Prérequis - Amazon QuickSight

Prérequis

Pour que vos utilisateurs puissent transmettre des rôles IAM à QuickSight, votre administrateur doit effectuer les tâches suivantes :

  • Créez un rôle IAM. Pour plus d'informations sur la création de rôles IAM, consultez la rubrique Création de rôles IAM dans le Guide de l'utilisateur IAM.

  • Attachez à votre rôle IAM une politique d'approbation qui permette à QuickSight d'assumer ce rôle. Utilisez l'exemple suivant pour créer une politique d'approbation pour le rôle. L'exemple suivant de politique d'approbation permet au principal d'Amazon QuickSight d'assumer le rôle IAM auquel il est attaché.

    Pour plus d'informations sur la création de politiques d'approbation IAM et leur rattachement à des rôles, consultez la rubrique Modification d'un rôle (console) dans le Guide de l'utilisateur IAM.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Attribuez les autorisations IAM suivantes à votre administrateur (utilisateurs ou rôles IAM) :

    • quicksight:UpdateResourcePermissions : cela autorise les utilisateurs IAM qui sont des administrateurs QuickSight à mettre à jour les autorisations au niveau des ressources dans QuickSight. Pour plus d'informations sur les types de ressources définis par QuickSight, consultez la rubrique Actions, ressources et clés de condition pour Amazon QuickSight dans le Guide de l'utilisateur IAM.

    • iam:PassRole : cela autorise les utilisateurs à transmettre des rôles à QuickSight. Pour plus d’informations, consultez la section Octroi d’autorisations à un utilisateur pour transférer un rôle à un service AWS dans le IAM Guide de l’utilisateur.

    • iam:ListRoles : (facultatif) cela autorise les utilisateurs à consulter la liste des rôles existants dans QuickSight. Si cette autorisation n'est pas donnée, ils peuvent utiliser un ARN pour utiliser les rôles IAM existants.

    Voici un exemple de politique d'autorisations IAM qui permet de gérer les autorisations au niveau des ressources, de répertorier les rôles IAM et de transmettre des rôles IAM dans Amazon QuickSight.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::111122223333:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Pour plus d'exemples de politiques IAM que vous pouvez utiliser avec QuickSight, consultez la rubrique Exemples de politique IAM pour Amazon QuickSight.

Pour plus d'informations sur l'attribution de politiques d'autorisation aux utilisateurs ou aux groupes d'utilisateurs, consultez la rubrique Modification des autorisations d'un utilisateur IAM dans le Guide de l'utilisateur IAM.

Une fois que votre administrateur a rempli les conditions préalables, vos utilisateurs IAM peuvent transmettre les rôles IAM à QuickSight. Ils le font en choisissant un rôle IAM lorsqu'ils s'inscrivent à QuickSight, ou par switching to an IAM role sur leur page Sécurité et autorisations QuickSight. Pour savoir comment passer à un rôle IAM existant dans QuickSight, consultez la section suivante.