Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques IAM pour Quick Suite
Cette section fournit des exemples de politiques IAM que vous pouvez utiliser avec Quick Suite.
Politiques basées sur l'identité IAM pour Quick Suite
Cette section présente des exemples de politiques basées sur l'identité à utiliser avec Quick Suite.
Rubriques
Politiques basées sur l'identité IAM pour l'administration de la console IAM Amazon Quick Suite
L'exemple suivant montre les autorisations IAM nécessaires pour les actions d'administration de la console IAM Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick Suite : tableaux de bord
L’exemple suivant présente une politique IAM qui permet le partage et l’intégration de tableaux de bord spécifiques.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : espaces de noms
Les exemples suivants présentent les politiques IAM qui permettent à un administrateur Amazon Quick Suite de créer ou de supprimer des espaces de noms.
Création d’espaces de noms
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Suppression d’espaces de noms
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : autorisations personnalisées
L'exemple suivant montre une politique IAM qui permet à un administrateur ou à un développeur Amazon Quick Suite de gérer des autorisations personnalisées.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L’exemple suivant présente une autre façon d’accorder les mêmes autorisations que dans l’exemple précédent.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : personnalisation des modèles de rapports par e-mail
L'exemple suivant montre une politique qui permet de consulter, de mettre à jour et de créer des modèles de rapports par e-mail dans Amazon Quick Suite, ainsi que d'obtenir des attributs de vérification pour une identité Amazon Simple Email Service. Cette politique permet à un administrateur Amazon Quick Suite de créer et de mettre à jour des modèles de rapports par e-mail personnalisés, et de confirmer que toute adresse e-mail personnalisée à partir de laquelle il souhaite envoyer des rapports par e-mail est une identité vérifiée dans SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : créer un compte d'entreprise avec les utilisateurs gérés par Amazon Quick Suite
L'exemple suivant montre une politique qui permet aux administrateurs d'Amazon Quick Suite de créer un compte Amazon Quick Suite Enterprise avec des utilisateurs gérés par Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick Suite : création d'utilisateurs
L'exemple suivant montre une politique qui permet de créer uniquement des utilisateurs Amazon Quick Suite. Pour quicksight:CreateReader, quicksight:CreateUser et quicksight:CreateAdmin, vous pouvez limiter les autorisations à "Resource":
"arn:aws:quicksight::. Pour toutes les autres autorisations décrites dans ce guide, utilisez <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La ressource que vous spécifiez limite la portée des autorisations pour la ressource spécifiée.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : création et gestion de groupes
L'exemple suivant montre une politique qui permet aux administrateurs et aux développeurs d'Amazon Quick Suite de créer et de gérer des groupes.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : accès complet pour l'édition Standard
L'exemple suivant pour l'édition standard d'Amazon Quick Suite montre une politique qui permet de s'abonner et de créer des auteurs et des lecteurs. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : accès complet pour l'édition Enterprise avec IAM Identity Center (rôles Pro)
L'exemple suivant pour l'édition Amazon Quick Suite Enterprise montre une politique qui permet à un utilisateur d'Amazon Quick Suite de s'abonner à Amazon Quick Suite, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick Suite intégré à IAM Identity Center.
Cette politique permet également aux utilisateurs de s'abonner à des rôles Amazon Quick Suite Pro qui accordent l'accès à Amazon Q dans les fonctionnalités de Quick Suite Generative BI. Pour plus d'informations sur les rôles Pro dans Amazon Quick Suite, consultez Commencer avec Generative BI.
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick Suite : All Access for Enterprise edition avec IAM Identity Center
L'exemple suivant pour l'édition Amazon Quick Suite Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick Suite intégré à IAM Identity Center.
Cette politique n'autorise pas la création de rôles Pro dans Amazon Quick Suite. Pour créer une politique autorisant l'abonnement à des rôles Pro dans Amazon Quick Suite, consultez Politiques basées sur l'identité IAM pour Amazon Quick Suite : All access for Enterprise edition with IAM Identity Center (rôles Pro).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick Suite : accès complet pour l'édition Enterprise avec Active Directory
L'exemple suivant pour l'édition Amazon Quick Suite Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick Suite qui utilise Active Directory pour la gestion des identités. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : groupes Active Directory
L'exemple suivant montre une politique IAM qui permet la gestion de groupes Active Directory pour un compte Amazon Quick Suite Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Politiques basées sur l'identité IAM pour Quick Suite : utilisation de la console de gestion des actifs d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des actifs d’administration.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick Suite : utilisation de la console de gestion des clés d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des clés d’administration.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Les "kms:ListAliases" autorisations "quicksight:ListKMSKeysForUser" et sont requises pour accéder aux clés gérées par le client depuis la console Amazon Quick Suite. "quicksight:ListKMSKeysForUser"et ne "kms:ListAliases" sont pas tenus d'utiliser la gestion des clés Amazon Quick Suite APIs.
Pour spécifier les clés auxquelles vous souhaitez qu'un utilisateur puisse accéder, ajoutez les ARNs clés auxquelles vous souhaitez que l'utilisateur accède à la UpdateKeyRegistration condition à l'aide de la clé de quicksight:KmsKeyArns condition. Les utilisateurs ne peuvent accéder qu’aux clés spécifiées dans UpdateKeyRegistration. Pour plus d'informations sur les clés de condition prises en charge pour Amazon Quick Suite, consultez la section Clés de condition pour Amazon Quick Suite.
L'exemple ci-dessous accorde des Describe autorisations à toutes CMKs les personnes enregistrées sur un compte Amazon Quick Suite et des Update autorisations à des personnes spécifiques CMKs enregistrées sur le compte Amazon Quick Suite.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS ressources Quick Suite : politiques de cadrage dans l'édition Enterprise
L'exemple suivant pour l'édition Amazon Quick Suite Enterprise montre une politique qui permet de définir l'accès par défaut aux AWS ressources et de définir les politiques d'étendue des autorisations relatives aux AWS ressources.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
