Étape 1 : Configurer des autorisations - Amazon QuickSight

Étape 1 : Configurer des autorisations

Important

Amazon QuickSight propose de nouvelles API pour l'intégration des analyses : GenerateEmbedUrlForAnonymousUser et GenerateEmbedUrlForRegisteredUser.

Vous pouvez toujours utiliser les API GetDashboardEmbedUrl et GetSessionEmbedUrl pour intégrer des tableaux de bord et la console QuickSight, mais elles ne contiennent pas les dernières fonctionnalités d'intégration. Pour obtenir la dernière mise à jour de l'expérience d'intégration, consultez la rubrique Intégration de l'analyse QuickSight dans vos applications.

Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web. Cette tâche requiert un accès d'administration à IAM.

Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui permet d'accéder à Amazon QuickSight et au tableau de bord. Pour que cela soit possible, créez un rôle IAM dans votre compte AWS. Associez une politique IAM au rôle afin de fournir des autorisations à n'importe quel utilisateur qui assume ce rôle. Le rôle IAM doit fournir des autorisations pour récupérer les URL du tableau de bord. Pour cela, ajoutez quicksight:GetDashboardEmbedUrl.

L'exemple de politique suivant fournit ces autorisations à utiliser avec IdentityType=IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetDashboardEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

L'exemple de politique suivant autorise la récupération de l'URL d'un tableau de bord. Vous devez utiliser cette politique avec quicksight:RegisterUser si vous créez pour la première fois des utilisateurs destinés à lire QuickSight.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetDashboardEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Si vous utilisez QUICKSIGHT comme identityType et fournissez l'Amazon Resource Name (ARN) de l'utilisateur, vous devez également autoriser l'action quicksight:GetAuthCode dans votre politique. L'exemple de stratégie suivant fournit cette autorisation.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetDashboardEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

L'identité IAM de votre application doit avoir une politique d'approbation qui lui est associée afin d'autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, votre application peut assumer le rôle pour le compte de l'utilisateur, et provisionner l'utilisateur dans QuickSight. L'exemple suivant montre un rôle appelé embedding_quicksight_dashboard_role, qui possède l'exemple de stratégie précédent en tant que ressource.

Pour plus d'informations sur les stratégies d'approbation pour OpenId Connect ou l'authentification SAML, consultez les sections suivantes du Guide de l'utilisateur IAM :