Actions Ressources Clés de condition Exemples

Politiques Amazon QuickSight (basées sur l'identité)

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon QuickSight est compatible avec des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

Vous pouvez utiliser les informations d'identification racine AWS ou les informations d'identification de l'utilisateur IAM pour créer un compte Amazon QuickSight. Les informations d'identification racine et administrateur AWS disposent déjà de toutes les autorisations requises pour gérer l'accès d'Amazon QuickSight aux ressources AWS.

Toutefois, nous vous recommandons de protéger vos informations d'identification racine et d'utiliser plutôt des informations d'identification d'utilisateur IAM. Pour ce faire, vous pouvez créer une politique et l'attacher à l'utilisateur et aux rôles IAM que vous prévoyez d'utiliser pour Amazon QuickSight. La politique doit inclure les déclarations appropriées pour les tâches administratives Amazon QuickSight que vous avez besoin d'effectuer, comme indiqué dans les sections suivantes.

Important

Tenez compte des éléments suivants lorsque vous travaillez avec Amazon QuickSight et les stratégies IAM :

Évitez de modifier directement une politique créée par Amazon QuickSight. Lorsque vous la modifiez vous-même, Amazon QuickSight ne peut pas la modifier. Cette incapacité peut entraîner un problème lié à la stratégie. Pour résoudre ce problème, supprimez la stratégie précédemment modifiée.
Si vous rencontrez une erreur concernant les autorisations lors de la création d'un compte Amazon QuickSight, consultez la rubrique Actions définies par Amazon QuickSight dans le Guide de l'utilisateur IAM.
Dans certains cas, vous pouvez avoir un compte Amazon QuickSight auquel vous ne pouvez pas accéder, même à partir du compte racine (par exemple, si vous avez accidentellement supprimé son service de répertoire). Dans ce cas, vous pouvez supprimer votre ancien compte Amazon QuickSight, puis le recréer. Pour de plus amples informations, consultez Suppression de votre abonnement Amazon QuickSight et fermeture du compte.

Actions

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de politique possèdent généralement le même nom que l’opération d’API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions de politique dans Amazon QuickSight utilisent le préfixe suivant avant l'action : quicksight:. Par exemple, pour accorder à une personne l'autorisation d'exécuter une instance Amazon EC2 avec l'opération d'API RunInstances Amazon EC2, vous incluez l'action ec2:RunInstances dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon QuickSight définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :


"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Create, incluez l’action suivante :


"Action": "quicksight:Create*"

Amazon QuickSight propose plusieurs actions AWS Identity and Access Management (IAM). Toutes les actions Amazon QuickSight actions comportent le préfixe quicksight:, par exemple quicksight:Subscribe. Pour obtenir des informations sur les actions Amazon QuickSight dans une politique IAM, consultez la rubrique Exemples de politique IAM pour Amazon QuickSight.

Pour consulter la liste la plus récente des actions Amazon QuickSight, consultez la rubrique Actions définies par Amazon QuickSight dans le Guide de l'utilisateur IAM.

Ressources

L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.


"Resource": "*"

Voici un exemple de stratégie. Cela signifie que le mandataire auquel cette stratégie est attachée est en mesure d'invoquer l'opération CreateGroupMembership sur n'importe quel groupe, à condition que le nom d'utilisateur qu'il ajoute au groupe ne soit pas user1.


{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Certaines actions Amazon QuickSight, telles que celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).


"Resource": "*"

Certaines actions d'API nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez leurs ARN par des virgules.


"Resource": [
	      "resource1",
	      "resource2"

Pour consulter la liste des types de ressources Amazon QuickSight et leurs noms Amazon Resource Names (ARN), consultez la rubrique Ressources définies par Amazon QuickSight dans le Guide de l'utilisateur IAM. Pour savoir les actions avec lesquelles vous pouvez spécifier l'ARN de chaque ressource, consultez la rubrique Actions définies par Amazon QuickSight.

Clés de condition

L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l’aide d’une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d’informations, consultez Éléments d’une politique IAM : variables et identifications dans le Guide de l’utilisateur IAM.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques à un service. Pour afficher toutes les clés de condition globales AWS, consultez Clés de contexte de condition globales AWS dans le Guide de l’utilisateur IAM.

Amazon QuickSight ne fournit pas de clés de condition spécifiques au service, mais prend en charge l'utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition globales AWS, consultez la rubrique Clés de contexte de condition globale AWS dans le Guide de l’utilisateur IAM.

Exemples

Pour voir des exemples de politiques Amazon QuickSight basées sur l'identité, consultez la rubrique Politiques IAM basées sur l'identité pour Amazon QuickSight.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d'Amazon QuickSight à IAM

Politiques Amazon QuickSight (basées sur les ressources)