Amazon Forecast tidak lagi tersedia untuk pelanggan baru. Pelanggan Amazon Forecast yang ada dapat terus menggunakan layanan seperti biasa. [Pelajari lebih lanjut”](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengatur
Sebelum menggunakan Amazon Forecast untuk mengevaluasi atau memperkirakan data deret waktu, buat Akun AWS, konfigurasikan izin akses, dan atur AWS Command Line Interface ()AWS CLI.
**Topics**
+ [Mendaftar untuk AWS](aws-forecast-set-up-aws-account.md)
+ [Mengatur AWS CLI](aws-forecast-set-up-aws-cli.md)
+ [Mengatur Izin untuk Amazon Forecast](aws-forecast-iam-roles.md)
# Mendaftar untuk AWS
Saat Anda mendaftar ke Amazon Web Services (AWS), AWS akun Anda secara otomatis mendaftar untuk semua layanan AWS, termasuk Amazon Forecast. Anda hanya membayar biaya layanan yang Anda gunakan.
# Mengatur AWS CLI
The AWS Command Line Interface (AWS CLI) adalah alat pengembang terpadu untuk mengelola Layanan AWS, termasuk Amazon Forecast. Kami menyarankan Anda menginstal dan menggunakannya.
1. Untuk menginstal AWS CLI, ikuti petunjuk dalam [Menginstal AWS Command Line Interface di](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) *Panduan AWS Command Line Interface Pengguna*.
1. Untuk mengonfigurasi AWS CLI dan mengatur profil untuk memanggilnya, ikuti petunjuk dalam [Mengkonfigurasi AWS CLI di](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) *Panduan AWS Command Line Interface Pengguna*.
1. Untuk mengonfirmasi bahwa AWS CLI profil dikonfigurasi dengan benar, jalankan perintah berikut di jendela perintah:
```
aws configure --profile default
```
Jika profil Anda telah dikonfigurasi dengan benar, Anda akan melihat output yang mirip dengan berikut ini:
```
AWS Access Key ID [****************52FQ]:
AWS Secret Access Key [****************xgyZ]:
Default region name [us-west-2]:
Default output format [json]:
```
1. Untuk memverifikasi bahwa AWS CLI dikonfigurasi untuk digunakan dengan Amazon Forecast, jalankan perintah berikut.
```
aws forecast help
```
```
aws forecastquery help
```
Jika AWS CLI dikonfigurasi dengan benar, Anda akan melihat daftar AWS CLI perintah yang didukung untuk Amazon Forecast atau Amazon Forecast Query.
# Mengatur Izin untuk Amazon Forecast
Amazon Forecast menggunakan Amazon Simple Storage Service (Amazon S3) untuk menyimpan data deret waktu target yang digunakan untuk melatih prediktor yang dapat menghasilkan perkiraan. Untuk mengakses Amazon S3 atas nama Anda, Amazon Forecast memerlukan izin Anda.
Untuk memberikan izin Amazon Forecast untuk menggunakan Amazon S3 atas nama Anda, Anda harus memiliki peran AWS Identity and Access Management (IAM) dan kebijakan IAM di akun Anda. Kebijakan IAM menentukan izin yang diperlukan, dan harus dilampirkan ke peran IAM.
Untuk membuat peran dan kebijakan IAM dan melampirkan kebijakan ke peran, Anda dapat menggunakan konsol IAM atau AWS Command Line Interface ()AWS CLI.
**catatan**
Forecast tidak berkomunikasi dengan Amazon Virtual Private Cloud dan tidak dapat mendukung gateway Amazon S3 VPCE. Menggunakan bucket S3 yang hanya mengizinkan akses VPC akan mengakibatkan kesalahan. `AccessDenied`
**Topics**
+ [Membuat Peran IAM untuk Amazon Forecast (IAM Console)](#aws-forecast-create-iam-role-with-console)
+ [Buat Peran IAM untuk Amazon Forecast ()AWS CLI](#aws-forecast-create-iam-role-with-cli)
+ [Pencegahan "confused deputy" lintas layanan](#aws-forecast-confused-deputy)
## Membuat Peran IAM untuk Amazon Forecast (IAM Console)
Anda dapat menggunakan konsol AWS IAM untuk melakukan hal berikut:
+ Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya
+ Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3
+ Lampirkan kebijakan IAM ke peran IAM
**Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon S3 (konsol IAM)**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)).
1. Pilih **Kebijakan** dan lakukan hal berikut untuk membuat kebijakan yang diperlukan:
1. Klik **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, di editor kebijakan, pilih tab **JSON**.
1. Salin kebijakan berikut dan ganti teks di editor dengan menempelkan kebijakan ini di atasnya. Pastikan untuk mengganti `bucket-name` dengan nama bucket S3 Anda, lalu pilih **Kebijakan tinjau**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Klik **Berikutnya: Tag**
1. Secara opsional, Anda dapat menetapkan tag ke kebijakan ini. Klik **Berikutnya: Tinjau**.
1. Dalam **kebijakan Tinjauan**, untuk **Nama**, masukkan nama untuk kebijakan tersebut. Misalnya, `AWSS3BucketAccess`. Secara opsional, berikan deskripsi untuk kebijakan ini, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**. Kemudian lakukan hal berikut untuk membuat peran IAM:
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.
Untuk **kasus Penggunaan**, pilih **Forecast** dari bagian **Kasus penggunaan umum** atau daftar Layanan AWS drop-down **Kasus penggunaan lainnya**. Jika Anda tidak dapat menemukan **Forecast**, pilih **EC2**.
Klik **Berikutnya**.
1. Di bagian **Tambahkan izin**, klik **Berikutnya**.
1. Di bagian **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran tersebut (misalnya,`ForecastRole`). Perbarui deskripsi untuk peran dalam **Deskripsi peran**, lalu pilih **Buat peran**.
1. Anda sekarang harus kembali ke halaman **Peran**. Pilih peran baru untuk membuka halaman detail peran.
1. Dalam **Ringkasan**, salin nilai **ARN Peran** dan simpan. Anda membutuhkannya untuk mengimpor dataset ke Amazon Forecast.
1. Jika Anda tidak memilih **Amazon Forecast** sebagai layanan yang akan menggunakan peran ini, pilih **Hubungan kepercayaan**, lalu pilih **Edit hubungan kepercayaan** untuk memperbarui kebijakan kepercayaan sebagai berikut.
1. **[OPSIONAL]** Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:
## Buat Peran IAM untuk Amazon Forecast ()AWS CLI
Anda dapat menggunakan AWS CLI untuk melakukan hal berikut:
+ Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya
+ Buat kebijakan IAM dengan izin yang memungkinkan Amazon Forecast menampilkan, membaca, dan menulis data di bucket Amazon S3
+ Lampirkan kebijakan IAM ke peran IAM
**Untuk membuat peran dan kebijakan IAM yang memungkinkan Amazon Forecast mengakses Amazon AWS CLI S3 ()**
1. Buat peran IAM dengan Amazon Forecast sebagai entitas tepercaya yang dapat mengambil peran untuk Anda:
```
aws iam create-role \
--role-name ForecastRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:account-id:*"
}
}
}
]
}'
```
Perintah ini mengasumsikan bahwa profil AWS konfigurasi default ditargetkan untuk Wilayah AWS didukung oleh Amazon Forecast. Jika Anda telah mengonfigurasi profil lain (misalnya,`aws-forecast`) untuk menargetkan profil Wilayah AWS yang tidak didukung oleh Amazon Forecast, Anda harus secara eksplisit menentukan konfigurasi tersebut dengan menyertakan `profile` parameter dalam perintah, misalnya,. `--profile aws-forecast` Untuk informasi selengkapnya tentang pengaturan profil AWS CLI konfigurasi, lihat perintah AWS CLI [configure](https://docs.aws.amazon.com/cli/latest/reference/configure/).
Jika perintah berhasil membuat peran, ia mengembalikannya sebagai output, yang akan terlihat mirip dengan berikut ini:
```
{
"Role": {
"Path": "/",
"RoleName": "ForecastRole",
"RoleId": your-role-ID,
"Arn": "arn:aws:iam::your-acct-ID:role/ForecastRole",
"CreateDate": "creation-date",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "forecast.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-acct-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:forecast:region:your-acct-ID:*"
}
}
}
]
}
}
}
```
Rekam ARN peran. Anda membutuhkannya saat mengimpor dataset untuk melatih prediktor Amazon Forecast.
1. Buat kebijakan IAM dengan izin untuk membuat daftar, membaca, dan menulis data di Amazon S3, lalu lampirkan ke peran IAM yang Anda buat di Langkah 1:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'
```
1. **[OPSIONAL]** Saat menggunakan kunci KMS untuk mengaktifkan enkripsi, lampirkan kunci KMS dan ARN:
```
aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastBucketAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}'aws iam put-role-policy \
--role-name ForecastRole \
--policy-name ForecastKMSAccessPolicy \
--policy-document ‘{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource":[
"arn:aws:kms:region:account-id:key/KMS-key-id"
]
}
]
}’
```
## Pencegahan "confused deputy" lintas layanan
Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Identity and Access Management (IAM) kepada Amazon Forecast akses ke sumber daya Anda. Jika Anda menggunakan kedua kunci konteks kondisi global, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan id akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.