Configuration d'autorisations pour Amazon Forecast - Amazon Forecast
Création d'un rôle IAM pour Amazon Forecast (console IAM)Création d'un rôle IAM pour Amazon Forecast () AWS CLIPrévention du problème de l’adjoint confus entre services

Amazon Forecast n'est plus disponible pour les nouveaux clients. Les clients existants d'Amazon Forecast peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'autorisations pour Amazon Forecast

Amazon Forecast utilise Amazon Simple Storage Service (Amazon S3) pour stocker les séries chronologiques cibles utilisées pour former des prédicteurs capables de générer des prévisions. Pour accéder à Amazon S3 en votre nom, Amazon Forecast a besoin de votre autorisation.

Pour autoriser Amazon Forecast à utiliser Amazon S3 en votre nom, vous devez disposer d'un rôle AWS Identity and Access Management (IAM) et d'une politique IAM dans votre compte. La politique IAM spécifie les autorisations requises et doit être attachée au rôle IAM.

Pour créer le rôle et la stratégie IAM et pour associer la stratégie au rôle, vous pouvez utiliser la console IAM ou le AWS Command Line Interface ()AWS CLI.

Note

Forecast ne communique pas avec Amazon Virtual Private Cloud et n'est pas en mesure de prendre en charge la passerelle Amazon S3 VPCE. L'utilisation de compartiments S3 qui autorisent uniquement l'accès aux VPC provoquera une erreur. AccessDenied

Création d'un rôle IAM pour Amazon Forecast (console IAM)

Vous pouvez utiliser la console AWS IAM pour effectuer les opérations suivantes :

  • Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance

  • Créez une politique IAM avec des autorisations qui permettent à Amazon Forecast d'afficher, de lire et d'écrire des données dans un compartiment Amazon S3

  • Associer la politique IAM au rôle IAM

Pour créer un rôle et une politique IAM permettant à Amazon Forecast d'accéder à Amazon S3 (console IAM)

  1. Connectez-vous à la console IAM (https://console.aws.amazon.com/iam).

  2. Choisissez Policies (Stratégies) puis effectuez les opérations suivantes pour créer la stratégie requise :

    1. Cliquez sur Create Policy (Créer une politique).

    2. Sur la page Créer une stratégie, sélectionnez l'onglet JSON dans l'éditeur de stratégie.

    3. Copiez la stratégie suivante et remplacer le texte dans l'éditeur en y collant cette stratégie. Assurez-vous de remplacer bucket-name par le nom de votre compartiment S3, puis choisissez Review policy (Examiner une stratégie).

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}

      Cliquez sur Suivant : Tags

    4. Vous pouvez éventuellement attribuer des balises à cette politique. Cliquez sur Next: Review (Suivant : Vérification).

    5. Dans Review policy (Examiner une stratégie), pour Nom, saisissez un nom pour la stratégie. Par exemple, AWSS3BucketAccess. Indiquez éventuellement une description pour cette stratégie, puis choisissez Créer une stratégie.

  3. Dans le panneau de navigation, choisissez Roles (Rôles). Procédez ensuite comme suit pour créer le rôle IAM :

    1. Sélectionnez Créer un rôle.

    2. Pour Trusted entity (Entité de confiance), choisissez AWS service.

      Pour Use case, sélectionnez Forecast dans la section Cas d'utilisation courants ou dans la liste AWS services déroulante Use cases for other. Si vous ne trouvez pas Forecast, choisissez EC2.

      Cliquez sur Next (Suivant).

    3. Dans la section Ajouter des autorisations, cliquez sur Suivant.

    4. Dans la section Nom, révision et création, pour Nom du rôle, entrez le nom du rôle (par exemple,ForecastRole). Mettez à jour la description du rôle dans Description du rôle, puis choisissez Create role (Créer un rôle).

    5. Vous devriez maintenant être de retour sur la page des rôles. Choisissez le nouveau rôle pour ouvrir la page des détails du rôle.

    6. Dans le Summary (Récapitulatif), copiez la valeur de l'ARN de rôle et enregistrez-la. Vous devez importer un ensemble de données dans Amazon Forecast.

    7. Si vous n'avez pas choisi Amazon Forecast comme le service qui utilisera ce rôle, choisissez Relations d'approbation, puis choisissez Modifier la relation d'approbation pour mettre à jour la stratégie d'approbation comme suit. 

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}

    8. [FACULTATIF] Lorsque vous utilisez une clé KMS pour activer le chiffrement, attachez la clé KMS et l'ARN :

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ForecastKMS",
            "Effect": "Allow",
            "Action": "kms:*",
            "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id"
        }
    ]
}

Création d'un rôle IAM pour Amazon Forecast () AWS CLI

Vous pouvez utiliser l'AWS CLI pour effectuer les opérations suivantes :

  • Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance

  • Créez une politique IAM avec des autorisations qui permettent à Amazon Forecast d'afficher, de lire et d'écrire des données dans un compartiment Amazon S3

  • Associer la politique IAM au rôle IAM

Pour créer un rôle et une politique IAM permettant à Amazon Forecast d'accéder à Amazon S3 () AWS CLI

  1. Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance qui peut assumer le rôle à votre place :

    aws iam create-role \
 --role-name ForecastRole \
 --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}'

    Cette commande suppose que le profil de AWS configuration par défaut est destiné à un profil Région AWS pris en charge par Amazon Forecast. Si vous avez configuré un autre profil (par exemple,aws-forecast) pour cibler un profil Région AWS qui n'est pas pris en charge par Amazon Forecast, vous devez spécifier explicitement cette configuration en incluant le profile paramètre dans la commande, par exemple,--profile aws-forecast. Pour plus d'informations sur la configuration d'un profil d'AWS CLI, consultez la commande AWS CLI configurer.

    Si la commande crée le rôle avec succès, elle le renvoie en sortie, qui doit être similaire à ce qui suit :

    {
    "Role": {
        "Path": "/",
        "RoleName": "ForecastRole",
        "RoleId": your-role-ID,
        "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
        "CreateDate": "creation-date",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "forecast.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {
                        "StringEquals": {
                            "aws:SourceAccount": "your-acct-ID"
                        },
                        "ArnLike": {
                            "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
                        }
                    }
                }
            ]
        }
    }
}

    Enregistrer l'ARN du rôle. Vous en aurez besoin lorsque vous importerez un ensemble de données pour former un prédicteur Amazon Forecast.

  2. Créez une politique IAM avec des autorisations pour répertorier, lire et écrire des données dans Amazon S3, et associez-la au rôle IAM que vous avez créé à l'étape 1 :

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'

  3. [FACULTATIF] Lorsque vous utilisez une clé KMS pour activer le chiffrement, attachez la clé KMS et l'ARN :

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastKMSAccessPolicy \
  --policy-document ‘{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
         ],
         "Resource":[
         "arn:aws:kms:region:account-id:key/KMS-key-id"
         ]
      }
   ]
}’

Prévention du problème de l’adjoint confus entre services

Le problème des adjoints confus est un problème de sécurité dans lequel une entité qui n'est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à effectuer l'action. Dans AWS, l’emprunt d’identité entre services peut entraîner le problème de l’adjoint désorienté. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service d'appel peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client d'une manière à laquelle il ne devrait pas être autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés contextuelles de condition aws:SourceAccount globale aws:SourceArn et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations accordées par Identity and Access Management (IAM) à Amazon Forecast pour accéder à vos ressources. Si vous utilisez les deux clés contextuelles de condition globale, la aws:SourceAccount valeur et le compte figurant dans la aws:SourceArn valeur doivent utiliser le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique.