Configuração do administrador - Amazon Quick
Conceda ao Amazon Quick acesso aos buckets do Amazon S3Prepare a configuração da função e da política do IAMConfigurar o acesso à VPC para o Amazon S3 Connector no Amazon QuickRestrinja o acesso ao bucket do Amazon S3 com atribuições de políticas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do administrador

Antes que os usuários possam criar integrações e bases de conhecimento do Amazon S3, um administrador do Amazon Quick deve concluir as seguintes tarefas de configuração.

Conceda ao Amazon Quick acesso aos buckets do Amazon S3

Conceda ao Amazon Quick acesso aos buckets do Amazon S3 de que sua organização precisa. Isso se aplica se os buckets estiverem na mesma AWS conta ou em uma conta diferente.

  1. No console de administração do Amazon Quick, em Permissões, escolha AWS recursos.

  2. Em Permitir acesso e descoberta automática para esses recursos, selecione a caixa de seleção Amazon S3.

  3. Escolha Selecionar buckets do S3.

  4. Na caixa de diálogo Selecionar buckets do Amazon S3, escolha a guia que corresponde à localização do seu bucket:

    • Buckets S3 vinculados à conta Quick — Selecione os buckets da lista que você deseja que o Amazon Quick acesse. Por padrão, os buckets selecionados têm permissões somente para leitura.

    • Buckets S3 que você pode acessar AWS — Para buckets de várias contas, verifique se o proprietário da conta autorizou sua conta. Escolha Usar um bucket diferente, insira o nome do bucket e escolha Add S3 bucket.

  5. (Opcional) Para intervalos entre contas, selecione Restringir acesso ao criador da base de conhecimento para limitar o acesso de forma que somente o usuário que cria a base de conhecimento possa usar o intervalo.

  6. Escolha Terminar.

Os buckets selecionados agora estão acessíveis aos usuários durante a criação da base de conhecimento.

Prepare a configuração da função e da política do IAM

A integração com o Amazon S3 usa AWS autenticação para acessar seus buckets do Amazon S3. Prepare sua função do IAM e a configuração da política antes que os usuários configurem a integração.

Permissões obrigatórias do IAM

Certifique-se de que sua AWS conta tenha as seguintes permissões mínimas para o bucket do Amazon S3:

  • s3:GetObject— Leia objetos do balde.

  • s3:ListBucket— Listar o conteúdo do bucket.

  • s3:GetBucketLocation— Obtenha informações sobre a região do bucket.

  • s3:GetObjectVersion— Obtenha versões de objetos.

  • s3:ListBucketVersions— Listar as versões do bucket.

Configurar permissões de bucket do Amazon S3 para acesso entre contas

Se você estiver acessando buckets do Amazon S3 em uma AWS conta diferente, deverá configurar as políticas do IAM na conta de origem. AWS

Para configurar permissões de bucket do Amazon S3 para acesso entre contas

  1. Faça login no console AWS de gerenciamento da conta que contém o bucket do Amazon S3.

  2. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  3. Escolha o bucket ao qual você deseja conceder acesso.

  4. Escolha Permissions (Permissões) e, em seguida, escolha Bucket Policy (Política de bucket).

  5. Adicione uma política de bucket com os seguintes elementos:

    • Version— Definido para “2012-10-17"

    • Statement— Matriz contendo declarações de política com:

      • Sid— “Acesso AllowQuickSuite S3”

      • Effect— “Permitir”

      • Principal— AWS ARN para a função de serviço Amazon Quick em sua conta. Por exemplo, o diretor deve ter a seguinte aparência: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

      • Action— Conjunto de permissões do Amazon S3: s3:, s3:GetObject, s3:ListBucket, s3:, s3: GetBucketLocation GetObjectVersion ListBucketVersions

      • Resource— “*” (aplica-se à chave atual), o caminho do bucket do Amazon S3 deve ter a seguinte aparência: "Resource": [ "arn:aws:s3:::bucket_name"]

  6. Escolha Salvar alterações.

Configure as permissões da chave KMS (se seu bucket usar criptografia)

Se o seu bucket do Amazon S3 usa criptografia AWS KMS, conclua as etapas a seguir.

Para configurar as permissões da chave KMS

  1. Abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Escolha a chave KMS usada para criptografar seu bucket do Amazon S3.

  3. Escolha Key policy (Política de chaves) e Edit (Editar).

  4. Adicione uma declaração à política principal com os seguintes elementos estruturais:

    • Sid – "AllowQuickSuiteKMSAccess"

    • Effect— “Permitir”

    • Principal— AWS ARN para a função de serviço Amazon Quick em sua conta. Por exemplo, o diretor deve ter a seguinte aparência: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

    • Action— Conjunto de permissões KMS: kms: Decrypt, kms: DescribeKey

    • Resource— “*” (aplica-se à chave atual), o caminho do bucket do Amazon S3 deve ter a seguinte aparência: "Resource": [ "arn:aws:s3:::bucket_name"]

  5. Escolha Salvar alterações.

  6. Aguarde de 2 a 3 minutos para que as alterações na política se propaguem.

Configurar o acesso à VPC para o Amazon S3 Connector no Amazon Quick

As permissões de VPC garantem que o Amazon Quick só possa acessar seu bucket do Amazon S3 por meio de conexões seguras de VPC ou VPC endpoint.

Mudança de política necessária

Adicione esta declaração à sua política de acesso ao bucket para permitir que o Amazon Quick acesse seu bucket por meio de VPC endpoints:

{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

  • Substitua amzn-s3-demo-bucket pelo nome do seu bucket.

  • Quick AccountSubstitua pela sua conta Amazon Quick.

A "aws:SourceVpce": "false" condição garante que o Amazon Quick só possa acessar seu bucket por meio de VPC endpoints, mantendo seus requisitos de segurança.

Políticas de negação

Se seu bucket tiver uma política que restringe o tráfego para uma VPC ou um VPC endpoint específico por meio da Política de Negação, você deve reverter essa política porque as políticas de negação têm precedência sobre as políticas de permissão.

Por exemplo:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Deve ser revertido para:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Práticas recomendadas

Restrinja o acesso à sua função Amazon Quick

As políticas de acesso devem garantir que o chamador seja seu ARN de função do Amazon Quick ou, no mínimo, sua conta do Amazon Quick. Isso garante que, apesar de permitir o tráfego de VPC, as chamadas venham somente das fontes esperadas.

Recomendações de segurança

  • Restrinja as políticas à sua função do Amazon Quick para obter o tráfego mais seguro

  • Revise suas políticas de bucket regularmente para garantir que elas sigam o princípio do menor privilégio

Restrinja o acesso ao bucket do Amazon S3 com atribuições de políticas do IAM

Você pode controlar quais buckets do Amazon S3 seus usuários do Amazon Quick podem usar para criar bases de conhecimento criando políticas do IAM e atribuindo-as a usuários, grupos ou a todos os usuários específicos por meio de atribuições de políticas do Amazon Quick IAM. Isso permite restringir quem pode criar bases de conhecimento em relação a buckets específicos, incluindo bases de conhecimento com reconhecimento de ACL.

nota

As políticas do IAM atribuídas por meio do Amazon Quick têm precedência sobre as políticas em nível de AWS recursos. Para garantir que seus requisitos de acesso sejam atendidos, configure suas políticas do IAM adequadamente.

Por exemplo, você pode atribuir uma política restritiva a usuários específicos que precisam acessar buckets com reconhecimento de ACL e, ao mesmo tempo, atribuir uma política mais ampla a todos os usuários para buckets não ACL.

Etapa 1: criar uma política de acesso do Amazon S3 no IAM

Crie uma política do IAM no console do AWS IAM que defina quais buckets do Amazon S3 os usuários podem acessar para a criação da base de conhecimento. O exemplo de política a seguir concede acesso a dois buckets específicos:

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

amzn-s3-demo-bucket-2Substitua amzn-s3-demo-bucket-1 e pelos nomes dos buckets do Amazon S3 aos quais você deseja conceder acesso.

Etapa 2: atribuir a política no Amazon Quick

Depois de criar a política do IAM, atribua-a aos usuários ou grupos do Amazon Quick.

  1. No console de administração do Amazon Quick, em Permissões, escolha as atribuições de políticas do IAM.

  2. Escolha Adicionar novo exercício.

  3. Insira um nome para a tarefa.

  4. Na página Selecionar uma política do IAM, pesquise e selecione a política do IAM que você criou na Etapa 1. Escolha Próximo.

  5. Na página Atribuir usuários e grupos, escolha uma das seguintes opções:

    • Selecione Atribuir a todos os usuários e grupos para aplicar a política a todos os usuários atuais e futuros.

    • Pesquise e selecione usuários ou grupos específicos aos quais atribuir a política.

    Escolha Próximo.

  6. Na página Revisar e ativar alterações, verifique os detalhes do seu exercício e escolha Salvar e ativar.

Os usuários que não tiverem acesso explícito por meio de uma atribuição de política do IAM não poderão acessar os buckets restritos do Amazon S3 para criar integrações ou bases de conhecimento.