Amazon Forecast non è più disponibile per i nuovi clienti. I clienti esistenti di Amazon Forecast possono continuare a utilizzare il servizio normalmente. Scopri di più»
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Impostazione delle autorizzazioni per Amazon Forecast
Amazon Forecast utilizza Amazon Simple Storage Service (Amazon S3) per archiviare i dati delle serie temporali target utilizzati per addestrare i predittori in grado di generare previsioni. Per accedere ad Amazon S3 per tuo conto, Amazon Forecast necessita della tua autorizzazione.
Per concedere ad Amazon Forecast l'autorizzazione a utilizzare Amazon S3 per tuo conto, devi avere un ruolo AWS Identity and Access Management (IAM) e una policy IAM nel tuo account. La policy IAM specifica le autorizzazioni richieste e deve essere associata al ruolo IAM.
Per creare il ruolo e la policy IAM e collegare la policy al ruolo, puoi utilizzare la console IAM o il AWS Command Line Interface ()AWS CLI.
Nota
Forecast non comunica con Amazon Virtual Private Cloud e non è in grado di supportare il gateway Amazon S3 VPCE. L'utilizzo di bucket S3 che consentono solo l'accesso al VPC genererà un errore. AccessDenied
Argomenti
Crea un ruolo IAM per Amazon Forecast (console IAM)
Puoi utilizzare la console AWS IAM per effettuare le seguenti operazioni:
-
Crea un ruolo IAM con Amazon Forecast come entità affidabile
-
Crea una policy IAM con autorizzazioni che consenta ad Amazon Forecast di mostrare, leggere e scrivere dati in un bucket Amazon S3
-
Collega la policy IAM al ruolo IAM
Creare un ruolo e una policy IAM che consentano ad Amazon Forecast di accedere ad Amazon S3 (console IAM)
-
Accedere alla console IAM (https://console.aws.amazon.com/iam
). -
Scegliere Policies (Policy) ed eseguire la procedura seguente per creare la policy richiesta:
-
Fai clic su Crea policy.
-
Nella pagina Create policy (Crea policy), nell'editor di policy, scegliere la scheda JSON.
-
Copiare la policy seguente e sostituire il testo nell'editor incollando questa policy. Assicurarsi di sostituire
con il nome del bucket S3, quindi scegliere Review policy (Rivedi policy).bucket-name
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::
bucket-name
", "arn:aws:s3:::bucket-name
/*" ] } ] }Fai clic su Avanti: Tag
-
Facoltativamente, puoi assegnare tag a questa politica. Fare clic su Successivo: Rivedi.
-
In Review policy (Rivedi policy), per Name (Nome), immettere un nome per la policy. Ad esempio,
AWSS3BucketAccess
. Facoltativamente, fornire una descrizione per questa policy, quindi scegliere Create policy (Crea policy).
-
-
Nel riquadro di navigazione, seleziona Ruoli. Quindi procedi come segue per creare il ruolo IAM:
-
Scegli Crea ruolo.
-
Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.
Per Use case, seleziona Forecast dalla sezione Casi d'uso comuni o dall'elenco a Servizi AWS discesa Casi d'uso per altri. Se non riesci a trovare Forecast, scegli EC2.
Fai clic su Next (Successivo).
-
Nella sezione Aggiungi autorizzazioni, fai clic su Avanti.
-
Nella sezione Nome, rivedi e crea, in Nome ruolo, inserisci un nome per il ruolo (ad esempio,
ForecastRole
). Aggiornare la descrizione del ruolo in Role description (Descrizione ruolo), quindi scegliere Create role (Crea ruolo). -
Ora dovresti tornare alla pagina Ruoli. Scegliere il nuovo ruolo per aprire la relativa pagina dei dettagli.
-
In Summary (Riepilogo), copiare il valore Role ARN (ARN del ruolo) e salvarlo. Questo è necessario per importare un set di dati in Amazon Forecast.
-
Se Amazon Forecast non è stato scelto come servizio che utilizzerà questo ruolo, scegliere Trust relationships (Relazioni di trust), quindi selezionare Edit trust relationship (Modifica relazione di trust) per aggiornare la policy di attendibilità come segue.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region
:account-id
:*" } } } ] } -
[OPZIONALE] Quando usi una chiave KMS per abilitare la crittografia, collega la chiave KMS e l'ARN:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ForecastKMS", "Effect": "Allow", "Action": "kms:*", "Resource": "arn:aws:kms:
region
:account-id
:key/KMS-key-id
" } ] }
-
Crea un ruolo IAM per Amazon Forecast (AWS CLI)
Puoi usare AWS CLI per effettuare quanto segue:
-
Crea un ruolo IAM con Amazon Forecast come entità affidabile
-
Crea una policy IAM con autorizzazioni che consenta ad Amazon Forecast di mostrare, leggere e scrivere dati in un bucket Amazon S3
-
Collega la policy IAM al ruolo IAM
Creare un ruolo e una policy IAM che consentano ad Amazon Forecast di accedere ad Amazon S3 () AWS CLI
-
Crea un ruolo IAM con Amazon Forecast come entità affidabile che può assumere il ruolo per te:
aws iam create-role \ --role-name
ForecastRole
\ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region
:account-id
:*" } } } ] }'Questo comando presuppone che il profilo di AWS configurazione predefinito sia destinato a un utente Regione AWS supportato da Amazon Forecast. Se hai configurato un altro profilo (ad esempio,
aws-forecast
) per indirizzare un utente Regione AWS che non è supportato da Amazon Forecast, devi specificare esplicitamente tale configurazione includendo ilprofile
parametro nel comando,--profile aws-forecast
ad esempio. Per ulteriori informazioni sulla configurazione di un profilo di AWS CLI configurazione, consulta il comando AWS CLI configure.Se il comando crea correttamente il ruolo, lo restituisce come un output il cui aspetto è simile al seguente:
{ "Role": { "Path": "/", "RoleName": "ForecastRole", "RoleId":
your-role-ID
, "Arn": "arn:aws:iam::your-acct-ID
:role/ForecastRole", "CreateDate": "creation-date
", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "forecast.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-acct-ID
" }, "ArnLike": { "aws:SourceArn": "arn:aws:forecast:region
:your-acct-ID
:*" } } } ] } } }Registrare l'ARN del ruolo, perché sarà richiesto quando si importa un set di dati per eseguire il training del predittore Amazon Forecast.
-
Crea una policy IAM con le autorizzazioni per elencare, leggere e scrivere dati in Amazon S3 e collegala al ruolo IAM che hai creato nella fase 1:
aws iam put-role-policy \ --role-name
ForecastRole
\ --policy-nameForecastBucketAccessPolicy
\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name
", "arn:aws:s3:::bucket-name
/*" ] } ] }' -
[OPZIONALE] Quando usi una chiave KMS per abilitare la crittografia, collega la chiave KMS e l'ARN:
aws iam put-role-policy \ --role-name
ForecastRole
\ --policy-nameForecastBucketAccessPolicy
\ --policy-document '{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource":[ "arn:aws:s3:::bucket-name
", "arn:aws:s3:::bucket-name
/*" ] } ] }'aws iam put-role-policy \ --role-nameForecastRole
\ --policy-nameForecastKMSAccessPolicy
\ --policy-document ‘{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource":[ "arn:aws:kms:region
:account-id
:key/KMS-key-id
" ] } ] }’
Prevenzione del problema "confused deputy" tra servizi
Il problema del vicesceriffo confuso è un problema di sicurezza in cui un'entità che non ha il permesso di eseguire un'azione può costringere un'entità con più privilegi a eseguire l'azione. In AWS, la rappresentazione tra servizi può determinare un problema "confused deputy". La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio di chiamata può essere manipolato in modo da utilizzare le sue autorizzazioni per agire sulle risorse di un altro cliente in un modo a cui altrimenti non dovrebbe avere l'autorizzazione di accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.
Ti consigliamo di utilizzare le chiavi di contesto aws:SourceArn
e la condizione aws:SourceAccount
globale nelle politiche delle risorse per limitare le autorizzazioni che Identity and Access Management (IAM) concede ad Amazon Forecast per l'accesso alle tue risorse. Se utilizzi entrambe le chiavi di contesto della condizione globale, il aws:SourceAccount
valore e l'account nel aws:SourceArn
valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.