Criação de um perfil de permissões personalizado no Amazon Quick Suite - Amazon Quick Suite
Capacidades principais do Quick SuiteCaracterísticas do Quick SuiteCriação de um perfil de permissões personalizado para uma conta do Amazon Quick Suite integrada ao IAM Identity Center ou ao Active DirectoryCriação de um perfil de permissões personalizado para uma conta do Amazon Quick Suite que usa usuários gerenciados do Amazon Quick SuiteAplicar um perfil de permissões personalizadas a um perfilAplicar um perfil de permissões personalizadas a um usuárioAplicar um perfil de permissões personalizadas a uma conta

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de um perfil de permissões personalizado no Amazon Quick Suite

 Aplica-se a: Enterprise Edition 
   Público-alvo: administradores e desenvolvedores do Amazon Quick Suite 

Na edição Enterprise, você pode restringir a funcionalidade que as pessoas podem acessar no Amazon Quick Suite. Você pode configurar permissões personalizadas nos níveis de conta, função (administrador, autor, leitor) e usuário para todos os tipos de identidade no Quick Suite. As permissões personalizadas em nível de usuário substituem as permissões de nível de perfil padrão ou personalizadas existentes de um perfil de um usuário específico. As permissões personalizadas em nível do usuário e as permissões personalizadas em nível de perfil substituem as permissões personalizadas em nível de conta.

As limitações a seguir se aplicam às permissões personalizadas.

  • Não é possível conceder permissões que excedam o nível do perfil padrão atribuído ao usuário. Por exemplo, se um usuário tiver acesso de leitor, você não poderá conceder permissões para que esse usuário edite painéis.

  • Para personalizar as permissões de usuário ou função, você precisa ser um administrador do Amazon Quick Suite com as seguintes permissões do IAM:

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

Você pode criar perfis de permissão personalizados para restringir o acesso a qualquer combinação dos seguintes recursos. Os recursos principais podem ser usados para restringir o acesso aos conjuntos de recursos de um ativo inteiro. Quando os recursos dos pais são desativados, todos os recursos associados aos filhos também serão desativados.

Recursos sem recursos principais não podem ser desativados com esse mecanismo. Em vez disso, eles devem ser restritos como recursos individuais.

Capacidades principais do Quick Suite

Capacidade dos pais Funcionalidade

Análises

Restringe todos os recursos relacionados à análise

Painéis

Restringe todos os recursos relacionados aos painéis

Ações

Restringe todos os recursos relacionados às ações

Automatize

Restringe todos os recursos relacionados à automação

Agentes de bate-papo

Restringe todos os recursos relacionados ao Chat Agent

Extensões

Restringe todos os recursos relacionados às extensões

Fluxos

Restringe todos os recursos relacionados ao Flows

Base de conhecimento

Restringe todos os recursos relacionados à Base de Conhecimento

Pesquisa

Restringe todos os recursos relacionados à pesquisa

Espaços

Restringe todos os recursos relacionados ao Spaces

Características do Quick Suite

Recurso Comportamento do Amazon Quick Suite Capacidade dos pais

Crie agentes de bate-papo

  • Não consigo ver nem acessar nenhum agente de chat

  • A biblioteca e a navegação do agente estão ocultas

  • Ainda pode acessar e criar outros recursos do Quick Suite, como criar espaços para compartilhamento de arquivos com equipes ou fluxos para interações estruturadas (desde que esses recursos também não sejam restritos)

Agentes de bate-papo

Permita que os criadores compartilhem sem aprovação

  • Os fluxos não podem ser compartilhados pelos criadores sem aprovação

Fluxos

Use modelos Bedrock para refinamento de saída

  • Restringe o uso dos modelos Bedrock

Fluxos

Habilite o agente de interface do usuário para realizar tarefas do navegador

  • Impede que o agente de UI de fluxos execute tarefas do navegador

Fluxos

Use a internet para melhorar os resultados

  • Restringe o uso da pesquisa baseada na web em Chat Agents and Research

--

Compartilhando análises

  • O acesso à opção Compartilhar no menu Arquivo está desativado para análises

Análises

Adicionar ou executar a detecção de anomalias

  • O acesso à opção Adicionar anomalia à pasta no menu Insights está desativado para análises

  • O acesso à opção Anomalia no menu Objetos está desativado para análises

  • Os usuários não poderão adicionar a detecção de anomalias às planilhas

Análises

Folha de impressão

  • O acesso à opção Imprimir no menu Arquivo está desativado para análises

  • O acesso à opção Imprimir no menu Exportar está desativado para painéis

  • Os usuários não poderão imprimir folhas

--

Exportar planilha para PDF

  • O acesso à opção Exportar para PDF no menu Arquivo está desativado para análises

  • O acesso à opção Gerar PDF no menu Exportar está desativado para painéis

  • Os usuários não poderão exportar planilhas para um arquivo PDF

--

Criação ou atualização de temas

  • O acesso à opção Temas no menu Editar está desativado para análises

  • Os usuários não poderão criar temas personalizados

  • Os usuários não poderão editar ou atualizar temas existentes

--

Compartilhar painéis

  • O acesso ao ícone de compartilhamento no menu de navegação está desativado para painéis

Painel

Exportar imagens visuais para CSV

  • O acesso à opção Exportar para CSV no menu de três pontos para cada visual está desativado para análises e painéis

  • O acesso à opção Exportar visual para CSV no menu Objetos está desativado para análises

  • Os usuários não poderão exportar imagens para um arquivo CSV

--

Exportar imagens visuais para o Excel

  • O acesso à opção Exportar para Excel no menu de três pontos de cada tabela está desativado para análises e painéis

  • O acesso à opção Exportar tabela para o Excel no menu Objetos está desativado para análises

  • Os usuários não poderão exportar tabelas para um arquivo do Excel

--

Criação ou atualização de todos os conjuntos de dados

  • O acesso à criação ou atualização de todos os conjuntos de dados será desativado

--

Criando ou atualizando somente conjuntos de dados do SPICE

  • O acesso à criação ou atualização de conjuntos de dados do SPICE será desativado

--

Compartilhar conjuntos de dados

  • O acesso ao compartilhamento de conjuntos de dados será desativado

--

Visualizando a capacidade do SPICE da conta

  • Restringe a recuperação da capacidade SPICE da conta

--

Criação ou atualização de todas as fontes de dados

  • O acesso à criação ou atualização de todas as fontes de dados será desativado

--

Compartilhamento de fontes de dados

  • O acesso ao compartilhamento de fontes de dados será desativado

--

Criação de pastas compartilhadas

  • Restringe a criação de pastas compartilhadas

--

Renomeando pastas compartilhadas

  • Restringe a renomeação de pastas compartilhadas

--

Criação ou atualização de relatórios de e-mail agendados

  • O acesso à opção Programações no menu Programações está desativado para painéis

  • O acesso à opção Instantâneos recentes no menu Agendamentos está desativado para painéis

  • Os usuários não poderão criar ou atualizar relatórios de e-mail agendados

--

Inscrever-se para receber relatórios de e-mail agendados

  • Os usuários não poderão assinar relatórios de e-mail agendados

Painel

Anexos CSV em relatórios de e-mail agendados

  • O acesso à opção CSV na seção Conteúdo do menu Agendas está desativado para painéis

  • Os usuários não poderão anexar arquivos CSV em relatórios de e-mail agendados

--

Anexos do Excel em relatórios de e-mail agendados

  • O acesso à opção Excel na seção Conteúdo do menu Agendas está desativado para painéis

  • Os usuários não poderão anexar arquivos do Excel em relatórios de e-mail agendados

--

Anexos em PDF em relatórios de e-mail agendados

  • O acesso à opção PDF na seção Conteúdo do menu Agendas está desativado para painéis

  • Os usuários não poderão anexar arquivos PDF em relatórios de e-mail agendados

--

Conteúdo em relatórios de e-mail agendados

  • Os usuários receberão o conteúdo em relatórios de e-mail agendados somente como links para download que estão bloqueados após o login

  • Incluir planilha no corpo do e-mail e as opções de anexo de arquivo no menu Agendas serão desconsideradas

  • As imagens não serão incluídas nos relatórios de e-mail agendados

--

Criação ou atualização de alertas de limite

  • O acesso ao menu Alertas está desativado para painéis

  • Os usuários não poderão criar ou atualizar alertas de limite

--

Perfis de permissões personalizados podem ser criados para contas do Amazon Quick Suite integradas ao IAM Identity Center, Active Directory ou para contas do Amazon Quick Suite que tenham usuários gerenciados pelo Amazon Quick Suite. O tipo de identidade que uma conta do Amazon Quick Suite usa determina a forma como um administrador do Amazon Quick Suite configura um perfil de permissões personalizado.

O procedimento a seguir mostra como controlar o acesso aos recursos do Amazon Quick Suite e aos respectivos recursos.

Para controlar o acesso aos recursos e recursos do Amazon Quick Suite

  1. Faça login no console do Amazon Quick Suite.

  2. Selecione Gerenciar o Quick Suite.

  3. No menu de navegação esquerdo do Admin Console, selecione Permissões e, em seguida, selecione Permissões personalizadas.

  4. Em Permissões personalizadas, em Perfis, selecione Novo perfil ou escolha editar o perfil padrão.

  5. Em Novo perfil, faça o seguinte:

    • Em Restringir recursos — Escolha se deseja permitir recursos específicos para seu sistema marcando ou desmarcando as opções apropriadas.

    • Em Restringir recursos — Escolha se deseja permitir recursos específicos marcando ou desmarcando as opções apropriadas.

Criação de um perfil de permissões personalizado para uma conta do Amazon Quick Suite integrada ao IAM Identity Center ou ao Active Directory

Os administradores de contas do Amazon Quick Suite podem usar o procedimento a seguir para criar um perfil de permissões personalizado para uma conta do Amazon Quick Suite integrada ao IAM Identity Center ou ao Active Directory.

Para criar um perfil de permissões personalizado para uma conta do Amazon Quick Suite integrada ao IAM Identity Center ou ao Active Directory

  1. Faça login no Console de gerenciamento da AWS.

  2. Abra o Amazon Quick Suite.

  3. O console do administrador do Amazon Quick Suite é aberto. Escolha Permissões personalizadas.

  4. A página Gerenciar permissões personalizadas é aberta. Escolha uma das seguintes opções.

    • Para criar um novo perfil de permissões personalizadas, escolha Criar.

    • Para editar ou visualizar um perfil de permissões personalizado existente, escolha as reticências (três pontos) ao lado do perfil que você deseja e, em seguida, escolha Editar.

  5. Se você quiser criar ou atualizar um perfil de permissões personalizadas, faça seleções para os itens a seguir.

    • Em Nome, insira um nome para o seu perfil de permissões personalizadas.

    • Em Restrições, escolha as opções que você deseja negar. Qualquer opção que você não escolher é permitida. Por exemplo, se você não quiser que os usuários criem ou atualizem fontes de dados, mas queira que eles possam fazer todo o resto, escolha somente Criar ou atualizar fontes de dados.

  6. Selecione Criar ou Atualizar para confirmar suas escolhas. Para voltar sem fazer nenhuma alteração, escolha Voltar.

  7. Depois de fazer as alterações, registre o nome do perfil de permissões personalizadas. Forneça o nome do perfil de permissões personalizadas aos usuários da API para que eles possam aplicar o perfil de permissões personalizadas aos perfis ou aos usuários.

Criação de um perfil de permissões personalizado para uma conta do Amazon Quick Suite que usa usuários gerenciados do Amazon Quick Suite

Os administradores de contas do Amazon Quick Suite podem usar o procedimento a seguir para criar um perfil de permissões personalizado para uma conta do Amazon Quick Suite que usa usuários gerenciados do Amazon Quick Suite.

Para criar um perfil de permissões personalizado para usuários gerenciados do Amazon Quick Suite

  1. Abra o console do Quick Suite.

  2. Em qualquer página no console do Amazon Quick Suite, escolha Manage Quick Suite no canto superior direito.

    Somente administradores do Amazon Quick Suite têm acesso à opção de menu Gerenciar o Quick Suite. Se você não tiver acesso ao menu Gerenciar o Quick Suite, entre em contato com o administrador do Amazon Quick Suite para obter ajuda.

  3. Escolha Permissões personalizadas. Você também pode escolher a seção Gerenciar usuários e, em seguida, escolher Gerenciar permissões personalizadas.

  4. A página Gerenciar permissões personalizadas é aberta. Escolha uma das seguintes opções.

    • Para criar um novo perfil de permissões personalizadas, escolha Criar.

    • Para editar ou visualizar um perfil de permissões personalizado existente, escolha as reticências (três pontos) ao lado do perfil que você deseja e, em seguida, escolha Editar.

  5. Se você quiser criar ou atualizar um perfil de permissões personalizadas, faça seleções para os itens a seguir.

    • Em Nome, insira um nome para o seu perfil de permissões personalizadas.

    • Em Restrições, escolha as opções que você deseja negar. Qualquer opção que você não escolher é permitida. Por exemplo, se você não quiser que os usuários criem ou atualizem fontes de dados, mas concorda que façam qualquer outra coisa, selecione apenas Criar ou atualizar fontes de dados.

  6. Selecione Criar ou Atualizar para confirmar suas escolhas. Para voltar sem fazer nenhuma alteração, escolha Voltar.

  7. Depois de fazer as alterações, registre o nome do perfil de permissões personalizadas. Forneça o nome do perfil de permissões personalizadas aos usuários da API para que eles possam aplicar o perfil de permissões personalizadas aos perfis ou aos usuários.

Depois de criar um perfil de permissões personalizado, use o Amazon Quick Suite APIs para adicionar ou alterar o perfil de permissões personalizado atribuído a um usuário, função ou conta. Usuários com permissões suficientes também podem usar o AWS::QuickSight::CustomPermissions CloudFormation recurso para gerenciar perfis de permissões personalizados do Amazon Quick Suite. Use os tópicos a seguir para saber mais sobre o gerenciamento de perfis de permissões personalizados com o Amazon Quick Suite APIs.

Aplique um perfil de permissões personalizado a uma função do Amazon Quick Suite com a API do Amazon Quick Suite

Depois de criar um perfil de permissões personalizado, use o Amazon Quick Suite APIs para adicionar ou alterar o perfil de permissões personalizado atribuído a uma função.

Antes de começar, você precisa instalar e configurar a AWS CLI. Para obter mais informações sobre a instalação da AWS CLI, consulte Instalar ou atualizar a versão mais recente da CLI e Configurar a AWSAWS CLI no Guia do usuário. AWS Command Line Interface Você também precisa de permissões para usar a API do Amazon Quick Suite.

O exemplo a seguir chama a API UpdateRoleCustomPermission para atualizar as permissões personalizadas atribuídas a um perfil.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

O exemplo a seguir retorna o perfil de permissões personalizadas atribuído a um perfil.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

O exemplo a seguir exclui um perfil de permissões personalizadas de um perfil.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Aplique um perfil de permissões personalizado a um usuário com a API Amazon Quick Suite

O exemplo a seguir aplica um perfil de permissões personalizadas a um usuário.

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

O exemplo a seguir exclui um perfil de permissões personalizadas de um usuário.

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

O exemplo a seguir adiciona permissões personalizadas a um novo usuário do Amazon Quick Suite IAM.

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

Você também pode associar um usuário existente do IAM a um novo perfil de permissões. O exemplo a seguir atualizou o perfil de permissões personalizadas de um usuário existente do IAM.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

O exemplo abaixo remove um usuário existente de um perfil de permissões.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

Para testar as permissões personalizadas aplicadas a um perfil ou usuário, faça login na conta do usuário. Quando um usuário faz login no Amazon Quick Suite, ele recebe o maior privilégio ao qual tem acesso. O perfil privilegiado mais alto que um usuário pode receber é o de administrador. O menor papel privilegiado que um usuário pode receber é o de Leitor. Para obter mais informações sobre funções no Amazon Quick Suite, consulte Gerenciamento do acesso de usuários dentro do Amazon Quick Suite.

Se você atribuir um perfil de permissões personalizadas que restringe o compartilhamento da fonte de dados ao perfil do autor, esse autor não poderá mais acessar os controles que permitem o compartilhamento da fonte de dados. Em vez disso, o autor afetado tem permissões somente de visualização na fonte de dados.

Aplicar um perfil de permissões personalizadas a uma conta

Para aplicar um perfil de permissões personalizadas a uma conta

  1. Abra o console do Quick Suite.

  2. No canto superior direito, escolha o ícone do perfil.

  3. Escolha Gerenciar o Quick Suite. Somente administradores do Amazon Quick Suite poderão visualizar esta página.

  4. Escolha Permissões personalizadas. Você também pode escolher a seção Gerenciar usuários e, em seguida, escolher Gerenciar permissões personalizadas se sua conta do Quick Suite usar usuários gerenciados do Quick Suite.

  5. Localize a permissão personalizada da conta desejada. No menu de opções, em Ações, escolha Definir como perfil de conta.

Aplique um perfil de permissões personalizado a uma conta usando o Quick Suite APIs

Depois de criar um perfil de permissões personalizado, use a API do Quick Suite para adicionar ou alterar o perfil de permissões personalizado atribuído a uma conta.

Antes de começar, você precisará instalar e configurar a AWS CLI. Para obter mais informações sobre a instalação da AWS CLI, consulte Instalar ou atualizar a versão mais recente da CLI e Configurar a AWSAWS CLI no guia do usuário da interface de linha de comando. AWS Você também precisa das seguintes permissões do IAM: quicksight:UpdateAccountPermission, quicksight:DescribeAccountPermission e quicksight:DeleteAccountCustomPermission.

O exemplo a seguir chama a API UpdateAccountPermission para atualizar as permissões personalizadas atribuídas a uma conta.

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

O exemplo a seguir retorna o perfil de permissões personalizadas atribuído a uma conta.

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

O exemplo a seguir cancela a aplicação de um perfil de permissões personalizadas de uma conta.

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION