Paso 1: configuración de permisos - Amazon Quick Suite

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: configuración de permisos

importante

Amazon Quick Sight tiene novedades APIs para incorporar análisis: GenerateEmbedUrlForAnonymousUser yGenerateEmbedUrlForRegisteredUser.

Puede seguir utilizando GetDashboardEmbedUrl y GetSessionEmbedUrl APIs para incrustar paneles y la consola Amazon Quick Sight, pero no incluyen las capacidades de incrustación más recientes. Para obtener la experiencia de up-to-date incrustación más reciente, consulte Incrustar los análisis de Amazon Quick Sight en sus aplicaciones.

En la siguiente sección, puede encontrar cómo configurar los permisos de la aplicación de backend o del servidor web. Esta tarea requiere acceso administrativo a IAM.

Cada usuario que accede a Amazon Quick Sight asume un rol que le otorga acceso a Amazon Quick Sight y permisos para acceder a la sesión de consola. Para que esto sea posible, cree un rol de IAM en su AWS cuenta. Asocie una política de IAM al rol para proporcionar permisos a cualquier usuario que lo asuma. Añada quicksight:RegisterUser permisos para garantizar que el lector pueda acceder a Amazon Quick Sight en modo de solo lectura y no tenga acceso a ningún otro dato o función de creación. La función de IAM también debe proporcionar permisos para recuperar la sesión de la consola. URLs Para ello, añada quicksight:GetSessionEmbedUrl.

La siguiente política de ejemplo ofrece estos permisos para usar con IdentityType=IAM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

El siguiente ejemplo de política proporciona permiso para recuperar la URL de una sesión de consola. Utilice la política sin quicksight:RegisterUser si va a crear usuarios antes de que accedan a una sesión integrada.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

Si utiliza QUICKSIGHT como su identityType, y proporciona el Nombre de recurso de Amazon (ARN) del usuario, también debe permitir la acción quicksight:GetAuthCode en su política. La siguiente política de ejemplo proporciona este permiso.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

La identidad de IAM de su aplicación debe tener asociada una política de confianza para permitir el acceso al rol que acaba de crear. Esto significa que cuando un usuario accede a su aplicación, esta puede asumir la función en nombre del usuario y aprovisionar al usuario en Amazon Quick Sight. En el siguiente ejemplo, se muestra un rol denominado embedding_quicksight_console_session_role, que cuenta con la política de ejemplo anterior como recurso.

Para obtener más información sobre las políticas de confianza para la autenticación de OpenID Connect o SAML, consulte las siguientes secciones de la Guía del usuario de IAM: