O Amazon Forecast não está mais disponível para novos clientes. Os clientes existentes do Amazon Forecast podem continuar usando o serviço normalmente. [Saiba mais](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar permissões para o Amazon Forecast
O Amazon Forecast usa o Amazon Simple Storage Service (Amazon S3) para armazenar os dados de séries temporais de destino usados para treinar os preditores que podem gerar previsões. Para acessar o Amazon S3 em seu nome, o Amazon Forecast precisa de permissão.
Para conceder ao Amazon Forecast permissão para usar o Amazon S3 em seu nome, você precisa ter um perfil do AWS Identity and Access Management (IAM) e uma política do IAM em sua conta. A política do IAM especifica as permissões necessárias e deve ser anexada ao perfil do IAM.
Para criar a função e a política do IAM e anexar a política à função, você pode usar o console do IAM ou o AWS Command Line Interface (AWS CLI).
**nota**
O Forecast não se comunica com a Amazon Virtual Private Cloud e não é compatível com o Amazon S3 VPCE Gateway. O uso de buckets do S3 que só permitem acesso à VPC resultará em um erro de `AccessDenied`.
**Topics**
+ [Criar um perfil do IAM para o Amazon Forecast (console do IAM)](#aws-forecast-create-iam-role-with-console)
+ [Criar um perfil do IAM para o Amazon Forecast (AWS CLI)](#aws-forecast-create-iam-role-with-cli)
+ [Prevenção do problema "confused deputy" entre serviços](#aws-forecast-confused-deputy)
## Criar um perfil do IAM para o Amazon Forecast (console do IAM)
Você pode usar o console AWS do IAM para fazer o seguinte:
+ Criar um perfil do IAM com o Amazon Forecast como uma entidade confiável
+ Criar uma política do IAM com permissões para que o Amazon Forecast mostre, leia e grave dados em um bucket do Amazon S3
+ Anexar a política do IAM ao perfil do IAM
**Para criar um perfil e uma política do IAM que permitam que o Amazon Forecast acesse o Amazon S3 (console do IAM)**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)).
1. Escolha **Policies (Políticas)** e faça o seguinte para criar a política necessária:
1. Clique em **Create Policy** (Criar política).
1. Na página **Create policy (Criar política)**, no editor de políticas, escolha a guia **JSON**.
1. Copie a política a seguir e substitua o texto no editor colando esta essa política sobre ele. Certifique-se de substituir `bucket-name` pelo nome do bucket do S3 e escolha **Review policy (Revisar política)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Clique em **Próximo: Etiquetas**
1. Se desejar, você pode atribuir tags a essa política. Clique em **Next: Review (Próximo: análise)**.
1. Em **Review policy (Revisar política)**, em **Name (Nome)**, digite um nome para a política. Por exemplo, .`AWSS3BucketAccess` Opcionalmente, forneça uma descrição para a política e escolha **Create policy (Criar política)**.
1. No painel de navegação, escolha **Perfis**. Depois, faça o seguinte para criar o perfil do IAM:
1. Escolha **Criar Perfil**.
1. Em **Tipo de Entidade Confiável**, escolha **AWS service (Serviço da AWS)**.
Em **Caso de uso**, selecione **Previsão** na seção **Casos de uso comuns** ou na lista suspensa **Casos de uso para outros Serviços da AWS**. Se você não conseguir encontrar a **Previsão**, escolha **EC2**.
Clique em **Next**.
1. Na seção **Adicionar permissões**, clique em **Próximo**.
1. Na página **Nomear, revisar e criar**, em **Nome do perfil**, digite um nome para o perfil (por exemplo, `ForecastRole`). Atualize a descrição da função em **Role description (Descrição da função)** e escolha **Create role (Criar função)**.
1. Agora você retornará à página **Perfis**. Escolha a nova função para abrir a página de detalhes da função.
1. Em **Summary (Resumo)**, copie o valor do **Role ARN (ARN da função)** e salve-o. Você precisa dele para importar um conjunto de dados no Amazon Forecast.
1. Se você não escolheu **Amazon Forecast** como o serviço que usará essa função, escolha **Trust relationships (Relacionamentos de confiança)** e escolha **Edit trust relationship (Editar relacionamento de confiança)** para atualizar a política de confiança da seguinte forma.
1. **[OPCIONAL]** Ao usar uma chave do KMS para habilitar a criptografia, anexe a chave do KMS e o ARN:
## Criar um perfil do IAM para o Amazon Forecast (AWS CLI)
Você pode usar o AWS CLI para fazer o seguinte:
+ Criar um perfil do IAM com o Amazon Forecast como uma entidade confiável
+ Criar uma política do IAM com permissões para que o Amazon Forecast mostre, leia e grave dados em um bucket do Amazon S3
+ Anexar a política do IAM ao perfil do IAM
**Para criar um perfil e uma política do IAM que permitam que o Amazon Forecast acesse o Amazon S3 (AWS CLI)**
1. Crie um perfil do IAM com o Amazon Forecast como uma entidade confiável que possa assumir o perfil por você:
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Esse comando pressupõe que o perfil de AWS configuração padrão seja destinado a um perfil Região da AWS compatível com o Amazon Forecast. Se você configurou outro perfil (por exemplo,`aws-forecast`) para atingir um Região da AWS que não é compatível com o Amazon Forecast, você deve especificar explicitamente essa configuração incluindo o `profile` parâmetro no comando, por exemplo,`--profile aws-forecast`. Para obter mais informações sobre como configurar um perfil de AWS CLI configuração, consulte o comando AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Se o comando criar a função com êxito, ele a retornará como saída, que deve ser semelhante à seguinte:
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Anote o ARN da função. Você precisará dele ao importar um conjunto de dados para treinar um preditor do Amazon Forecast.
1. Crie uma política do IAM com permissões para listar, ler e gravar dados no Amazon S3 e anexe-a ao perfil do IAM que você criou na Etapa 1:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[OPCIONAL]** Ao usar uma chave do KMS para habilitar a criptografia, anexe a chave do KMS e o ARN:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Prevenção do problema "confused deputy" entre serviços
O problema “confused deputy” é um problema de segurança no qual uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado a usar suas permissões para atuar nos recursos de outro cliente de modo a não ter permissão de acesso. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos o uso das chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` em políticas de recursos para limitar as permissões que o Identity and Access Management (IAM) concede ao Amazon Forecast para acessar seus recursos. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.