast. Berechnet werden Ihnen aber nur die Services, die Sie nutzen.
# Richten Sie das ein AWS CLI
Das AWS Command Line Interface (AWS CLI) ist ein einheitliches Entwicklertool für die Verwaltung AWS-Services, einschließlich Amazon Forecast. Wir empfehlen Ihnen, es zu installieren und zu verwenden.
1. Folgen Sie zur AWS CLI Installation der den Anweisungen [unter Installation von AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) im *AWS Command Line Interface Benutzerhandbuch*.
1. Folgen Sie den Anweisungen unter Konfiguration von im *AWS Command Line Interface Benutzerhandbuch*, um das zu [konfigurieren AWS CLI und ein Profil für AWS CLI den](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) Aufruf einzurichten.
1. Um zu überprüfen, ob das AWS CLI Profil korrekt konfiguriert ist, führen Sie den folgenden Befehl in einem Befehlsfenster aus:
```
aws configure --profile default
```
Wenn das Profil korrekt konfiguriert wurde, sollte die Ausgabe etwa wie folgt aussehen:
```
AWS Access Key ID [****************52FQ]:
AWS Secret Access Key [****************xgyZ]:
Default region name [us-west-2]:
Default output format [json]:
```
1. Führen Sie die folgenden Befehle aus, um zu überprüfen, ob der für die Verwendung mit Amazon Forecast konfiguriert AWS CLI ist.
```
aws forecast help
```
```
aws forecastquery help
```
Wenn der richtig konfiguriert AWS CLI ist, wird eine Liste der unterstützten AWS CLI Befehle für Amazon Forecast oder Amazon Forecast Query angezeigt.
# Einrichten von Berechtigungen für Amazon Forecast
Amazon Forecast verwendet Amazon Simple Storage Service (Amazon S3), um die Zielzeitreihendaten zu speichern, die zum Trainieren von Prädiktoren verwendet werden, mit denen Prognosen generiert werden können. Um in Ihrem Namen auf Amazon S3 zugreifen zu können, benötigt Amazon Forecast Ihre Zustimmung.
Um Amazon Forecast die Erlaubnis zur Nutzung von Amazon S3 in Ihrem Namen zu erteilen, müssen Sie über eine AWS Identity and Access Management (IAM-) Rolle und eine IAM-Richtlinie in Ihrem Konto verfügen. Die IAM-Richtlinie spezifiziert die erforderlichen Berechtigungen und muss der IAM-Rolle zugeordnet werden.
Um die IAM-Rolle und -Richtlinie zu erstellen und die Richtlinie an die Rolle anzuhängen, können Sie die IAM-Konsole oder die () verwenden. AWS Command Line Interface AWS CLI
**Anmerkung**
Forecast kommuniziert nicht mit Amazon Virtual Private Cloud und kann das Amazon S3 VPCE-Gateway nicht unterstützen. Die Verwendung von S3-Buckets, die nur VPC-Zugriff zulassen, führt zu einem `AccessDenied` Fehler.
**Topics**
+ [Eine IAM-Rolle für Amazon Forecast erstellen (IAM-Konsole)](#aws-forecast-create-iam-role-with-console)
+ [Erstellen Sie eine IAM-Rolle für Amazon Forecast ()AWS CLI](#aws-forecast-create-iam-role-with-cli)
+ [Serviceübergreifende Confused-Deputy-Prävention](#aws-forecast-confused-deputy)
## Eine IAM-Rolle für Amazon Forecast erstellen (IAM-Konsole)
Sie können die AWS IAM-Konsole verwenden, um Folgendes zu tun:
+ Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität
+ Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, die es Amazon Forecast ermöglicht, Daten in einem Amazon S3 S3-Bucket anzuzeigen, zu lesen und zu schreiben
+ Hängen Sie die IAM-Richtlinie an die IAM-Rolle an
**Um eine IAM-Rolle und -Richtlinie zu erstellen, die Amazon Forecast den Zugriff auf Amazon S3 (IAM-Konsole) ermöglichen**
1. [Melden Sie sich bei der IAM-Konsole an (https://console.aws.amazon.com/iam).](https://console.aws.amazon.com/iam)
1. Klicken Sie auf **Policies (Richtlinien)** und gehen Sie wie folgt vor, um die erforderliche Richtlinie zu erstellen:
1. Klicken Sie auf **Richtlinie erstellen**.
1. Gehen Sie auf der Seite **Create policy (Richtlinie erstellen)** im Richtlinien-Editor auf die Registerkarte **JSON**.
1. Kopieren Sie die folgende Richtlinie und ersetzen Sie den Text im Editor durch diese Richtlinie. Ersetzen Sie `bucket-name` durch den Namen Ihres S3-Buckets und klicken Sie auf **Review policy (Richtlinie prüfen)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
**Klicken Sie auf Weiter: Tags**
1. Optional können Sie dieser Richtlinie Tags zuweisen. Klicken Sie auf **Next: Review (Weiter: Prüfen)**.
1. Geben Sie auf der Seite **Review Policy (Richtlinie prüfen)** im Feld **Name (Name)** einen Namen für die Richtlinie ein. Beispiel, `AWSS3BucketAccess`. Geben Sie optional eine Beschreibung für die Richtlinie ein und klicken Sie auf **Create policy (Richtlinie erstellen)**.
1. Wählen Sie im Navigationsbereich **Rollen**. Gehen Sie dann wie folgt vor, um die IAM-Rolle zu erstellen:
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
Wählen Sie unter **Anwendungsfall** entweder im Abschnitt **Allgemeine Anwendungsfälle** oder in der AWS-Services Dropdownliste **Anwendungsfälle für andere** die Option **Forecast** aus. Wenn Sie **Forecast** nicht finden können, wählen Sie **EC2**.
Klicken Sie auf **Weiter**.
1. Klicken **Sie im Abschnitt Berechtigungen hinzufügen** auf **Weiter**.
1. Geben Sie im Abschnitt **Name, Überprüfung und Erstellung** für **Rollenname** einen Namen für die Rolle ein (z. B.`ForecastRole`). Aktualisieren Sie die Beschreibung für die Rolle unter **Role description (Rollenbeschreibung)** und klicken Sie auf **Create role (Rolle erstellen)**.
1. Sie sollten jetzt wieder auf der **Rollenseite** sein. Wählen Sie die neue Rolle aus, um die Detailseite der Rolle zu öffnen.
1. Kopieren Sie unter **Summary (Übersicht)**den **Role ARN (Rollen-ARN)**-Wert und speichern Sie ihn. Sie benötigen ihn, um ein Dataset in Amazon Forecast zu importieren.
1. Wenn Sie als Service für diese Rolle nicht **Amazon Forecast (Amazon Forecast)** ausgewählt haben, klicken Sie auf **Trust relationships (Vertrauensstellungen)** und dann auf **Edit trust relationship (Vertrauensstellung bearbeiten)**, um die Vertrauensrichtlinie wie folgt zu aktualisieren.
1. **[OPTIONAL]** Wenn Sie einen KMS-Schlüssel verwenden, um die Verschlüsselung zu aktivieren, hängen Sie den KMS-Schlüssel und den ARN an:
## Erstellen Sie eine IAM-Rolle für Amazon Forecast ()AWS CLI
Sie können den verwenden AWS CLI , um Folgendes zu tun:
+ Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität
+ Erstellen Sie eine IAM-Richtlinie mit Berechtigungen, die es Amazon Forecast ermöglicht, Daten in einem Amazon S3 S3-Bucket anzuzeigen, zu lesen und zu schreiben
+ Hängen Sie die IAM-Richtlinie an die IAM-Rolle an
**Um eine IAM-Rolle und -Richtlinie zu erstellen, die Amazon Forecast den Zugriff auf Amazon S3 ()AWS CLI ermöglichen**
1. Erstellen Sie eine IAM-Rolle mit Amazon Forecast als vertrauenswürdiger Entität, die die Rolle für Sie übernehmen kann:
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Bei diesem Befehl wird davon ausgegangen, dass das AWS Standardkonfigurationsprofil auf ein von Amazon AWS-Region unterstütztes Forecast ausgerichtet ist. Wenn Sie ein anderes Profil konfiguriert haben (z. B.`aws-forecast`), um auf ein abzuzielen AWS-Region , das von Amazon Forecast nicht unterstützt wird, müssen Sie diese Konfiguration explizit angeben, indem Sie den `profile` Parameter in den Befehl aufnehmen, zum Beispiel`--profile aws-forecast`. Weitere Informationen zum Einrichten eines AWS CLI Konfigurationsprofils finden Sie im Befehl AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Wenn der Befehl die Rolle erstellt hat, gibt er sie als Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Notieren Sie sich den Rollen-ARN. Sie benötigen ihn, um ein Dataset zum Schulen eines Amazon Forecast-Predictors zu importieren.
1. Erstellen Sie eine IAM-Richtlinie mit Berechtigungen zum Auflisten, Lesen und Schreiben von Daten in Amazon S3 und fügen Sie sie der IAM-Rolle hinzu, die Sie in Schritt 1 erstellt haben:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[OPTIONAL]** Wenn Sie einen KMS-Schlüssel verwenden, um die Verschlüsselung zu aktivieren, hängen Sie den KMS-Schlüssel und den ARN an:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In der AWS Tat kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der Aufruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Forecast mit Identity and Access Management (IAM) Zugriff auf Ihre Ressourcen gewährt. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der `aws:SourceAccount` Wert und das Konto im `aws:SourceArn` Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.