Crear un perfil de permisos personalizado en Amazon Quick Suite - Amazon Quick Suite
Capacidades principales de Quick SuiteCaracterísticas de Quick SuiteCrear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite integrada con IAM Identity Center o Active DirectoryCrear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite que utilice usuarios gestionados de Amazon Quick SuiteAplicación de un perfil de permisos personalizados a un rolAplicación de un perfil de permisos personalizado a un usuarioAplicación de un perfil de permisos personalizado a una cuenta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un perfil de permisos personalizado en Amazon Quick Suite

 Se aplica a: Enterprise Edition 
   Público objetivo: administradores y desarrolladores de Amazon Quick Suite 

En la edición Enterprise, puede restringir la funcionalidad a la que pueden acceder las personas en Amazon Quick Suite. Puede configurar permisos personalizados en los niveles de cuenta, rol (administrador, autor, lector) y usuario para todos los tipos de identidad en Quick Suite. Los permisos personalizados de usuarios anulan los permisos de roles personalizados o predeterminados existentes de un rol del usuario indicado. Los permisos personalizados de usuarios y los permisos personalizados de roles anulan los permisos personalizados de cuentas.

Se aplican las limitaciones siguientes a los permisos personalizados.

  • No se pueden conceder permisos que superen el rol predeterminado de un usuario. Por ejemplo, si un usuario tiene acceso de lector, no puede conceder permisos a ese usuario para editar los paneles.

  • Para personalizar los permisos de usuario o rol, debe ser administrador de Amazon Quick Suite con los siguientes permisos de IAM:

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

Puede crear perfiles de permisos personalizados para restringir el acceso a cualquier combinación de las siguientes funciones. Las capacidades principales se pueden utilizar para restringir el acceso a todos los conjuntos de funciones de un activo. Cuando las capacidades principales estén deshabilitadas, también se deshabilitarán todas las funciones secundarias asociadas.

Las funciones sin capacidades principales no se pueden desactivar con este mecanismo. En su lugar, deben restringirse como funciones individuales.

Capacidades principales de Quick Suite

Capacidad para padres Funcionalidad

Análisis

Restringe todas las funciones relacionadas con el análisis

Paneles

Restringe todas las funciones relacionadas con los paneles

Acciones

Restringe todas las funciones relacionadas con las acciones

Automatiza

Restringe todas las funciones relacionadas con la automatización

Agentes de chat

Restringe todas las funciones relacionadas con los agentes de chat

Extensiones

Restringe todas las funciones relacionadas con las extensiones

Flujos

Restringe todas las funciones relacionadas con Flows

Base de conocimientos

Restringe todas las funciones relacionadas con la base de conocimientos

Investigación

Restringe todas las funciones relacionadas con la investigación

Espacios

Restringe todas las funciones relacionadas con Spaces

Características de Quick Suite

Característica Comportamiento de Amazon Quick Suite Capacidad de los padres

Crear agentes de chat

  • No puedo ver ni acceder a ningún agente de chat

  • La biblioteca y la navegación del agente están ocultas

  • Aún puede acceder a otros recursos de Quick Suite y crearlos, como crear espacios para compartir archivos con los equipos o flujos para interacciones estructuradas (siempre que esas capacidades no estén también restringidas)

Agentes de chat

Permita que los creadores compartan sin aprobación

  • Los creadores no pueden compartir los flujos sin su aprobación

Flujos

Utilice los modelos Bedrock para refinar la producción

  • Restringe el uso de los modelos Bedrock

Flujos

Habilite el agente de interfaz de usuario para realizar tareas del navegador

  • Impide que el agente de interfaz de usuario de Flows realice tareas del navegador

Flujos

Utilice Internet para mejorar los resultados

  • Restringe el uso de la búsqueda basada en la web en Chat Agents and Research

--

Compartir análisis

  • El acceso a la opción Compartir del menú Archivo está desactivado para los análisis

Análisis

Añadir o ejecutar la detección de anomalías

  • El acceso a la opción Añadir una anomalía a la hoja del menú Insights está desactivado para los análisis

  • El acceso a la opción Anomalía del menú Objetos está desactivado para los análisis

  • Los usuarios no podrán añadir la detección de anomalías a las hojas

Análisis

Imprimir hoja

  • El acceso a la opción Imprimir del menú Archivo está desactivado para los análisis

  • El acceso a la opción Imprimir del menú Exportar está desactivado en los paneles

  • Los usuarios no podrán imprimir hojas

--

Exportar la hoja a PDF

  • El acceso a la opción Exportar a PDF del menú Archivo está desactivado para los análisis

  • El acceso a la opción Generar PDF del menú Exportar está desactivado en los paneles

  • Los usuarios no podrán exportar las hojas a un archivo PDF

--

Crear o actualizar temas

  • El acceso a la opción Temas del menú Edición está deshabilitado para los análisis

  • Los usuarios no podrán crear temas personalizados

  • Los usuarios no podrán editar ni actualizar los temas existentes

--

Uso compartido de paneles

  • El acceso al icono de compartir del menú de navegación está deshabilitado en los paneles

Panel de control

Exporte imágenes a CSV

  • El acceso a la opción Exportar a CSV del menú de tres puntos para cada imagen está deshabilitado tanto para los análisis como para los paneles

  • El acceso a la opción Exportar elemento visual a CSV del menú Objetos está desactivado para los análisis

  • Los usuarios no podrán exportar imágenes a un archivo CSV

--

Exporte imágenes a Excel

  • El acceso a la opción Exportar a Excel del menú de tres puntos de cada tabla está desactivado tanto para los análisis como para los paneles

  • El acceso a la opción Exportar tabla a Excel del menú Objetos está desactivado para los análisis

  • Los usuarios no podrán exportar tablas a un archivo de Excel

--

Crear o actualizar todos los conjuntos de datos

  • Se deshabilitará el acceso a la creación o actualización de todos los conjuntos de datos

--

Crear o actualizar solo conjuntos de datos SPICE

  • Se deshabilitará el acceso a la creación o actualización de conjuntos de datos de SPICE

--

Compartir conjuntos de datos

  • Se deshabilitará el acceso a compartir conjuntos de datos

--

Visualizando la capacidad de la cuenta SPICE

  • Restringe la recuperación de la capacidad SPICE de la cuenta

--

Crear o actualizar todas las fuentes de datos

  • Se deshabilitará el acceso a la creación o actualización de todas las fuentes de datos

--

Compartir fuentes de datos

  • Se deshabilitará el acceso a las fuentes de datos compartidas

--

Crear carpetas compartidas

  • Restringe la creación de carpetas compartidas

--

Cambiar el nombre de las carpetas compartidas

  • Restringe el cambio de nombre de las carpetas compartidas

--

Creación o actualización de informes de correo electrónico programados

  • El acceso a la opción Programaciones del menú Programaciones está deshabilitado en los paneles

  • El acceso a la opción Instantáneas recientes del menú Programaciones está desactivado en los paneles

  • Los usuarios no podrán crear ni actualizar los informes de correo electrónico programados

--

Suscribirse a los informes de correo electrónico programados

  • Los usuarios no podrán suscribirse a los informes de correo electrónico programados

Panel de control

Archivos adjuntos CSV en los informes de correo electrónico programados

  • El acceso a la opción CSV de la sección Contenido del menú Programaciones está deshabilitado en los paneles

  • Los usuarios no podrán adjuntar archivos CSV en los informes de correo electrónico programados

--

Archivos adjuntos de Excel en los informes de correo electrónico programados

  • El acceso a la opción Excel de la sección Contenido del menú Programaciones está deshabilitado en los paneles

  • Los usuarios no podrán adjuntar archivos de Excel en los informes de correo electrónico programados

--

Archivos adjuntos en PDF en los informes de correo electrónico programados

  • El acceso a la opción PDF de la sección Contenido del menú de programaciones está deshabilitado en los paneles

  • Los usuarios no podrán adjuntar archivos PDF en los informes programados por correo electrónico

--

Contenido incluido en los informes de correo electrónico programados

  • Los usuarios recibirán el contenido de los informes de correo electrónico programados solo como enlaces descargables que están bloqueados tras el inicio de sesión

  • Si se incluye una hoja en el cuerpo del correo electrónico, no se tendrán en cuenta las opciones de adjuntar archivos en el menú de horarios

  • Las imágenes no se incluirán en los informes de correo electrónico programados

--

Crear o actualizar alertas de umbral

  • El acceso al menú de alertas está deshabilitado en los paneles

  • Los usuarios no podrán crear ni actualizar las alertas de umbral

--

Se pueden crear perfiles de permisos personalizados para las cuentas de Amazon Quick Suite que estén integradas con IAM Identity Center o Active Directory o para las cuentas de Amazon Quick Suite que tengan usuarios gestionados por Amazon Quick Suite. El tipo de identidad que utiliza una cuenta de Amazon Quick Suite determina la forma en que un administrador de Amazon Quick Suite configura un perfil de permisos personalizado.

El siguiente procedimiento le muestra cómo controlar el acceso a las capacidades y funciones respectivas de Amazon Quick Suite.

Para controlar el acceso a las funciones y funciones de Amazon Quick Suite

  1. Inicie sesión en la consola de Amazon Quick Suite.

  2. Selecciona Administrar Quick Suite.

  3. En el menú de navegación izquierdo de la consola de administración, selecciona Permisos y, a continuación, selecciona Permisos personalizados.

  4. En Permisos personalizados, en Perfiles, selecciona Nuevo perfil o elige editar el perfil predeterminado.

  5. En Nuevo perfil, haga lo siguiente:

    • En Restringir capacidades: seleccione si desea permitir capacidades específicas para su sistema marcando o desmarcando las opciones correspondientes.

    • En Restringir funciones: seleccione si desea permitir funciones específicas marcando o desmarcando las opciones correspondientes.

Crear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite integrada con IAM Identity Center o Active Directory

Los administradores de cuentas de Amazon Quick Suite pueden utilizar el siguiente procedimiento para crear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite que esté integrada con IAM Identity Center o Active Directory.

Para crear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite integrada con IAM Identity Center o Active Directory

  1. Inicie sesión en la Consola de AWS License Manager.

  2. Abre Amazon Quick Suite.

  3. Se abre la consola de administración de Amazon Quick Suite. Selecciona Permisos personalizados.

  4. Se abre la página Administrar permisos personalizados. Elija una de las siguientes opciones.

    • Para crear un nuevo perfil de permisos personalizados, elija Crear.

    • Para editar o ver un perfil de permisos personalizado existente, selecciona los puntos suspensivos (tres puntos) situados junto al perfil que desees y, a continuación, selecciona Editar.

  5. Si desea crear o actualizar un perfil de permisos personalizados, elija los siguientes elementos.

    • En Nombre, ingrese un nombre para el perfil de permisos personalizados.

    • En Restricciones, elija las opciones que desee rechazar. Las opciones que no elija estarán permitidas. Por ejemplo, si no quiere que los usuarios creen o actualicen fuentes de datos, pero quiere que puedan hacer todo lo demás, elija únicamente Crear o actualizar fuentes de datos.

  6. Seleccione Crear o Actualizar para confirmar sus opciones. Para volver sin realizar ningún cambio, seleccione Atrás.

  7. Cuando haya terminado de realizar los cambios, registre el nombre del perfil de permisos personalizados. Proporcione el nombre del perfil de permisos personalizados a los usuarios de la API para que puedan aplicar el perfil de permisos personalizados a los roles o usuarios.

Crear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite que utilice usuarios gestionados de Amazon Quick Suite

Los administradores de cuentas de Amazon Quick Suite pueden utilizar el siguiente procedimiento para crear un perfil de permisos personalizado para una cuenta de Amazon Quick Suite que utilice usuarios gestionados de Amazon Quick Suite.

Para crear un perfil de permisos personalizado para los usuarios gestionados de Amazon Quick Suite

  1. Abra la consola de Quick Suite.

  2. Desde cualquier página de la consola de Amazon Quick Suite, selecciona Administrar Quick Suite en la esquina superior derecha.

    Solo los administradores de Amazon Quick Suite tienen acceso a la opción de menú Administrar Quick Suite. Si no tienes acceso al menú Gestionar Quick Suite, ponte en contacto con el administrador de Amazon Quick Suite para obtener ayuda.

  3. Selecciona Permisos personalizados. También puede elegir la sección Administrar usuarios y, a continuación, elegir Administrar permisos personalizados.

  4. Se abre la página Administrar permisos personalizados. Elija una de las siguientes opciones.

    • Para crear un nuevo perfil de permisos personalizados, elija Crear.

    • Para editar o ver un perfil de permisos personalizado existente, selecciona los puntos suspensivos (tres puntos) situados junto al perfil que desees y, a continuación, selecciona Editar.

  5. Si desea crear o actualizar un perfil de permisos personalizados, elija los siguientes elementos.

    • En Nombre, ingrese un nombre para el perfil de permisos personalizados.

    • En Restricciones, elija las opciones que desee rechazar. Las opciones que no elija estarán permitidas. Por ejemplo, si no quiere que los usuarios creen o actualicen los orígenes de datos, pero está de acuerdo con que puedan hacer cualquier otra cosa, seleccione solo Creación o actualización de orígenes de datos.

  6. Seleccione Crear o Actualizar para confirmar sus opciones. Para volver sin realizar ningún cambio, seleccione Atrás.

  7. Cuando haya terminado de realizar los cambios, registre el nombre del perfil de permisos personalizados. Proporcione el nombre del perfil de permisos personalizados a los usuarios de la API para que puedan aplicar el perfil de permisos personalizados a los roles o usuarios.

Después de crear un perfil de permisos personalizado, utilice Amazon Quick Suite APIs para añadir o cambiar el perfil de permisos personalizado asignado a un usuario, rol o cuenta. Los usuarios con permisos suficientes también pueden usar el AWS::QuickSight::CustomPermissions CloudFormation recurso para administrar los perfiles de permisos personalizados de Amazon Quick Suite. Utilice los siguientes temas para obtener más información sobre la administración de perfiles de permisos personalizados con Amazon Quick Suite APIs.

Aplicar un perfil de permisos personalizado a un rol de Amazon Quick Suite con la API de Amazon Quick Suite

Tras crear un perfil de permisos personalizado, utilice Amazon Quick Suite APIs para añadir o cambiar el perfil de permisos personalizado asignado a un rol.

Antes de empezar, debe configurar y configurar la AWS CLI. Para obtener más información sobre la instalación de la AWS CLI, consulte Instalación o actualización de la última versión de la AWS CLI y Configuración de la AWS CLI en la guía del AWS Command Line Interface usuario. También necesitas permisos para usar la API Amazon Quick Suite.

En el siguiente ejemplo, se llama a la API UpdateRoleCustomPermission para actualizar los permisos personalizados asignados a un rol.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

En el siguiente ejemplo, se devuelve el perfil de permisos personalizados asignado a un rol.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

En el siguiente ejemplo, se elimina un perfil de permisos personalizados de un rol.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Aplicar un perfil de permisos personalizado a un usuario con la API Amazon Quick Suite

En el siguiente ejemplo, se aplica un perfil de permisos personalizados a un usuario.

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

En el siguiente ejemplo, se elimina un perfil de permisos personalizados de un usuario.

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

En el siguiente ejemplo, se añaden permisos personalizados a un nuevo usuario de Amazon Quick Suite IAM.

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

Además, es posible asociar un usuario de IAM existente a un nuevo perfil de permisos. En el siguiente ejemplo, se actualiza el perfil de permisos personalizados de un usuario de IAM existente.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

En el siguiente ejemplo, se elimina un usuario existente de un perfil de permisos.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

Para probar los permisos personalizados que se aplican a un rol o un usuario, inicie sesión en la cuenta del usuario. Cuando un usuario inicia sesión en Amazon Quick Suite, se le concede el rol de mayor privilegio al que tiene acceso. El rol de mayor privilegio que se le puede conceder a un usuario es el de administrador. El rol con los privilegios más bajos que se le puede conceder a un usuario es el de lector. Para obtener más información sobre las funciones en Amazon Quick Suite, consulte Administrar el acceso de los usuarios en Amazon Quick Suite.

Si asigna un perfil de permisos personalizados que restringe el uso compartido de orígenes de datos al rol de autor, dicho autor ya no podrá acceder a los controles que permiten compartir orígenes de datos. En su lugar, el autor afectado solo tendrá permisos de visualización para el origen de datos.

Aplicación de un perfil de permisos personalizado a una cuenta

Cómo aplicar un perfil de permisos personalizado a una cuenta

  1. Abra la consola de Quick Suite.

  2. En la parte superior derecha, elija el icono de perfil.

  3. Seleccione Administrar Quick Suite. Solo los administradores de Amazon Quick Suite podrán ver esta página.

  4. Selecciona Permisos personalizados. También puede elegir la sección Administrar usuarios y, a continuación, elegir Administrar permisos personalizados si su cuenta de Quick Suite usa usuarios administrados de Quick Suite.

  5. Busque el permiso personalizado de la cuenta que desee. En el menú de opciones, en Acciones, elija Definir como perfil de cuenta.

Aplique un perfil de permisos personalizado a una cuenta mediante Quick Suite APIs

Después de crear un perfil de permisos personalizado, utilice la API de Quick Suite para añadir o cambiar el perfil de permisos personalizado que está asignado a una cuenta.

Antes de empezar, necesitará configurar y configurar la AWS CLI. Para obtener más información sobre la instalación de la AWS CLI, consulte Instalar o actualizar la última versión de la AWS CLI y Configurar la AWS CLI en la guía del usuario de la interfaz de línea de AWS comandos. También necesita los siguientes permisos de IAM: quicksight:UpdateAccountPermission, quicksight:DescribeAccountPermission y quicksight:DeleteAccountCustomPermission.

En el siguiente ejemplo, se llama a la API UpdateAccountPermission para actualizar los permisos personalizados asignados a una cuenta.

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

En el siguiente ejemplo, se devuelve el perfil de permisos personalizados asignado a una cuenta.

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

En el siguiente ejemplo, se elimina la aplicación de un perfil de permisos personalizados de una cuenta.

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION