Amazon Forecast non è più disponibile per i nuovi clienti. I clienti esistenti di Amazon Forecast possono continuare a utilizzare il servizio normalmente. [Scopri di più»](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Impostazione delle autorizzazioni per Amazon Forecast
Amazon Forecast utilizza Amazon Simple Storage Service (Amazon S3) per archiviare i dati delle serie temporali target utilizzati per addestrare i predittori in grado di generare previsioni. Per accedere ad Amazon S3 per tuo conto, Amazon Forecast necessita della tua autorizzazione.
Per concedere ad Amazon Forecast l'autorizzazione a utilizzare Amazon S3 per tuo conto, devi avere un ruolo AWS Identity and Access Management (IAM) e una policy IAM nel tuo account. La policy IAM specifica le autorizzazioni richieste e deve essere associata al ruolo IAM.
Per creare il ruolo e la policy IAM e collegare la policy al ruolo, puoi utilizzare la console IAM o il AWS Command Line Interface ()AWS CLI.
**Nota**
Forecast non comunica con Amazon Virtual Private Cloud e non è in grado di supportare il gateway Amazon S3 VPCE. L'utilizzo di bucket S3 che consentono solo l'accesso al VPC genererà un errore. `AccessDenied`
**Topics**
+ [Crea un ruolo IAM per Amazon Forecast (console IAM)](#aws-forecast-create-iam-role-with-console)
+ [Crea un ruolo IAM per Amazon Forecast (AWS CLI)](#aws-forecast-create-iam-role-with-cli)
+ [Prevenzione del problema "confused deputy" tra servizi](#aws-forecast-confused-deputy)
## Crea un ruolo IAM per Amazon Forecast (console IAM)
Puoi utilizzare la console AWS IAM per effettuare le seguenti operazioni:
+ Crea un ruolo IAM con Amazon Forecast come entità affidabile
+ Crea una policy IAM con autorizzazioni che consenta ad Amazon Forecast di mostrare, leggere e scrivere dati in un bucket Amazon S3
+ Collega la policy IAM al ruolo IAM
**Creare un ruolo e una policy IAM che consentano ad Amazon Forecast di accedere ad Amazon S3 (console IAM)**
1. Accedi alla console IAM ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)).
1. Scegliere **Policies (Policy)** ed eseguire la procedura seguente per creare la policy richiesta:
1. Fai clic su **Crea policy**.
1. Nella pagina **Create policy (Crea policy)**, nell'editor di policy, scegliere la scheda **JSON**.
1. Copiare la policy seguente e sostituire il testo nell'editor incollando questa policy. Assicurarsi di sostituire `bucket-name` con il nome del bucket S3, quindi scegliere **Review policy (Rivedi policy)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Fai clic su **Avanti: Tag**
1. Facoltativamente, puoi assegnare tag a questa politica. Fare clic su **Successivo: Rivedi**.
1. In **Review policy (Rivedi policy)**, per **Name (Nome)**, immettere un nome per la policy. Ad esempio, `AWSS3BucketAccess`. Facoltativamente, fornire una descrizione per questa policy, quindi scegliere **Create policy (Crea policy)**.
1. Nel riquadro di navigazione, seleziona **Ruoli**. Quindi procedi come segue per creare il ruolo IAM:
1. Scegli **Crea ruolo**.
1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.
Per **Use case**, seleziona **Forecast** dalla sezione **Casi d'uso comuni** o dall'elenco a Servizi AWS discesa **Casi d'uso per altri**. Se non riesci **a trovare Forecast**, scegli **EC2**.
Fare clic su **Avanti**.
1. **Nella sezione **Aggiungi autorizzazioni**, fai clic su Avanti.**
1. Nella sezione **Nome, rivedi e crea**, in **Nome ruolo**, inserisci un nome per il ruolo (ad esempio,`ForecastRole`). Aggiornare la descrizione del ruolo in **Role description (Descrizione ruolo)**, quindi scegliere **Create role (Crea ruolo)**.
1. Ora dovresti tornare alla pagina **Ruoli**. Scegliere il nuovo ruolo per aprire la relativa pagina dei dettagli.
1. In **Summary (Riepilogo)**, copiare il valore **Role ARN (ARN del ruolo)** e salvarlo. Questo è necessario per importare un set di dati in Amazon Forecast.
1. Se **Amazon Forecast** non è stato scelto come servizio che utilizzerà questo ruolo, scegliere **Trust relationships (Relazioni di trust)**, quindi selezionare **Edit trust relationship (Modifica relazione di trust)** per aggiornare la policy di attendibilità come segue.
1. **[OPZIONALE]** Quando usi una chiave KMS per abilitare la crittografia, collega la chiave KMS e l'ARN:
## Crea un ruolo IAM per Amazon Forecast (AWS CLI)
Puoi utilizzare il AWS CLI per effettuare le seguenti operazioni:
+ Crea un ruolo IAM con Amazon Forecast come entità affidabile
+ Crea una policy IAM con autorizzazioni che consenta ad Amazon Forecast di mostrare, leggere e scrivere dati in un bucket Amazon S3
+ Collega la policy IAM al ruolo IAM
**Creare un ruolo e una policy IAM che consentano ad Amazon Forecast di accedere ad Amazon S3 ()AWS CLI**
1. Crea un ruolo IAM con Amazon Forecast come entità affidabile che può assumere il ruolo per te:
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Questo comando presuppone che il profilo di AWS configurazione predefinito sia destinato a un utente Regione AWS supportato da Amazon Forecast. Se hai configurato un altro profilo (ad esempio,`aws-forecast`) per indirizzare un Regione AWS utente non supportato da Amazon Forecast, devi specificare esplicitamente tale configurazione includendo il `profile` parametro nel comando, `--profile aws-forecast` ad esempio. Per ulteriori informazioni sulla configurazione di un profilo di AWS CLI configurazione, consulta il comando AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Se il comando crea correttamente il ruolo, lo restituisce come un output il cui aspetto è simile al seguente:
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Registrare l'ARN del ruolo, perché sarà richiesto quando si importa un set di dati per eseguire il training del predittore Amazon Forecast.
1. Crea una policy IAM con le autorizzazioni per elencare, leggere e scrivere dati in Amazon S3 e collegala al ruolo IAM che hai creato nella fase 1:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[OPZIONALE]** Quando usi una chiave KMS per abilitare la crittografia, collega la chiave KMS e l'ARN:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Prevenzione del problema "confused deputy" tra servizi
Con “confused deputy” si intende un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire una certa operazione può costringere un’entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare al problema del vice confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi di contesto `aws:SourceArn` e la condizione `aws:SourceAccount` globale nelle politiche delle risorse per limitare le autorizzazioni che Identity and Access Management (IAM) concede ad Amazon Forecast per l'accesso alle tue risorse. Se utilizzi entrambe le chiavi di contesto della condizione globale, il `aws:SourceAccount` valore e l'account nel `aws:SourceArn` valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.