Schritt 1: Festlegen von Berechtigungen - Amazon QuickSight

Schritt 1: Festlegen von Berechtigungen

Wichtig

Amazon QuickSight verfügt über neue APIs zum Einbetten von Analysen: GenerateEmbedUrlForAnonymousUser und GenerateEmbedUrlForRegisteredUser.

Sie können weiterhin die GetDashboardEmbedUrl- und GetSessionEmbedUrl-APIs verwenden, um Dashboards und die QuickSight-Konsole einzubetten, sie enthalten jedoch nicht die neuesten Einbettungsfunktionen. Aktuelle Informationen zum Einbetten finden Sie unter Einbetten von QuickSight-Analytik in Ihre Anwendungen.

Im folgenden Abschnitt erfahren Sie, wie Sie Berechtigungen für die Back-End-Anwendung oder den Webserver einrichten. Diese Aufgabe erfordert administrativen Zugriff auf IAM.

Jeder Benutzer, der auf ein QuickSight zugreift, nimmt eine Rolle ein, die ihm Amazon QuickSight-Zugriff und -Berechtigungen für die Konsolensitzung gewährt. Um dies zu ermöglichen, erstellen Sie eine IAM-Rolle in Ihrem AWS-Konto. Verknüpfen Sie eine IAM-Richtlinie mit der Rolle, um Berechtigungen für alle Benutzer zu gewähren, die die Rolle annehmen. Fügen Sie quicksight:RegisterUser-Berechtigungen hinzu, um sicherzustellen, dass der Leser im schreibgeschützten Modus auf QuickSight zugreifen kann und keinen Zugriff auf andere Daten oder Erstellungsfunktionen erhält. Die IAM-Rolle muss außerdem Berechtigungen zum Abrufen von URLs für Konsolensitzungen bereitstellen. Dazu fügen Sie quicksight:GetSessionEmbedUrl hinzu.

Die folgende Beispielrichtlinie gewährt diese Berechtigungen zur Verwendung mit IdentityType=IAM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Die folgende Beispielrichtlinie gewährt die Berechtigung zum Abrufen einer Konsolensitzungs-URL. Sie verwenden die Richtlinie ohne quicksight:RegisterUser, wenn Sie Benutzer erstellen, bevor sie auf eine eingebettete Sitzung zugreifen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

Wenn Sie QUICKSIGHT als Ihr identityType verwenden und den Amazon Resource Name (ARN) des Benutzers bereitstellen, müssen Sie auch die Aktion quicksight:GetAuthCode in Ihrer Richtlinie zulassen. Die folgende Beispielrichtlinie enthält diese Berechtigung.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

Der IAM-Identität Ihrer Anwendung muss eine Vertrauensrichtlinie zugeordnet sein, um den Zugriff auf die soeben erstellte Rolle zu gewähren. Dies bedeutet: Wenn ein Benutzer auf Ihre Anwendung zugreift, kann Ihre Anwendung die Rolle für den Benutzer übernehmen und den Benutzer in QuickSight bereitstellen. Das folgende Beispiel zeigt eine Rolle mit dem Namen embedding_quicksight_console_session_role, der die Musterrichtlinie als Ressource vorausgeht.

Weitere Informationen bezüglich Vertrauensrichtlinien für die OpenId Connect- oder SAML-Authentifizierung finden Sie in den folgenden Abschnitten im IAM-Benutzerhandbuch: