Azioni Risorse Chiavi di condizione Esempi

Policy di Amazon QuickSight (basate sull'identità)

Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon QuickSight supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Per creare un account Amazon QuickSight, puoi utilizzare le credenziali root di AWS o le credenziali utente IAM. AWSLe credenziali root di e le credenziali di amministratore dispongono già di tutte le autorizzazioni necessarie per gestire l'accesso di Amazon QuickSight alle risorse AWS.

Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. Per eseguire questa operazione, puoi creare una policy e associarla all'utente e ai ruoli IAM che si prevede di utilizzare per Amazon QuickSight. La policy deve includere le istruzioni appropriate per le attività amministrative di Amazon QuickSight da eseguire, come descritto nelle seguenti sezioni.

Importante

Si consideri quanto segue in caso di utilizzo di Amazon QuickSight e policy IAM:

Evitare di modificare direttamente una policy creata da Amazon QuickSight. Se la modifichi manualmente, Amazon QuickSight non potrà più modificarla. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.
Se ricevi un errore sulle autorizzazioni quando tenti di creare un account Amazon QuickSight, consulta Operazioni definite da Amazon QuickSight nella Guida per l‘utente di IAM.
In alcuni casi, potrebbe essere disponibile un account Amazon QuickSight a cui non puoi accedere persino dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il vecchio account Amazon QuickSight e poi ricrearlo. Per ulteriori informazioni, consulta Eliminazione dell'abbonamento Amazon QuickSight e chiusura dell'account.

Azioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare gli accessi ai diversi elementi. In altre parole, quale principale può eseguire operazioni su quali risorse e in quali condizioni.

L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le operazioni di policy hanno spesso lo stesso nome dell'operazione API AWS. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le operazioni delle policy in Amazon QuickSight utilizzano il seguente prefisso prima dell'operazione: quicksight:. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API RunInstances Amazon EC2, è necessario includere l'operazione ec2:RunInstances nella policy. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon QuickSight definisce un proprio set di operazioni che descrivono le attività che puoi eseguire con quel servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:


"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Create, includi la seguente azione:


"Action": "quicksight:Create*"

Amazon QuickSight fornisce una serie di operazioni AWS Identity and Access Management (IAM). Tutte le operazioni Amazon QuickSight hanno il prefisso quicksight:, ad esempio quicksight:Subscribe. Per informazioni sull'utilizzo delle operazioni Amazon QuickSight in una policy IAM, consulta Esempi di policy IAM per Amazon QuickSight.

Per visualizzare l'elenco più aggiornato delle operazioni di Amazon QuickSight, consulta Operazioni definite da Amazon QuickSight nella Guida per l'utente di IAM.

Risorse

L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.


"Resource": "*"

Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione CreateGroupMembership su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia user1.


{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Alcune operazioni di Amazon QuickSight, ad esempio quelle per la creazione delle risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).


"Resource": "*"

Molte operazioni API coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separa gli ARN con le virgole.


"Resource": [
	      "resource1",
	      "resource2"

Per visualizzare un elenco dei tipi di risorse Amazon QuickSight e dei relativi nomi della risorsa Amazon (ARN), consulta Risorse definite da Amazon QuickSight nella Guida per l'utente di IAM. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da Amazon QuickSight.

Chiavi di condizione

Gli amministratori possono utilizzare le policy JSON AWS per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWSutilizzando un'operazione ANDlogica. Se specifichi più valori per una singola chiave di condizione, AWSvaluta la condizione utilizzando un'operazione ORlogica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche per il servizio. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta Chiavi di contesto delle condizioni globali di AWS nella Guida per l'utente di IAM.

Amazon QuickSight non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta Chiavi di contesto delle condizioni globali di AWS nella Guida per l'utente IAM.

Esempi

Per visualizzare esempi di policy basate su identità Amazon QuickSight, consulta Policy basate sulle identità IAM per Amazon QuickSight.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di Amazon QuickSight con IAM

Policy di Amazon QuickSight (basate sulle risorse)