Fase 1: Configurazione delle autorizzazioni - Amazon QuickSight

Fase 1: Configurazione delle autorizzazioni

Importante

Amazon QuickSight dispone di nuove operazioni API per l'incorporamento dell'analisi: GenerateEmbedUrlForAnonymousUser e GenerateEmbedUrlForRegisteredUser.

Puoi comunque utilizzare le operazioni API GetDashboardEmbedUrl e GetSessionEmbedUrl per incorporare i pannelli di controllo e la console QuickSight, ma questi non conterranno le funzionalità di incorporamento più recenti. Per l'esperienza di incorporamento più recente e aggiornata, consulta Incorporamento dell'analisi QuickSight nelle applicazioni

Nella sezione seguente viene descritto come configurare le autorizzazioni per l'applicazione di back-end o il server Web. Questa operazione richiede l'accesso amministrativo a IAM.

Ogni utente che accede a QuickSight assume un ruolo che concede ad Amazon QuickSight l'accesso e le autorizzazioni per la sessione della console. Per rendere ciò possibile, crea un ruolo IAM nell'account AWS. Associa una policy IAM al ruolo per fornire le autorizzazioni a qualsiasi utente che lo assume. Aggiungi le autorizzazioni quicksight:RegisterUser per assicurarti che il lettore possa accedere a QuickSight in sola lettura e non abbia accesso ad altri dati o funzionalità di creazione. Il ruolo IAM deve fornire le autorizzazioni per recuperare gli URL della sessione della console. Per questo, aggiungi quicksight:GetSessionEmbedUrl.

La seguente policy di esempio fornisce le autorizzazioni da utilizzare con IdentityType=IAM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

La seguente policy di esempio fornisce l'autorizzazione per recuperare l'URL di una sessione della console. Se si stanno creando utenti prima che accedano a una sessione incorporata, la policy viene utilizzata senza quicksight:RegisterUser.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

Se utilizzi QUICKSIGHT come identityType e fornisci il nome della risorsa Amazon (ARN) dell'utente, dovrai consentire anche l'operazione quicksight:GetAuthCode nella policy. Tale autorizzazione è fornita dalla seguente policy di esempio.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

È necessario che all'identità IAM dell'applicazione sia associata una policy di attendibilità per consentire l'accesso al ruolo appena creato. Ciò significa che, quando un utente accede a un'applicazione, l'applicazione può assumere quel ruolo per conto dell'utente ed effettuare il provisioning dell'utente in QuickSight. L'esempio seguente mostra un ruolo chiamato embedding_quicksight_console_session_role, che è la policy di esempio elencata in precedenza come risorsa.

Per ulteriori informazioni sulle policy di trust per OpenID Connect o l'autenticazione SAML, consulta le sezioni seguenti della Guida per l'utente di IAM: