Fase 1: Configurazione delle autorizzazioni - Amazon QuickSight

Fase 1: Configurazione delle autorizzazioni

Importante

Amazon QuickSight dispone di nuove operazioni API per l'incorporamento dell'analisi: GenerateEmbedUrlForAnonymousUser e GenerateEmbedUrlForRegisteredUser.

Puoi comunque utilizzare le operazioni API GetDashboardEmbedUrl e GetSessionEmbedUrl per incorporare i pannelli di controllo e la console QuickSight, ma questi non conterranno le funzionalità di incorporamento più recenti. Per l'esperienza di incorporamento più recente e aggiornata, consulta Incorporamento dell'analisi QuickSight nelle applicazioni

Nella sezione seguente viene descritto come configurare le autorizzazioni per l'applicazione di back-end o il server Web. Questa operazione richiede l'accesso amministrativo a IAM.

Ogni utente che accede a un pannello di controllo assume un ruolo che concede l'accesso ad Amazon QuickSight e le autorizzazioni per il pannello di controllo. Per rendere ciò possibile, crea un ruolo IAM nell'account AWS. Associa una policy IAM al ruolo per fornire le autorizzazioni a qualsiasi utente che lo assume. Il ruolo IAM deve fornire le autorizzazioni per recuperare gli URL del pannello di controllo. Per questo, aggiungi quicksight:GetDashboardEmbedUrl.

La seguente policy di esempio fornisce le autorizzazioni da utilizzare con IdentityType=IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetDashboardEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

La seguente policy di esempio fornisce l'autorizzazione a recuperare l'URL di un pannello di controllo. Utilizzi la policy con quicksight:RegisterUser se stai creando utenti alle prime armi che devono essere lettori di QuickSight.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetDashboardEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Se utilizzi QUICKSIGHT come identityType e fornisci il nome della risorsa Amazon (ARN) dell'utente, dovrai consentire anche l'operazione quicksight:GetAuthCode nella policy. Tale autorizzazione è fornita dalla seguente policy di esempio.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetDashboardEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

È necessario che all'identità IAM dell'applicazione sia associata una policy di attendibilità per consentire l'accesso al ruolo appena creato. Ciò significa che, quando un utente accede a un'applicazione, l'applicazione può assumere quel ruolo per conto dell'utente ed effettuare il provisioning dell'utente in QuickSight. L'esempio seguente mostra un ruolo chiamato embedding_quicksight_dashboard_role, che è la policy di esempio elencata in precedenza come risorsa.

Per ulteriori informazioni sulle policy di trust per OpenID Connect o l'autenticazione SAML, consulta le sezioni seguenti della Guida per l'utente di IAM: