Amazon Forecast tidak lagi tersedia untuk pelanggan baru. Pelanggan Amazon Forecast yang ada dapat terus menggunakan layanan seperti biasa. [Pelajari lebih lanjut”](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengatur Izin untuk Amazon Forecast
Amazon Forecast menggunakan Amazon Simple Storage Service (Amazon S3) untuk menyimpan data deret waktu target yang digunakan untuk melatih prediktor yang dapat menghasilkan perkiraan. Untuk mengakses Amazon S3 atas nama Anda, Amazon Forecast memerlukan izin Anda.
Untuk memberikan izin Amazon Forecast untuk menggunakan Amazon S3 atas nama Anda, Anda harus memiliki peran AWS Identity and Access Management (IAM) dan kebijakan IAM di akun Anda. Kebijakan IAM menentukan izin yang diperlukan, dan harus dilampirkan ke peran IAM.
Untuk membuat peran dan kebijakan IAM dan melampirkan kebijakan ke peran, Anda dapat menggunakan konsol IAM atau AWS Command Line Interface ()AWS CLI.
**catatan**
Forecast tidak berkomunikasi dengan Amazon Virtual Private Cloud dan tidak dapat mendukung gateway Amazon S3 VPCE. Menggunakan bucket S3 yang hanya mengizinkan akses VPC akan mengakibatkan kesalahan. `AccessDenied`
**Topics**
+ [Membuat Peran IAM untuk Amazon Forecast (IAM Console)](#aws-forecast-create-iam-role-with-console)
+ [Buat Peran IAM untuk Amazon Forecast ()AWS CLI](#aws-forecast-create-iam-role-with-cli)
+ [Pencegahan "confused deputy" lintas layanan](#aws-forecast-confused-deputy)
## Membuat Peran IAM untuk Amazon Forecast (IAM Console)
Anda dapat menggunakan konsol AWS IAM untuk melakukan hal berikut:
+ Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya
+ Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3
+ Lampirkan kebijakan IAM ke peran IAM
**Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon S3 (konsol IAM)**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)).
1. Pilih **Kebijakan** dan lakukan hal berikut untuk membuat kebijakan yang diperlukan:
1. Klik **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, di editor kebijakan, pilih tab **JSON**.
1. Salin kebijakan berikut dan ganti teks di editor dengan menempelkan kebijakan ini di atasnya. Pastikan untuk mengganti `bucket-name` dengan nama bucket S3 Anda, lalu pilih **Kebijakan tinjau**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Klik **Berikutnya: Tag**
1. Secara opsional, Anda dapat menetapkan tag ke kebijakan ini. Klik **Berikutnya: Tinjau**.
1. Dalam **kebijakan Tinjauan**, untuk **Nama**, masukkan nama untuk kebijakan tersebut. Misalnya, `AWSS3BucketAccess`. Secara opsional, berikan deskripsi untuk kebijakan ini, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**. Kemudian lakukan hal berikut untuk membuat peran IAM:
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.
Untuk **kasus Penggunaan**, pilih **Forecast** dari bagian **Kasus penggunaan umum** atau daftar Layanan AWS drop-down **Kasus penggunaan lainnya**. Jika Anda tidak dapat menemukan **Forecast**, pilih **EC2**.
Klik **Berikutnya**.
1. Di bagian **Tambahkan izin**, klik **Berikutnya**.
1. Di bagian **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran tersebut (misalnya,`ForecastRole`). Perbarui deskripsi untuk peran dalam **Deskripsi peran**, lalu pilih **Buat peran**.
1. Anda sekarang harus kembali ke halaman **Peran**. Pilih peran baru untuk membuka halaman detail peran.
1. Dalam **Ringkasan**, salin nilai **ARN Peran** dan simpan. Anda membutuhkannya untuk mengimpor dataset ke Amazon Forecast.
1. Jika Anda tidak memilih **Amazon Forecast** sebagai layanan yang akan menggunakan peran ini, pilih **Hubungan kepercayaan**, lalu pilih **Edit hubungan kepercayaan** untuk memperbarui kebijakan kepercayaan sebagai berikut.
1. **[OPSIONAL]** Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:
## Buat Peran IAM untuk Amazon Forecast ()AWS CLI
Anda dapat menggunakan AWS CLI untuk melakukan hal berikut:
+ Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya
+ Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3
+ Lampirkan kebijakan IAM ke peran IAM
**Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon AWS CLI S3 ()**
1. Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya yang dapat mengambil peran untuk Anda:
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Perintah ini mengasumsikan bahwa profil AWS konfigurasi default ditargetkan untuk Wilayah AWS didukung oleh Amazon Forecast. Jika Anda telah mengonfigurasi profil lain (misalnya,`aws-forecast`) untuk menargetkan profil Wilayah AWS yang tidak didukung oleh Amazon Forecast, Anda harus secara eksplisit menentukan konfigurasi tersebut dengan menyertakan `profile` parameter dalam perintah, misalnya,. `--profile aws-forecast` Untuk informasi selengkapnya tentang pengaturan profil AWS CLI konfigurasi, lihat perintah AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Jika perintah berhasil membuat peran, ia mengembalikannya sebagai output, yang akan terlihat mirip dengan berikut ini:
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Rekam ARN peran. Anda membutuhkannya saat mengimpor dataset untuk melatih prediktor Amazon Forecast.
1. Buat kebijakan IAM dengan izin untuk membuat daftar, membaca, dan menulis data di Amazon S3, lalu lampirkan ke peran IAM yang Anda buat di Langkah 1:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[OPSIONAL]** Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Pencegahan "confused deputy" lintas layanan
Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Identity and Access Management (IAM) kepada Amazon Forecast akses ke sumber daya Anda. Jika Anda menggunakan kedua kunci konteks kondisi global, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan id akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.