As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas de IAM para o Quick Suite
Esta seção fornece exemplos de políticas do IAM que você pode usar com o Quick Suite.
Políticas baseadas em identidade do IAM para o Quick Suite
Esta seção mostra exemplos de políticas baseadas em identidade para usar com o Quick Suite.
Tópicos
Políticas baseadas em identidade do IAM para administração do console IAM do Amazon Quick Suite
O exemplo a seguir mostra as permissões do IAM necessárias para as ações de administração do console IAM do Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: painéis
O exemplo a seguir mostra uma política do IAM que permite o compartilhamento e incorporação de painéis para painéis específicos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: namespaces
Os exemplos a seguir mostram políticas do IAM que permitem que um administrador do Amazon Quick Suite crie ou exclua namespaces.
Criar namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Excluir namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: permissões personalizadas
O exemplo a seguir mostra uma política do IAM que permite que um administrador ou desenvolvedor do Amazon Quick Suite gerencie permissões personalizadas.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: personalização de modelos de relatórios por e-mail
O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail no Amazon Quick Suite, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um administrador do Amazon Quick Suite crie e atualize modelos de relatórios de e-mail personalizados e confirme que qualquer endereço de e-mail personalizado do qual ele queira enviar relatórios por e-mail é uma identidade verificada no SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: crie uma conta corporativa com usuários gerenciados do Amazon Quick Suite
O exemplo a seguir mostra uma política que permite aos administradores do Amazon Quick Suite criar uma conta do Amazon Quick Suite da edição Enterprise com usuários gerenciados do Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: criação de usuários
O exemplo a seguir mostra uma política que permite criar somente usuários do Amazon Quick Suite. Em quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, você pode limitar as permissões para "Resource":
"arn:aws:quicksight::. Para todas as demais permissões descritas neste guia, use <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". O recurso que você especificar limita o escopo das permissões para o recurso especificado.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: criação e gerenciamento de grupos
O exemplo a seguir mostra uma política que permite que administradores e desenvolvedores do Amazon Quick Suite criem e gerenciem grupos.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: acesso total para a edição Standard
O exemplo a seguir para a edição padrão do Amazon Quick Suite mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)
O exemplo a seguir da edição Amazon Quick Suite Enterprise mostra uma política que permite que um usuário do Amazon Quick Suite assine o Amazon Quick Suite, crie usuários e gerencie o Active Directory em uma conta do Amazon Quick Suite integrada ao IAM Identity Center.
Essa política também permite que os usuários assinem funções do Amazon Quick Suite Pro que concedem acesso ao Amazon Q nos recursos de BI generativo do Quick Suite. Para obter mais informações sobre funções profissionais no Amazon Quick Suite, consulte Comece a usar o Generative BI.
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: acesso total à edição Enterprise com o IAM Identity Center
O exemplo a seguir da edição Amazon Quick Suite Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta do Amazon Quick Suite integrada ao IAM Identity Center.
Essa política não concede permissões para criar funções Pro no Amazon Quick Suite. Para criar uma política que conceda permissão para assinar funções Pro no Amazon Quick Suite, consulte Políticas baseadas em identidade do IAM para o Amazon Quick Suite: acesso total à edição Enterprise com o IAM Identity Center (funções Pro).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: acesso total à edição Enterprise com o Active Directory
O exemplo a seguir da edição Amazon Quick Suite Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta do Amazon Quick Suite que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: grupos do Active Directory
O exemplo a seguir mostra uma política do IAM que permite o gerenciamento de grupos do Active Directory para uma conta da edição Amazon Quick Suite Enterprise.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas baseadas em identidade do IAM para o Quick Suite: usando o console de gerenciamento de ativos administrativos
O exemplo a seguir mostra uma política do IAM que permite o acesso ao console de gerenciamento de ativos do administrador.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick Suite: usando o console de gerenciamento de chaves administrativas
O exemplo a seguir mostra uma política do IAM que permite acesso ao console de gerenciamento de chaves do administrador.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
As "kms:ListAliases" permissões "quicksight:ListKMSKeysForUser" e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do console do Amazon Quick Suite. "quicksight:ListKMSKeysForUser"e não "kms:ListAliases" são obrigados a usar o gerenciamento de chaves do Amazon Quick Suite APIs.
Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à UpdateKeyRegistration condição com a chave de quicksight:KmsKeyArns condição. Os usuários podem acessar somente as chaves especificadas em UpdateKeyRegistration. Para obter mais informações sobre as chaves de condição suportadas para o Amazon Quick Suite, consulte Chaves de condição para o Amazon Quick Suite.
O exemplo abaixo concede Describe permissões para todos os CMKs que estão registrados em uma conta do Amazon Quick Suite e Update permissões para aqueles CMKs que estão registrados na conta do Amazon Quick Suite.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS recursos Quick Suite: políticas de escopo na edição Enterprise
O exemplo a seguir da edição Amazon Quick Suite Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
