Mengatur Izin untuk Amazon Forecast - Amazon Forecast
Membuat Peran IAM untuk Amazon Forecast (IAM Console)Buat Peran IAM untuk Amazon Forecast () AWS CLIPencegahan confused deputy lintas layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur Izin untuk Amazon Forecast

Amazon Forecast menggunakan Amazon Simple Storage Service (Amazon S3) untuk menyimpan data deret waktu target yang digunakan untuk melatih prediktor yang dapat menghasilkan perkiraan. Untuk mengakses Amazon S3 atas nama Anda, Amazon Forecast memerlukan izin Anda.

Untuk memberikan izin Amazon Forecast untuk menggunakan Amazon S3 atas nama Anda, Anda harus memiliki peran AWS Identity and Access Management (IAM) dan kebijakan IAM di akun Anda. Kebijakan IAM menentukan izin yang diperlukan, dan harus dilampirkan ke peran IAM.

Untuk membuat peran dan kebijakan IAM dan melampirkan kebijakan ke peran, Anda dapat menggunakan konsol IAM atau AWS Command Line Interface ()AWS CLI.

catatan

Forecast tidak berkomunikasi dengan Amazon Virtual Private Cloud dan tidak dapat mendukung gateway Amazon S3 VPCE. Menggunakan bucket S3 yang hanya mengizinkan akses VPC akan mengakibatkan kesalahan. AccessDenied

Membuat Peran IAM untuk Amazon Forecast (IAM Console)

Anda dapat menggunakan konsol AWS IAM untuk melakukan hal berikut:

  • Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya

  • Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3

  • Lampirkan kebijakan IAM ke peran IAM

Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon S3 (konsol IAM)

  1. Masuk ke konsol IAM (https://console.aws.amazon.com/iam).

  2. Pilih Kebijakan dan lakukan hal berikut untuk membuat kebijakan yang diperlukan:

    1. Klik Buat kebijakan.

    2. Pada halaman Buat kebijakan, di editor kebijakan, pilih tab JSON.

    3. Salin kebijakan berikut dan ganti teks di editor dengan menempelkan kebijakan ini di atasnya. Pastikan untuk mengganti bucket-name dengan nama bucket S3 Anda, lalu pilih Kebijakan tinjau.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}

      Klik Berikutnya: Tag

    4. Secara opsional, Anda dapat menetapkan tag ke kebijakan ini. Klik Berikutnya: Tinjau.

    5. Dalam Kebijakan peninjauan, untuk Nama, masukkan nama untuk kebijakan tersebut. Misalnya, AWSS3BucketAccess. Secara opsional, berikan deskripsi untuk kebijakan ini, lalu pilih Buat kebijakan.

  3. Di panel navigasi, silakan pilih Peran. Kemudian lakukan hal berikut untuk membuat peran IAM:

    1. Pilih Buat peran.

    2. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

      Untuk kasus Penggunaan, pilih Forecast dari bagian Kasus penggunaan umum atau daftar Layanan AWS drop-down Kasus penggunaan lainnya. Jika Anda tidak dapat menemukan Forecast, pilih EC2.

      Klik Berikutnya.

    3. Di bagian Tambahkan izin, klik Berikutnya.

    4. Di bagian Nama, tinjau, dan buat, untuk nama Peran, masukkan nama untuk peran tersebut (misalnya,ForecastRole). Perbarui deskripsi untuk peran dalam Deskripsi peran, lalu pilih Buat peran.

    5. Anda sekarang harus kembali ke halaman Peran. Pilih peran baru untuk membuka halaman detail peran.

    6. Dalam Ringkasan, salin nilai ARN Peran dan simpan. Anda membutuhkannya untuk mengimpor dataset ke Amazon Forecast.

    7. Jika Anda tidak memilih Amazon Forecast sebagai layanan yang akan menggunakan peran ini, pilih Hubungan kepercayaan, lalu pilih Edit hubungan kepercayaan untuk memperbarui kebijakan kepercayaan sebagai berikut. 

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}

    8. [OPSIONAL] Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ForecastKMS",
            "Effect": "Allow",
            "Action": "kms:*",
            "Resource": "arn:aws:kms:region:account-id:key/KMS-key-id"
        }
    ]
}

Buat Peran IAM untuk Amazon Forecast () AWS CLI

Anda dapat menggunakan AWS CLI untuk melakukan hal berikut:

  • Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya

  • Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3

  • Lampirkan kebijakan IAM ke peran IAM

Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon AWS CLI S3 ()

  1. Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya yang dapat mengambil peran untuk Anda:

    aws iam create-role \
 --role-name ForecastRole \
 --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "forecast.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:forecast:region:account-id:*"
        }
      }
    }
  ]
}'

    Perintah ini mengasumsikan bahwa profil AWS konfigurasi default ditargetkan untuk Wilayah AWS didukung oleh Amazon Forecast. Jika Anda telah mengonfigurasi profil lain (misalnya,aws-forecast) untuk menargetkan profil Wilayah AWS yang tidak didukung oleh Amazon Forecast, Anda harus secara eksplisit menentukan konfigurasi tersebut dengan menyertakan profile parameter dalam perintah, misalnya,. --profile aws-forecast Untuk informasi selengkapnya tentang pengaturan profil AWS CLI konfigurasi, lihat perintah AWS CLI configure.

    Jika perintah berhasil membuat peran, ia mengembalikannya sebagai output, yang akan terlihat mirip dengan berikut ini:

    {
    "Role": {
        "Path": "/",
        "RoleName": "ForecastRole",
        "RoleId": your-role-ID,
        "Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
        "CreateDate": "creation-date",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "forecast.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {
                        "StringEquals": {
                            "aws:SourceAccount": "your-acct-ID"
                        },
                        "ArnLike": {
                            "aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
                        }
                    }
                }
            ]
        }
    }
}

    Rekam ARN peran. Anda membutuhkannya saat mengimpor dataset untuk melatih prediktor Amazon Forecast.

  2. Buat kebijakan IAM dengan izin untuk membuat daftar, membaca, dan menulis data di Amazon S3, lalu lampirkan ke peran IAM yang Anda buat di Langkah 1:

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'

  3. [OPSIONAL] Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:

    aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastBucketAccessPolicy \
  --policy-document '{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:Get*",
            "s3:List*",
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name", 
            "arn:aws:s3:::bucket-name/*" 
         ]
      }
   ]
}'aws iam put-role-policy \
  --role-name ForecastRole \
  --policy-name ForecastKMSAccessPolicy \
  --policy-document ‘{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
         ],
         "Resource":[
         "arn:aws:kms:region:account-id:key/KMS-key-id"
         ]
      }
   ]
}’

Pencegahan confused deputy lintas layanan

Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Di AWS, peniruan identitas lintas layanan dapat mengakibatkan masalah confused deputy. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan pemanggil) memanggil layanan lain (layanan yang dipanggil). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan pengguna utama layanan yang telah diberi akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Identity and Access Management (IAM) kepada Amazon Forecast akses ke sumber daya Anda. Jika Anda menggunakan kedua kunci konteks kondisi global, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menggunakan id akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.