Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Transmission de rôles IAM à Quick Suite
| S’applique à : édition Enterprise |
Lorsque vos utilisateurs IAM s'inscrivent à Quick Suite, ils peuvent choisir d'utiliser le rôle géré par Amazon Quick Suite (il s'agit du rôle par défaut). Ils peuvent également transmettre un rôle IAM existant à Amazon Quick Suite.
Utilisez les sections ci-dessous pour transmettre les rôles IAM existants à Amazon Quick Suite
Rubriques
Prérequis
Pour que vos utilisateurs puissent transmettre des rôles IAM à Amazon Quick Suite, votre administrateur doit effectuer les tâches suivantes :
-
Créez un rôle IAM. Pour plus d’informations sur la création de rôles IAM, consultez la rubrique Création de rôles IAM dans le Guide de l’utilisateur IAM.
-
Associez une politique de confiance à votre rôle IAM qui permet à Amazon Quick Suite d'assumer ce rôle. Utilisez l’exemple suivant pour créer une politique d’approbation pour le rôle. L'exemple de politique de confiance suivant permet au principal de Quick Suite d'assumer le rôle IAM auquel il est attaché.
Pour plus d’informations sur la création de politiques d’approbation IAM et leur rattachement à des rôles, consultez la rubrique Modification d’un rôle (console) dans le Guide de l’utilisateur IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Attribuez les autorisations IAM suivantes à votre administrateur (utilisateurs ou rôles IAM) :
-
quicksight:UpdateResourcePermissions— Cela donne aux utilisateurs IAM administrateurs d'Amazon Quick Suite l'autorisation de mettre à jour les autorisations au niveau des ressources dans Amazon Quick Suite. Pour plus d'informations sur les types de ressources définis par Amazon Quick Suite, consultez la section Actions, ressources et clés de condition pour Quick Suite dans le guide de l'utilisateur IAM. -
iam:PassRole— Cela autorise les utilisateurs à transmettre des rôles à Amazon Quick Suite. Pour plus d'informations, consultez la section Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service dans le Guide de l'utilisateur IAM. -
iam:ListRoles— (Facultatif) Cela autorise les utilisateurs à consulter la liste des rôles existants dans Amazon Quick Suite. Si cette autorisation n’est pas donnée, ils peuvent utiliser un ARN pour utiliser les rôles IAM existants.
Voici un exemple de politique d'autorisations IAM qui permet de gérer les autorisations au niveau des ressources, de répertorier les rôles IAM et de transmettre des rôles IAM dans Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }Pour plus d'exemples de politiques IAM que vous pouvez utiliser avec Amazon Quick Suite, consultez les exemples de politiques IAM pour Amazon Quick Suite.
-
Pour plus d’informations sur l’attribution de politiques d’autorisation aux utilisateurs ou aux groupes d’utilisateurs, consultez la rubrique Modification des autorisations d’un utilisateur IAM dans le Guide de l’utilisateur IAM.
Rattachement de politiques supplémentaires
Si vous utilisez un autre AWS service, tel qu'Amazon Athena ou Amazon S3, vous pouvez créer une politique d'autorisation qui autorise Amazon Quick Suite à effectuer des actions spécifiques. Vous pouvez ensuite associer la politique aux rôles IAM que vous transmettrez ultérieurement à Amazon Quick Suite. Vous trouverez ci-dessous des exemples de la manière dont vous pouvez configurer et attacher des politiques d’autorisation supplémentaires à vos rôles IAM.
Pour un exemple de politique gérée pour Amazon Quick Suite dans Athena, consultez la section Politique AWSQuicksight AthenaAccess gérée dans le guide de l'utilisateur d'Amazon Athena. Les utilisateurs IAM peuvent accéder à ce rôle dans Amazon Quick Suite à l'aide de l'ARN suivant :arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess.
Voici un exemple de politique d'autorisation pour Amazon Quick Suite dans Amazon S3. Pour plus d’informations sur l’utilisation d’IAM avec Amazon S3, consultez la rubrique Gestion des identités et des accès dans Amazon S3 dans le Guide de l’utilisateur d’Amazon S3.
Pour plus d'informations sur la façon de créer un accès entre comptes depuis Amazon Quick Suite vers un compartiment Amazon S3 d'un autre compte, consultez Comment configurer l'accès entre comptes depuis Quick Suite vers un compartiment Amazon S3 d'un autre
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
Utilisation des rôles IAM existants dans Quick Suite
Si vous êtes administrateur d'Amazon Quick Suite et que vous êtes autorisé à mettre à jour les ressources Amazon Quick Suite et à transmettre des rôles IAM, vous pouvez utiliser les rôles IAM existants dans Amazon Quick Suite. Pour en savoir plus sur les conditions requises pour transmettre des rôles IAM dans Amazon Quick Suite, consultez les conditions requises décrites dans la liste précédente.
Suivez la procédure suivante pour savoir comment transmettre des rôles IAM dans Amazon Quick Suite.
Pour utiliser un rôle IAM existant dans Amazon Quick Suite
-
Dans Amazon Quick Suite, choisissez le nom de votre compte dans la barre de navigation en haut à droite, puis sélectionnez Gérer QuickSight.
-
Sur la page Manage Amazon Quick Suite qui s'ouvre, choisissez Security & Permissions dans le menu de gauche.
-
Sur la page Sécurité et autorisations qui s'ouvre, sous Accès aux AWS services d'Amazon Quick Suite, sélectionnez Gérer.
-
Pour le rôle IAM, choisissez Utiliser un rôle existant, puis effectuez l’une des opérations suivantes :
-
Choisissez le rôle que vous voulez utiliser dans la liste.
-
Ou, si vous ne voyez pas de liste des rôles IAM existants, vous avez la possibilité de saisir l’ARN IAM du rôle au format suivant :
arn:aws:iam::.account-id:role/path/role-name
-
-
Choisissez Enregistrer.
