Transferência de funções do IAM para o Quick Suite - Amazon Quick Suite
Pré-requisitosAnexar políticas adicionaisUsando funções existentes do IAM no Quick Suite

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Transferência de funções do IAM para o Quick Suite

 Aplica-se a: Enterprise Edition 

Quando seus usuários do IAM se inscrevem no Quick Suite, eles podem escolher usar a função gerenciada pelo Amazon Quick Suite (essa é a função padrão). Ou eles podem passar uma função existente do IAM para o Amazon Quick Suite.

Use as seções abaixo para passar as funções existentes do IAM para o Amazon Quick Suite

Pré-requisitos

Para que seus usuários passem funções do IAM para o Amazon Quick Suite, seu administrador precisa concluir as seguintes tarefas:

  • Crie uma função do IAM. Para obter mais informações sobre como criar perfis do IAM, consulte Criação de perfis do IAM no Guia do usuário do IAM.

  • Anexe uma política de confiança à sua função do IAM que permita que o Amazon Quick Suite assuma a função. Use o exemplo a seguir para criar uma política de confiança para o perfil. O exemplo de política de confiança a seguir permite que o diretor do Quick Suite assuma a função do IAM à qual está vinculado.

    Para obter mais informações sobre como criar políticas de confiança do IAM e anexá-las aos perfis, consulte Modificar um perfil (console) no Guia do usuário do IAM.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Atribua as seguintes permissões do IAM ao seu administrador (perfis ou usuários do IAM):

    • quicksight:UpdateResourcePermissions— Isso concede aos usuários do IAM que são administradores do Amazon Quick Suite a permissão para atualizar as permissões em nível de recurso no Amazon Quick Suite. Para obter mais informações sobre os tipos de recursos definidos pelo Amazon Quick Suite, consulte Ações, recursos e chaves de condição para o Quick Suite no Guia do usuário do IAM.

    • iam:PassRole— Isso concede aos usuários permissão para passar funções para o Amazon Quick Suite. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS serviço no Guia do usuário do IAM.

    • iam:ListRoles— (Opcional) Isso concede aos usuários permissão para ver uma lista de funções existentes no Amazon Quick Suite. Se essa permissão não for concedida, eles poderão utilizar um ARN para usar os perfis do IAM existentes.

    Veja a seguir um exemplo de política de permissões do IAM que permite gerenciar permissões em nível de recurso, listar funções do IAM e transmitir funções do IAM no Quick Suite.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Para obter mais exemplos de políticas do IAM que você pode usar com o Amazon Quick Suite, consulte exemplos de políticas do IAM para o Amazon Quick Suite.

Para obter mais informações sobre como atribuir as políticas de permissões a usuários ou grupos de usuários, consulte Alteração de permissões de um usuário do IAM no Guia do usuário do IAM.

Anexar políticas adicionais

Se você estiver usando outro AWS serviço, como o Amazon Athena ou o Amazon S3, poderá criar uma política de permissões que conceda ao Amazon Quick Suite permissão para realizar ações específicas. Em seguida, você pode anexar a política às funções do IAM que você posteriormente passará para o Amazon Quick Suite. Veja a seguir exemplos de como você pode configurar e anexar políticas de permissões adicionais aos seus perfis do IAM.

Para ver um exemplo de política gerenciada para o Amazon Quick Suite no Athena, consulte Política AWSQuicksight AthenaAccess gerenciada no Guia do usuário do Amazon Athena. Os usuários do IAM podem acessar essa função no Amazon Quick Suite usando o seguinte ARN:. arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess

Veja a seguir um exemplo de uma política de permissões para o Amazon Quick Suite no Amazon S3. Para obter mais informações sobre como usar o IAM com o Amazon S3, consulte Identity and Access Management no Amazon S3 no Guia do usuário do Amazon S3.

Para obter informações sobre como criar acesso entre contas do Amazon Quick Suite a um bucket do Amazon S3 em outra conta, consulte Como faço para configurar o acesso entre contas do Quick Suite a um bucket do Amazon S3 em outra conta? no Centro de AWS Conhecimento.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Usando funções existentes do IAM no Quick Suite

Se você for administrador do Amazon Quick Suite e tiver permissões para atualizar os recursos do Amazon Quick Suite e passar funções do IAM, você pode usar as funções do IAM existentes no Amazon Quick Suite. Para saber mais sobre os pré-requisitos para a aprovação de funções do IAM no Amazon Quick Suite, consulte os pré-requisitos descritos na lista anterior.

Use o procedimento a seguir para aprender como passar funções do IAM no Amazon Quick Suite.

Para usar uma função do IAM existente no Amazon Quick Suite

  1. No Amazon Quick Suite, escolha o nome da sua conta na barra de navegação no canto superior direito e escolha Gerenciar QuickSight.

  2. Na página Gerenciar Amazon Quick Suite que se abre, escolha Segurança e permissões no menu à esquerda.

  3. Na página Segurança e permissões que se abre, em Acesso aos AWS serviços do Amazon Quick Suite, escolha Gerenciar.

  4. Em Perfil do IAM, escolha Usar um perfil existente e faça um dos seguintes procedimentos:

    • Selecione na lista o perfil que você deseja usar.

    • Se não visualizar uma lista dos perfis do IAM existentes, você pode inserir o ARN do IAM do perfil no seguinte formato: arn:aws:iam::account-id:role/path/role-name.

  5. Escolha Salvar.