Amazon Forecast n'est plus disponible pour les nouveaux clients. Les clients existants d'Amazon Forecast peuvent continuer à utiliser le service normalement. [En savoir plus »](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d'autorisations pour Amazon Forecast
Amazon Forecast utilise Amazon Simple Storage Service (Amazon S3) pour stocker les séries chronologiques cibles utilisées pour former des prédicteurs capables de générer des prévisions. Pour accéder à Amazon S3 en votre nom, Amazon Forecast a besoin de votre autorisation.
Pour autoriser Amazon Forecast à utiliser Amazon S3 en votre nom, vous devez disposer d'un rôle Gestion des identités et des accès AWS (IAM) et d'une politique IAM dans votre compte. La politique IAM spécifie les autorisations requises et doit être attachée au rôle IAM.
Pour créer le rôle et la stratégie IAM et pour associer la stratégie au rôle, vous pouvez utiliser la console IAM ou le AWS Command Line Interface ()AWS CLI.
**Note**
Forecast ne communique pas avec Amazon Virtual Private Cloud et n'est pas en mesure de prendre en charge la passerelle Amazon S3 VPCE. L'utilisation de compartiments S3 qui autorisent uniquement l'accès aux VPC provoquera une erreur. `AccessDenied`
**Topics**
+ [Création d'un rôle IAM pour Amazon Forecast (console IAM)](#aws-forecast-create-iam-role-with-console)
+ [Création d'un rôle IAM pour Amazon Forecast ()AWS CLI](#aws-forecast-create-iam-role-with-cli)
+ [Prévention du problème de l’adjoint confus entre services](#aws-forecast-confused-deputy)
## Création d'un rôle IAM pour Amazon Forecast (console IAM)
Vous pouvez utiliser la console AWS IAM pour effectuer les opérations suivantes :
+ Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance
+ Créez une politique IAM avec des autorisations qui permettent à Amazon Forecast d'afficher, de lire et d'écrire des données dans un compartiment Amazon S3
+ Associer la politique IAM au rôle IAM
**Pour créer un rôle et une politique IAM permettant à Amazon Forecast d'accéder à Amazon S3 (console IAM)**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)).
1. Choisissez **Policies (Stratégies)** puis effectuez les opérations suivantes pour créer la stratégie requise :
1. Cliquez sur **Create Policy (Créer une politique)**.
1. Sur la page **Créer une stratégie**, sélectionnez l'onglet **JSON** dans l'éditeur de stratégie.
1. Copiez la stratégie suivante et remplacer le texte dans l'éditeur en y collant cette stratégie. Assurez-vous de remplacer `bucket-name` par le nom de votre compartiment S3, puis choisissez **Review policy (Examiner une stratégie)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Cliquez sur **Suivant : Tags**
1. Vous pouvez éventuellement attribuer des balises à cette politique. Cliquez sur **Next: Review (Suivant : Vérification)**.
1. Dans **Review policy (Examiner une stratégie)**, pour **Nom**, saisissez un nom pour la stratégie. Par exemple, `AWSS3BucketAccess`. Indiquez éventuellement une description pour cette stratégie, puis choisissez **Créer une stratégie**.
1. Dans le panneau de navigation, choisissez **Rôles**. Procédez ensuite comme suit pour créer le rôle IAM :
1. Choisissez **Créer un rôle**.
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
Pour **Use case**, sélectionnez **Forecast** dans la section **Cas d'utilisation courants** ou dans la liste Services AWS déroulante **Use cases for other**. Si vous ne trouvez pas **Forecast**, choisissez **EC2.**
Cliquez sur **Suivant**.
1. Dans la section **Ajouter des autorisations**, cliquez sur **Suivant**.
1. Dans la section **Nom, révision et création**, pour **Nom du rôle**, entrez le nom du rôle (par exemple,`ForecastRole`). Mettez à jour la description du rôle dans **Description du rôle**, puis choisissez **Create role (Créer un rôle)**.
1. Vous devriez maintenant être de retour sur la page **des rôles**. Choisissez le nouveau rôle pour ouvrir la page des détails du rôle.
1. Dans le **Summary (Récapitulatif)**, copiez la valeur de l'**ARN de rôle** et enregistrez-la. Vous devez importer un ensemble de données dans Amazon Forecast.
1. Si vous n'avez pas choisi **Amazon Forecast** comme le service qui utilisera ce rôle, choisissez **Relations d'approbation**, puis choisissez **Modifier la relation d'approbation** pour mettre à jour la stratégie d'approbation comme suit.
1. **[FACULTATIF]** Lorsque vous utilisez une clé KMS pour activer le chiffrement, attachez la clé KMS et l'ARN :
## Création d'un rôle IAM pour Amazon Forecast ()AWS CLI
Vous pouvez utiliser le AWS CLI pour effectuer les opérations suivantes :
+ Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance
+ Créez une politique IAM avec des autorisations qui permettent à Amazon Forecast d'afficher, de lire et d'écrire des données dans un compartiment Amazon S3
+ Associer la politique IAM au rôle IAM
**Pour créer un rôle et une politique IAM permettant à Amazon Forecast d'accéder à Amazon S3 ()AWS CLI**
1. Créez un rôle IAM avec Amazon Forecast en tant qu'entité de confiance qui peut assumer le rôle à votre place :
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Cette commande suppose que le profil de AWS configuration par défaut est destiné à un profil Région AWS pris en charge par Amazon Forecast. Si vous avez configuré un autre profil (par exemple,`aws-forecast`) pour cibler un profil Région AWS qui n'est pas pris en charge par Amazon Forecast, vous devez spécifier explicitement cette configuration en incluant le `profile` paramètre dans la commande, par exemple,`--profile aws-forecast`. Pour plus d'informations sur la AWS CLI configuration d'un profil de configuration, consultez la commande AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Si la commande crée le rôle avec succès, elle le renvoie en sortie, qui doit être similaire à ce qui suit :
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Enregistrer l'ARN du rôle. Vous en aurez besoin lorsque vous importerez un ensemble de données pour former un prédicteur Amazon Forecast.
1. Créez une politique IAM avec des autorisations pour répertorier, lire et écrire des données dans Amazon S3, et associez-la au rôle IAM que vous avez créé à l'étape 1 :
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[FACULTATIF]** Lorsque vous utilisez une clé KMS pour activer le chiffrement, attachez la clé KMS et l'ARN :
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés contextuelles de condition `aws:SourceAccount` globale `aws:SourceArn` et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations accordées par Identity and Access Management (IAM) à Amazon Forecast pour accéder à vos ressources. Si vous utilisez les deux clés contextuelles de condition globale, la `aws:SourceAccount` valeur et le compte figurant dans la `aws:SourceArn` valeur doivent utiliser le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique.