Transferencia de funciones de IAM a Quick Suite - Amazon Quick Suite
Requisitos previosAsociación de políticas adicionalesUso de las funciones de IAM existentes en Quick Suite

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Transferencia de funciones de IAM a Quick Suite

 Se aplica a: Enterprise Edition 

Cuando sus usuarios de IAM se registran en Quick Suite, pueden optar por utilizar la función gestionada por Amazon Quick Suite (esta es la función predeterminada). O bien, pueden transferir una función de IAM existente a Amazon Quick Suite.

Utilice las siguientes secciones para transferir las funciones de IAM existentes a Amazon Quick Suite

Requisitos previos

Para que sus usuarios transfieran las funciones de IAM a Amazon Quick Suite, el administrador debe realizar las siguientes tareas:

  • Cree un rol de IAM. Para obtener más información sobre la creación de roles, consulte Creación de roles de IAM en la Guía del usuario de IAM.

  • Adjunta una política de confianza a tu función de IAM que permita a Amazon Quick Suite asumir esa función. Use el siguiente ejemplo para crear una política de confianza para el rol. El siguiente ejemplo de política de confianza permite al director de Quick Suite asumir la función de IAM a la que está vinculado.

    Para obtener más información sobre cómo crear políticas de confianza de IAM y asociarlas a los roles, consulte Modificación de un rol (consola) en la Guía del usuario de IAM.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Asigne los siguientes permisos de IAM a su administrador (usuarios o roles de IAM):

    • quicksight:UpdateResourcePermissions— Esto concede a los usuarios de IAM que son administradores de Amazon Quick Suite el permiso para actualizar los permisos a nivel de recursos en Amazon Quick Suite. Para obtener más información sobre los tipos de recursos definidos por Amazon Quick Suite, consulte Acciones, recursos y claves de condición de Quick Suite en la Guía del usuario de IAM.

    • iam:PassRole— Esto otorga a los usuarios permiso para transferir funciones a Amazon Quick Suite. Para obtener más información, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del usuario de IAM.

    • iam:ListRoles— (Opcional) Esto otorga a los usuarios permiso para ver una lista de las funciones existentes en Amazon Quick Suite. Si no se proporciona este permiso, pueden usar un ARN para usar los roles de IAM existentes.

    El siguiente es un ejemplo de una política de permisos de IAM que permite administrar los permisos a nivel de recursos, enumerar las funciones de IAM y transferir las funciones de IAM en Quick Suite.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Para ver más ejemplos de políticas de IAM que puede usar con Amazon Quick Suite, consulte Ejemplos de políticas de IAM para Amazon Quick Suite.

Para obtener más información sobre cómo asignar políticas de permisos a usuarios y grupos de usuarios, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.

Asociación de políticas adicionales

Si utiliza otro AWS servicio, como Amazon Athena o Amazon S3, puede crear una política de permisos que conceda permiso a Amazon Quick Suite para realizar acciones específicas. A continuación, puede adjuntar la política a las funciones de IAM y transferirlas posteriormente a Amazon Quick Suite. Los siguientes son ejemplos de cómo puede configurar y asociar políticas de permisos adicionales a sus roles de IAM.

Para ver un ejemplo de política gestionada para Amazon Quick Suite en Athena, consulte Política AWSQuicksight AthenaAccess gestionada en la Guía del usuario de Amazon Athena. Los usuarios de IAM pueden acceder a este rol en Amazon Quick Suite mediante el siguiente ARNarn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess:.

El siguiente es un ejemplo de una política de permisos para Amazon Quick Suite en Amazon S3. Para obtener más información sobre el uso de IAM con Amazon S3, consulte Identity and Access Management en Amazon S3 en la Guía del usuario de Amazon S3.

Para obtener información sobre cómo crear un acceso multicuenta desde Amazon Quick Suite a un bucket de Amazon S3 de otra cuenta, consulte ¿Cómo configuro el acceso multicuenta desde Quick Suite a un bucket de Amazon S3 de otra cuenta? en el Centro de AWS conocimiento.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Uso de las funciones de IAM existentes en Quick Suite

Si es administrador de Amazon Quick Suite y tiene permisos para actualizar los recursos de Amazon Quick Suite y transferir funciones de IAM, puede usar las funciones de IAM existentes en Amazon Quick Suite. Para obtener más información sobre los requisitos previos para pasar a las funciones de IAM en Amazon Quick Suite, consulte los requisitos previos descritos en la lista anterior.

Utilice el siguiente procedimiento para obtener información sobre cómo transferir funciones de IAM en Amazon Quick Suite.

Para usar un rol de IAM existente en Amazon Quick Suite

  1. En Amazon Quick Suite, elige el nombre de tu cuenta en la barra de navegación de la parte superior derecha y selecciona Administrar QuickSight.

  2. En la página Gestionar Amazon Quick Suite que se abre, selecciona Seguridad y permisos en el menú de la izquierda.

  3. En la página Seguridad y permisos que se abre, en Amazon Quick Suite para acceder a AWS los servicios, selecciona Administrar.

  4. En Rol de IAM, elija Usar un rol existente y, a continuación, realice una de las siguientes acciones:

    • Seleccione el rol que quiera utilizar de la lista.

    • O bien, si no ve una lista de los roles de IAM existentes, puede introducir el ARN de IAM para el rol en el siguiente formato: arn:aws:iam::account-id:role/path/role-name.

  5. Seleccione Save.