Passaggio dei ruoli IAM a Quick Suite - Amazon Quick Suite
PrerequisitiCollegamento di policy aggiuntiveUtilizzo dei ruoli IAM esistenti in Quick Suite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio dei ruoli IAM a Quick Suite

 Si applica a: Enterprise Edition 

Quando i tuoi utenti IAM si iscrivono a Quick Suite, possono scegliere di utilizzare il ruolo gestito da Amazon Quick Suite (questo è il ruolo predefinito). Oppure possono passare un ruolo IAM esistente ad Amazon Quick Suite.

Utilizza le sezioni seguenti per trasferire i ruoli IAM esistenti ad Amazon Quick Suite

Prerequisiti

Per consentire agli utenti di trasferire i ruoli IAM ad Amazon Quick Suite, l'amministratore deve completare le seguenti attività:

  • Creare un ruolo IAM. Per ulteriori informazioni sulla creazione di ruoli IAM, consulta Creazione di ruoli IAM nella Guida per l'utente di IAM.

  • Allega una policy di fiducia al tuo ruolo IAM che consenta ad Amazon Quick Suite di assumere il ruolo. Utilizza il seguente esempio per creare una policy di attendibilità per il ruolo. Il seguente esempio di policy di fiducia consente al responsabile di Quick Suite di assumere il ruolo IAM a cui è associato.

    Per informazioni sulla creazione di policy di attendibilità IAM e sul loro collegamento ai ruoli, consulta Modifica di un ruolo (console) nella Guida per l'utente su IAM.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Assegnare le seguenti autorizzazioni IAM al tuo amministratore (utenti o ruoli IAM):

    • quicksight:UpdateResourcePermissions— Ciò garantisce agli utenti IAM che sono amministratori di Amazon Quick Suite l'autorizzazione ad aggiornare le autorizzazioni a livello di risorsa in Amazon Quick Suite. Per ulteriori informazioni sui tipi di risorse definiti da Amazon Quick Suite, consulta Actions, resources and condition keys for Quick Suite nella IAM User Guide.

    • iam:PassRole— Ciò concede agli utenti l'autorizzazione a trasferire ruoli ad Amazon Quick Suite. Per ulteriori informazioni, consulta Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio nella IAM User Guide.

    • iam:ListRoles— (Facoltativo) Ciò concede agli utenti l'autorizzazione a visualizzare un elenco di ruoli esistenti in Amazon Quick Suite. Se questa autorizzazione non viene fornita, potranno utilizzare un ARN per utilizzare i ruoli IAM esistenti.

    Di seguito è riportato un esempio di policy di autorizzazione IAM che consente di gestire le autorizzazioni a livello di risorsa, elencare i ruoli IAM e passare i ruoli IAM in Quick Suite.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Per ulteriori esempi di policy IAM che puoi utilizzare con Amazon Quick Suite, consulta Esempi di policy IAM per Amazon Quick Suite.

Per ulteriori informazioni sull'assegnazione delle policy di autorizzazioni a gruppi di utenti, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente di IAM.

Collegamento di policy aggiuntive

Se utilizzi un altro AWS servizio, come Amazon Athena o Amazon S3, puoi creare una politica di autorizzazioni che conceda ad Amazon Quick Suite l'autorizzazione a eseguire azioni specifiche. Puoi quindi collegare la policy ai ruoli IAM che successivamente passerai ad Amazon Quick Suite. Di seguito sono riportati alcuni esempi di come è possibile configurare e collegare policy di autorizzazione aggiuntive ai ruoli IAM.

Per un esempio di policy gestita per Amazon Quick Suite in Athena, consulta AWSQuicksightAthenaAccess Managed Policy nella Amazon Athena User Guide. Gli utenti IAM possono accedere a questo ruolo in Amazon Quick Suite utilizzando il seguente ARN:. arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess

Di seguito è riportato un esempio di politica di autorizzazioni per Amazon Quick Suite in Amazon S3. Per ulteriori informazioni sull'utilizzo di IAM con Amazon S3, consulta Identity and Access Management in Amazon S3 nella Guida per l'utente di Amazon S3.

Per informazioni su come creare l'accesso tra account da Amazon Quick Suite a un bucket Amazon S3 in un altro account, vedi Come si configura l'accesso tra account da Quick Suite a un bucket Amazon S3 in un altro account? nel Knowledge Center. AWS 

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Utilizzo dei ruoli IAM esistenti in Quick Suite

Se sei un amministratore di Amazon Quick Suite e disponi delle autorizzazioni per aggiornare le risorse di Amazon Quick Suite e passare ruoli IAM, puoi utilizzare i ruoli IAM esistenti in Amazon Quick Suite. Per ulteriori informazioni sui prerequisiti per il passaggio dei ruoli IAM in Amazon Quick Suite, consulta i Prerequisiti descritti nell'elenco precedente.

Utilizza la seguente procedura per imparare a trasferire i ruoli IAM in Amazon Quick Suite.

Per utilizzare un ruolo IAM esistente in Amazon Quick Suite

  1. In Amazon Quick Suite, scegli il nome del tuo account nella barra di navigazione in alto a destra e scegli Gestisci QuickSight.

  2. Nella pagina Manage Amazon Quick Suite che si apre, scegli Sicurezza e autorizzazioni nel menu a sinistra.

  3. Nella pagina Sicurezza e autorizzazioni che si apre, nella sezione Accesso ai AWS servizi di Amazon Quick Suite, scegli Gestisci.

  4. Per il ruolo IAM, scegli Usa un ruolo esistente, quindi completa una delle seguenti operazioni:

    • Scegli il ruolo che si desidera usare dall'elenco.

    • Oppure, se non vedi un elenco di ruoli IAM esistenti, puoi inserire l'ARN IAM per il ruolo nel seguente formato: arn:aws:iam::account-id:role/path/role-name.

  5. Scegli Save (Salva).