Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas de IAM para Quick Suite
En esta sección se proporcionan ejemplos de políticas de IAM que puede utilizar con Quick Suite.
Políticas de IAM basadas en la identidad para Quick Suite
En esta sección se muestran ejemplos de políticas basadas en la identidad que se pueden usar con Quick Suite.
Políticas de IAM basadas en la identidad para la administración de la consola de IAM de Amazon Quick Suite
El siguiente ejemplo muestra los permisos de IAM necesarios para las acciones de administración de la consola de IAM de Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick Suite: paneles
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: espacios de nombres
Los siguientes ejemplos muestran las políticas de IAM que permiten a un administrador de Amazon Quick Suite crear o eliminar espacios de nombres.
Creación de espacios de nombres
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminación de espacios de nombres
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: permisos personalizados
El siguiente ejemplo muestra una política de IAM que permite a un administrador de Amazon Quick Suite o a un desarrollador gestionar los permisos personalizados.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: personalización de las plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico en Amazon Quick Suite, así como obtener atributos de verificación para una identidad de Amazon Simple Email Service. Esta política permite a un administrador de Amazon Quick Suite crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: cree una cuenta empresarial con los usuarios gestionados de Amazon Quick Suite
El siguiente ejemplo muestra una política que permite a los administradores de Amazon Quick Suite crear una cuenta de Amazon Quick Suite de la edición Enterprise con los usuarios gestionados de Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick Suite: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente usuarios de Amazon Quick Suite. En quicksight:CreateReader, quicksight:CreateUser y quicksight:CreateAdmin, puede limitar los permisos a "Resource":
"arn:aws:quicksight::. Para el resto de los permisos que se describen en esta guía, utilice <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". El recurso que especifique limita el alcance de los permisos para el recurso especificado.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: creación y administración de grupos
El siguiente ejemplo muestra una política que permite a los administradores y desarrolladores de Amazon Quick Suite crear y gestionar grupos.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: acceso total para la edición Standard
El siguiente ejemplo de la edición estándar de Amazon Quick Suite muestra una política que permite suscribirse y crear autores y lectores. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
El siguiente ejemplo de la edición Amazon Quick Suite Enterprise muestra una política que permite a un usuario de Amazon Quick Suite suscribirse a Amazon Quick Suite, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick Suite integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles de Amazon Quick Suite Pro que otorgan acceso a Amazon Q en las capacidades de BI generativa de Quick Suite. Para obtener más información sobre los roles profesionales en Amazon Quick Suite, consulte Comenzar con la BI generativa.
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick Suite: acceso total a la edición Enterprise con IAM Identity Center
El siguiente ejemplo de la edición Amazon Quick Suite Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de Amazon Quick Suite integrada con el IAM Identity Center.
Esta política no concede permisos para crear roles Pro en Amazon Quick Suite. Para crear una política que conceda permiso para suscribirse a los roles Pro en Amazon Quick Suite, consulte Políticas de IAM basadas en la identidad para Amazon Quick Suite: All access for Enterprise edition with IAM Identity Center (roles Pro).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick Suite: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon Quick Suite Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de Amazon Quick Suite que usa Active Directory para la administración de identidades. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de grupos de Active Directory para una cuenta de Amazon Quick Suite Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas de IAM basadas en la identidad para Quick Suite: uso de la consola de administración de activos
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick Suite: uso de la consola de administración de claves
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Los "kms:ListAliases" permisos "quicksight:ListKMSKeysForUser" y son necesarios para acceder a las claves gestionadas por el cliente desde la consola de Amazon Quick Suite. "quicksight:ListKMSKeysForUser"y no "kms:ListAliases" están obligados a utilizar la gestión de claves de Amazon Quick Suite APIs.
Para especificar a qué claves desea que un usuario pueda acceder, añada a ARNs la UpdateKeyRegistration condición las claves a las que desea que el usuario acceda con la clave de quicksight:KmsKeyArns condición. Los usuarios solo pueden acceder a las claves especificadas en UpdateKeyRegistration. Para obtener más información sobre las claves de condición compatibles con Amazon Quick Suite, consulte Claves de condición de Amazon Quick Suite.
El siguiente ejemplo otorga Describe permisos a todos los CMKs que estén registrados en una cuenta de Amazon Quick Suite y Update permisos a específicos CMKs que estén registrados en la cuenta de Amazon Quick Suite.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS recursos: Quick Suite: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon Quick Suite Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
