Ejemplos de políticas de IAM para Amazon QuickSight
En esta sección se proporcionan ejemplos de políticas de IAM que puede utilizar con Amazon QuickSight.
Políticas de Amazon QuickSight basadas en identidades de IAM
En esta sección, se muestran ejemplos de políticas basadas en identidades para utilizar con Amazon QuickSight.
Temas
Políticas basadas en identidades de IAM para la administración de consolas de IAM de QuickSight
Políticas basadas en identidades de IAM para Amazon QuickSight: paneles
Políticas basadas en identidades de IAM para Amazon QuickSight: espacios de nombres
Políticas basadas en identidades de IAM para Amazon QuickSight: permisos personalizados
Políticas basadas en identidades de IAM para Amazon QuickSight: creación de usuarios
Políticas basadas en identidades de IAM para Amazon QuickSight: creación y administración de grupos
Políticas basadas en identidades de IAM para Amazon QuickSight: grupos de Active Directory
Políticas basadas en identidades de IAM para la administración de consolas de IAM de QuickSight
El siguiente ejemplo muestra los permisos de IAM necesarios para las acciones de administración de la consola de IAM de QuickSight.
Políticas basadas en identidades de IAM para Amazon QuickSight: paneles
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
Políticas basadas en identidades de IAM para Amazon QuickSight: espacios de nombres
Los siguientes ejemplos muestran las políticas de IAM que permiten a un administrador de QuickSight crear o eliminar espacios de nombres.
Creación de espacios de nombres
Eliminación de espacios de nombres
Políticas basadas en identidades de IAM para Amazon QuickSight: permisos personalizados
En el siguiente ejemplo se muestra una política de IAM que permite a un administrador de QuickSight o a un desarrollador administrar permisos personalizados.
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
Políticas basadas en identidades de IAM para Amazon QuickSight: personalización de plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico en QuickSight, así como obtener los atributos de verificación de una identidad de Amazon Simple Email Service. Esta política permite a un administrador de QuickSight crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
Políticas basadas en identidades de IAM para Amazon QuickSight: creación de una cuenta Enterprise con usuarios administrados por QuickSight
En el siguiente ejemplo se muestra una política que permite a los administradores de QuickSight crear una cuenta de QuickSight de la edición Enterprise con usuarios administrados por QuickSight.
Políticas basadas en identidades de IAM para Amazon QuickSight: creación de usuarios
El siguiente ejemplo muestra una política que permite crear usuarios de Amazon QuickSight únicamente. En quicksight:CreateReader, quicksight:CreateUser y quicksight:CreateAdmin, puede limitar los permisos a "Resource":
"arn:aws:quicksight::. Para el resto de los permisos que se describen en esta guía, utilice <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". El recurso que especifique limita el alcance de los permisos para el recurso especificado.
Políticas basadas en identidades de IAM para Amazon QuickSight: creación y administración de grupos
En el siguiente ejemplo se muestra una política que permite a los administradores y desarrolladores de QuickSight crear y administrar grupos.
Políticas basadas en identidades de IAM para Amazon QuickSight: acceso ilimitado para la edición Standard
El siguiente ejemplo de la edición Standard de Amazon QuickSight muestra una política que permite la suscripción, la creación de autores y lectores. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
Políticas basadas en identidades de IAM para Amazon QuickSight: acceso ilimitado para la edición Enterprise con IAM Identity Center
El siguiente ejemplo de la edición Enterprise de Amazon QuickSight muestra una política que permite a un usuario de QuickSight suscribirse a QuickSight, crear usuarios y administrar Active Directory en una cuenta de QuickSight integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles de QuickSight Pro que otorgan acceso a Amazon Q en las capacidades de inteligencia empresarial generativa de QuickSight. Para obtener más información acerca de los roles Pro de Amazon QuickSight, consulte Introducción a la BI generativa.
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Políticas basadas en identidades de IAM para Amazon QuickSight: acceso ilimitado para la edición Enterprise con IAM Identity Center
El siguiente ejemplo de la edición Enterprise de Amazon QuickSight muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de QuickSight integrada con IAM Identity Center.
Esta política no concede permisos para crear roles Pro en QuickSight. Para crear una política que conceda permiso para suscribirse a los roles Pro en QuickSight, consulte Políticas basadas en identidades de IAM para Amazon QuickSight: acceso ilimitado para la edición Enterprise con IAM Identity Center.
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas basadas en identidades de IAM para Amazon QuickSight: acceso ilimitado para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Enterprise de Amazon QuickSight muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de QuickSight que usa Active Directory para la administración de identidades. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
Políticas basadas en identidades de IAM para Amazon QuickSight: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de un grupo de Active Directory para una cuenta de la edición Enterprise de Amazon QuickSight.
Políticas basadas en identidades de IAM para Amazon QuickSight: uso de la consola de administración de activos de administrador
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
Políticas basadas en identidades de IAM para Amazon QuickSight: uso de la consola de administración de claves de administrador
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
Los permisos "quicksight:ListKMSKeysForUser" y "kms:ListAliases" son necesarios para poder acceder a las claves administradas por el cliente desde la consola de QuickSight. "quicksight:ListKMSKeysForUser" y "kms:ListAliases" no están obligados a usar las API de administración de claves de QuickSight.
Para especificar las claves a las que desea que el usuario pueda acceder, añada los ARN de las claves a las que desea que el usuario acceda a la condición UpdateKeyRegistration con la clave de la condición quicksight:KmsKeyArns. Los usuarios solo pueden acceder a las claves especificadas en UpdateKeyRegistration. Para obtener más información sobre las claves de condición compatibles con QuickSight, consulte Claves de condición de Amazon QuickSight.
El ejemplo siguiente concede permisos Describe a todas las CMK que estén registradas en una cuenta de QuickSight y permisos Update a CMK específicas que estén registradas en la cuenta de QuickSight.
Amazon QuickSight para los recursos de AWS: determinación del ámbito de las políticas en la edición Enterprise
El siguiente ejemplo de la edición Enterprise de Amazon QuickSight muestra una política que permite configurar el acceso a los recursos de AWS predeterminados y determinar el ámbito de las políticas en términos de permisos para los recursos de AWS.
