Fonctionnalités parentales de Quick Suite Fonctionnalités de Quick Suite Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick Suite intégré à IAM Identity Center ou Active Directory Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick Suite utilisant des utilisateurs gérés par Amazon Quick Suite Appliquer un profil d’autorisations personnalisé à un rôle Appliquer un profil d’autorisations personnalisé à un utilisateur Appliquer un profil d’autorisations personnalisé à un compte

Création d'un profil d'autorisations personnalisé dans Amazon Quick Suite

S’applique à : édition Enterprise

Public cible : administrateurs et développeurs Amazon Quick Suite

Dans l'édition Enterprise, vous pouvez restreindre les fonctionnalités auxquelles les utilisateurs peuvent accéder dans Amazon Quick Suite. Vous pouvez configurer des autorisations personnalisées au niveau du compte, du rôle (administrateur, auteur, lecteur) et de l'utilisateur pour tous les types d'identité dans Quick Suite. Les autorisations personnalisées au niveau de l’utilisateur remplacent les autorisations par défaut ou personnalisées existantes d’un rôle pour l’utilisateur spécifié. Les autorisations personnalisées au niveau de l’utilisateur et les autorisations personnalisées au niveau du rôle remplacent les autorisations personnalisées au niveau du compte.

Les limitations suivantes s’appliquent aux autorisations personnalisées.

Vous ne pouvez pas accorder d’autorisations supérieures au rôle par défaut d’un utilisateur. Par exemple, si un utilisateur dispose d’un accès lecteur, vous ne pouvez pas lui accorder l’autorisation de modifier les tableaux de bord.
Pour personnaliser les autorisations des utilisateurs ou des rôles, vous devez être un administrateur Amazon Quick Suite avec les autorisations IAM suivantes :
- quicksight:CreateCustomPermissions
- quicksight:DeleteCustomPermissions
- quicksight:DescribeCustomPermissions
- quicksight:ListCustomPermissions
- quicksight:UpdateCustomPermissions
- quicksight:DescribeAccountCustomPermissions
- quicksight:UpdateAccountCustomPermissions
- quicksight:DeleteAccountCustomPermissions

Vous pouvez créer des profils d'autorisation personnalisés pour restreindre l'accès à n'importe quelle combinaison des fonctionnalités suivantes. Les fonctionnalités parentes peuvent être utilisées pour restreindre l'accès à l'ensemble des fonctionnalités d'un actif. Lorsque les fonctionnalités parentales sont désactivées, toutes les fonctionnalités associées aux enfants sont également désactivées.

Les fonctionnalités dépourvues de fonctionnalités parentes ne peuvent pas être désactivées avec ce mécanisme. Elles doivent plutôt être restreintes en tant que fonctionnalités individuelles.

Fonctionnalités parentales de Quick Suite

Capacités parentales	Fonctionnalité
Analyses	Restreint toutes les fonctionnalités liées à l'analyse
Tableaux de bord	Restreint toutes les fonctionnalités liées aux tableaux de bord
Actions	Restreint toutes les fonctionnalités liées aux actions
Automatiser	Restreint toutes les fonctionnalités liées à l'automatisation
Agents de chat	Restreint toutes les fonctionnalités liées à Chat Agent
Extensions	Restreint toutes les fonctionnalités liées aux extensions
Flux	Restreint toutes les fonctionnalités liées à Flows
Base de connaissances	Restreint toutes les fonctionnalités liées à la base de connaissances
Recherche	Restreint toutes les fonctionnalités liées à la recherche
Espaces	Restreint toutes les fonctionnalités liées aux espaces

Fonctionnalités de Quick Suite

Fonctionnalité	Comportement d'Amazon Quick Suite	Capacités parentales
Création d'agents de chat	Impossible de voir ou d'accéder à aucun agent de chat La bibliothèque d'agents et la navigation sont masquées Peut toujours accéder à d'autres ressources de Quick Suite et en créer, telles que la création d'espaces pour le partage de fichiers avec des équipes ou de flux pour des interactions structurées (à condition que ces fonctionnalités ne soient pas également limitées)	Agents de chat
Autoriser les créateurs à partager sans autorisation	Les flux ne peuvent pas être partagés par les créateurs sans approbation	Flux
Utiliser les modèles Bedrock pour affiner les résultats	Limite l'utilisation des modèles Bedrock	Flux
Permettre à l'agent d'interface utilisateur d'effectuer des tâches du navigateur	Empêche l'agent Flows UI d'effectuer des tâches de navigateur	Flux
Utiliser Internet pour améliorer les résultats	Limite l'utilisation de la recherche sur le Web dans Chat Agents and Research	--
Partage d'analyses	L'option Accès à l'option Partager du menu Fichier est désactivée pour les analyses	Analyses
Ajouter ou exécuter un système de détection des anomalies	L'accès à l'option Ajouter une anomalie à la feuille dans le menu Insights est désactivé pour les analyses L'accès à l'option Anomalie du menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas ajouter la détection des anomalies aux feuilles	Analyses
Feuille d'impression	L'accès à l'option Imprimer du menu Fichier est désactivé pour les analyses L'accès à l'option Imprimer du menu Exporter est désactivé pour les tableaux de bord Les utilisateurs ne pourront pas imprimer de feuilles	--
Exporter la feuille au format PDF	L'accès à l'option Exporter au format PDF dans le menu Fichier est désactivé pour les analyses L'accès à l'option Générer un PDF dans le menu Exporter est désactivé pour les tableaux de bord Les utilisateurs ne pourront pas exporter les feuilles vers un fichier PDF	--
Création ou mise à jour de thèmes	L'accès à l'option Thèmes du menu Edition est désactivé pour les analyses Les utilisateurs ne pourront pas créer de thèmes personnalisés Les utilisateurs ne pourront pas modifier ou mettre à jour les thèmes existants	--
Partage de tableaux de bord	L'accès à l'icône de partage dans le menu de navigation est désactivé pour les tableaux de bord	Tableau de bord
Exporter le visuel au format CSV	L'accès à l'option Exporter au format CSV dans le menu à trois points de chaque visuel est désactivé pour les analyses et les tableaux de bord. L'accès à l'option Exporter le visuel au format CSV dans le menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas exporter de visuels vers un fichier CSV	--
Exporter le visuel vers Excel	L'accès à l'option Exporter vers Excel dans le menu à trois points de chaque tableau est désactivé pour les analyses et les tableaux de bord. L'accès à l'option Exporter le tableau vers Excel dans le menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas exporter de tableaux vers un fichier Excel	--
Création ou mise à jour de tous les ensembles de données	L'accès à la création ou à la mise à jour de tous les ensembles de données sera désactivé	--
Création ou mise à jour de jeux de données SPICE uniquement	L'accès à la création ou à la mise à jour des ensembles de données SPICE sera désactivé	--
Partager des jeux de données	L'accès au partage des ensembles de données sera désactivé	--
Affichage de la capacité du compte SPICE	Limite la récupération de la capacité SPICE du compte	--
Création ou mise à jour de toutes les sources de données	L'accès à la création ou à la mise à jour de toutes les sources de données sera désactivé	--
Partage de sources de données	L'accès au partage des sources de données sera désactivé	--
Création de dossiers partagés	Limite la création de dossiers partagés	--
Renommer les dossiers partagés	Empêche de renommer les dossiers partagés	--
Création ou mise à jour de rapports par e-mail planifiés	L'accès à l'option Horaires du menu Horaires est désactivé pour les tableaux de bord L'accès à l'option Instantanés récents du menu Planifications est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de créer ou de mettre à jour des rapports par e-mail planifiés	--
Abonnement à des rapports par e-mail planifiés	Les utilisateurs ne pourront pas s'abonner aux rapports par e-mail planifiés	Tableau de bord
Pièces jointes CSV dans les rapports par e-mail planifiés	L'accès à l'option CSV dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord. Les utilisateurs ne seront pas en mesure de joindre des fichiers CSV dans les rapports par e-mail planifiés	--
Pièces jointes Excel dans les rapports par e-mail planifiés	L'accès à l'option Excel dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord. Les utilisateurs ne seront pas en mesure de joindre des fichiers Excel dans les rapports par e-mail planifiés	--
Pièces jointes au format PDF dans les rapports par e-mail planifiés	L'accès à l'option PDF dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord. Les utilisateurs ne seront pas en mesure de joindre des fichiers PDF dans les rapports par e-mail planifiés	--
Contenu des rapports par e-mail planifiés	Les utilisateurs recevront le contenu des rapports par e-mail programmés uniquement sous forme de liens téléchargeables protégés par une connexion Inclure la feuille dans le corps de l'e-mail et les options de pièce jointe dans le menu Horaires ne seront pas prises en compte Les images ne seront pas incluses dans les rapports par e-mail planifiés	--
Création ou mise à jour d'alertes de seuil	L'accès au menu Alertes est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de créer ou de mettre à jour des alertes de seuil	--

Des profils d'autorisations personnalisés peuvent être créés pour les comptes Amazon Quick Suite intégrés à IAM Identity Center, Active Directory ou pour les comptes Amazon Quick Suite dont les utilisateurs sont gérés par Amazon Quick Suite. Le type d'identité utilisé par un compte Amazon Quick Suite détermine la manière dont un administrateur Amazon Quick Suite configure un profil d'autorisations personnalisé.

La procédure suivante explique comment contrôler l'accès aux fonctionnalités d'Amazon Quick Suite et aux fonctionnalités correspondantes.

Pour contrôler l'accès aux fonctionnalités et fonctionnalités d'Amazon Quick Suite

Connectez-vous à la console Amazon Quick Suite.
Sélectionnez Gérer Quick Suite.
Dans le menu de navigation de gauche de la console d'administration, sélectionnez Autorisations, puis sélectionnez Autorisations personnalisées.
Dans Autorisations personnalisées, dans Profils, sélectionnez Nouveau profil ou choisissez de modifier le profil par défaut.
Dans Nouveau profil, procédez comme suit :
- Dans Restreindre les fonctionnalités : choisissez d'autoriser des fonctionnalités spécifiques à votre système en cochant ou en décochant les options appropriées.
- Dans Restreindre les fonctionnalités : choisissez d'autoriser des fonctionnalités spécifiques en cochant ou en décochant les options appropriées.

Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick Suite intégré à IAM Identity Center ou Active Directory

Les administrateurs de comptes Amazon Quick Suite peuvent utiliser la procédure suivante pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick Suite intégré à IAM Identity Center ou à Active Directory.

Pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick Suite intégré à IAM Identity Center ou Active Directory

Connectez-vous à la AWS console de gestion.
Ouvrez Amazon Quick Suite.
La console d'administration Amazon Quick Suite s'ouvre. Choisissez Autorisations personnalisées.
La page Gérer les autorisations personnalisées s’ouvre. Choisissez l’une des options suivantes :
- Pour créer un nouveau profil d’autorisations personnalisé, choisissez Créer.
- Pour modifier ou consulter un profil d'autorisations personnalisé existant, choisissez les points de suspension (trois points) à côté du profil souhaité, puis choisissez Modifier.
Si vous souhaitez créer ou mettre à jour un profil d’autorisations personnalisé, sélectionnez les éléments suivants.
- Pour Nom, saisissez un nom pour votre profil d’autorisations personnalisé.
- Pour Restrictions, choisissez les options que vous voulez refuser. Toutes les options que vous ne sélectionnez pas sont autorisées. Par exemple, si vous ne souhaitez pas que les utilisateurs créent ou mettent à jour des sources de données, mais qu'ils puissent effectuer tout le reste, choisissez uniquement Créer ou mettre à jour des sources de données.
Choisissez Créer ou Mettre à jour pour confirmer vos choix. Pour revenir en arrière sans apporter de modifications, choisissez Retour.
Une fois les modifications effectuées, enregistrez le nom du profil d’autorisations personnalisé. Indiquez le nom du profil d’autorisations personnalisé aux utilisateurs de l’API afin qu’ils puissent appliquer ce profil à des rôles ou utilisateurs.

Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick Suite utilisant des utilisateurs gérés par Amazon Quick Suite

Les administrateurs de comptes Amazon Quick Suite peuvent utiliser la procédure suivante pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick Suite qui utilise des utilisateurs gérés par Amazon Quick Suite.

Pour créer un profil d'autorisations personnalisé pour les utilisateurs gérés par Amazon Quick Suite

Ouvrez la console Quick Suite.
Depuis n'importe quelle page de la console Amazon Quick Suite, choisissez Gérer Quick Suite dans le coin supérieur droit.

Seuls les administrateurs d'Amazon Quick Suite ont accès à l'option de menu Gérer Quick Suite. Si vous n'avez pas accès au menu Gérer Quick Suite, contactez votre administrateur Amazon Quick Suite pour obtenir de l'aide.
Choisissez Autorisations personnalisées. Vous pouvez également choisir la section Gérer les utilisateurs, puis choisir Gérer les autorisations personnalisées.
La page Gérer les autorisations personnalisées s’ouvre. Choisissez l’une des options suivantes :
- Pour créer un nouveau profil d’autorisations personnalisé, choisissez Créer.
- Pour modifier ou consulter un profil d'autorisations personnalisé existant, choisissez les points de suspension (trois points) à côté du profil souhaité, puis choisissez Modifier.
Si vous souhaitez créer ou mettre à jour un profil d’autorisations personnalisé, sélectionnez les éléments suivants.
- Pour Nom, saisissez un nom pour votre profil d’autorisations personnalisé.
- Pour Restrictions, choisissez les options que vous voulez refuser. Toutes les options que vous ne sélectionnez pas sont autorisées. Par exemple, si vous ne voulez pas que les utilisateurs créent ou mettent à jour des sources de données, mais que vous êtes d’accord pour qu’ils effectuent toutes les autres opérations, sélectionnez uniquement Création ou mise à jour d’une source de données.
Choisissez Créer ou Mettre à jour pour confirmer vos choix. Pour revenir en arrière sans apporter de modifications, choisissez Retour.
Une fois les modifications effectuées, enregistrez le nom du profil d’autorisations personnalisé. Indiquez le nom du profil d’autorisations personnalisé aux utilisateurs de l’API afin qu’ils puissent appliquer ce profil à des rôles ou utilisateurs.

Après avoir créé un profil d'autorisations personnalisé, utilisez Amazon Quick Suite APIs pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un utilisateur, un rôle ou un compte. Les utilisateurs disposant d'autorisations suffisantes peuvent également utiliser la AWS::QuickSight::CustomPermissions CloudFormation ressource pour gérer les profils d'autorisations personnalisés d'Amazon Quick Suite. Consultez les rubriques suivantes pour en savoir plus sur la gestion des profils d'autorisations personnalisés avec Amazon Quick Suite APIs.

Appliquer un profil d'autorisations personnalisé à un rôle Amazon Quick Suite avec l'API Amazon Quick Suite

Après avoir créé un profil d'autorisations personnalisé, utilisez Amazon Quick Suite APIs pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un rôle.

Avant de commencer, vous devez installer et configurer la AWS CLI. Pour plus d'informations sur l'installation de la AWS CLI, voir Installer ou mettre à jour la dernière version de la AWS CLI et Configurer la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur. Vous devez également disposer d'autorisations pour utiliser l'API Amazon Quick Suite.

L’exemple suivant appelle l’API UpdateRoleCustomPermission pour mettre à jour les autorisations personnalisées attribuées à un rôle.


aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

L’exemple suivant renvoie le profil d’autorisations personnalisé attribué à un rôle.


aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

L’exemple suivant supprime un profil d’autorisations personnalisé d’un rôle.


aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Appliquer un profil d'autorisations personnalisé à un utilisateur avec l'API Amazon Quick Suite

L’exemple suivant applique un profil d’autorisations personnalisé à un utilisateur.


aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

L’exemple suivant supprime un profil d’autorisations personnalisé d’un utilisateur.


aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

L'exemple suivant ajoute des autorisations personnalisées à un nouvel utilisateur IAM d'Amazon Quick Suite.


aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

Vous pouvez également associer un utilisateur IAM existant à un nouveau profil d’autorisations. L’exemple suivant met à jour le profil d’autorisations personnalisé d’un utilisateur IAM existant.


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

L’exemple ci-dessous retire un utilisateur existant d’un profil d’autorisations.


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

Pour tester les autorisations personnalisées appliquées à un rôle ou à un utilisateur, connectez-vous au compte de l’utilisateur. Lorsqu'un utilisateur se connecte à Amazon Quick Suite, il reçoit le rôle le plus privilégié auquel il a accès. Le rôle avec le plus haut niveau de privilège pouvant être accordé à un utilisateur est celui d’administrateur. Le rôle le moins privilégié qui peut être accordé à un utilisateur est celui de lecteur. Pour plus d'informations sur les rôles dans Amazon Quick Suite, consultez Gérer l'accès des utilisateurs dans Amazon Quick Suite.

Si vous attribuez un profil d’autorisations personnalisé qui limite le partage des sources de données au rôle de l’auteur, celui-ci n’est plus en mesure d’accéder aux contrôles autorisant le partage des sources de données. Au lieu de cela, l’auteur concerné dispose d’autorisations d’accès en lecture seule à la source de données.

Appliquer un profil d’autorisations personnalisé à un compte

Pour appliquer un profil d’autorisations personnalisé à compte

Ouvrez la console Quick Suite.
En haut à droite, sélectionnez l’icône de profil.
Choisissez Manage Quick Suite. Seuls les administrateurs d'Amazon Quick Suite pourront consulter cette page.
Choisissez Autorisations personnalisées. Vous pouvez également choisir la section Gérer les utilisateurs, puis choisir Gérer les autorisations personnalisées si votre compte Quick Suite utilise des utilisateurs gérés par Quick Suite.
Localisez l’autorisation personnalisée du compte souhaité. Dans le menu des options, sous Actions, choisissez Définir comme profil de compte.

Appliquer un profil d'autorisations personnalisé à un compte à l'aide de la Quick Suite APIs

Après avoir créé un profil d'autorisations personnalisé, utilisez l'API Quick Suite pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un compte.

Avant de commencer, vous devez installer et configurer la AWS CLI. Pour plus d'informations sur l'installation de la AWS CLI, voir Installer ou mettre à jour la dernière version de la AWS CLI et Configurer la AWS CLI dans le guide de l'utilisateur de l'interface de ligne de AWS commande. Vous avez également besoin des autorisations suivantes :quicksight:UpdateAccountPermission, quicksight:DescribeAccountPermission, et quicksight:DeleteAccountCustomPermission.

L’exemple suivant appelle l’API UpdateAccountPermission pour mettre à jour les autorisations personnalisées attribuées à un compte.


aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

L’exemple suivant renvoie le profil d’autorisations personnalisé attribué à un compte.


aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

L’exemple suivant supprime un profil d’autorisations personnalisé d’un compte.


aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Microsoft TeamsExtension Amazon Quick Suite

Gestion des personnalisations