As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o Quick Suite com o IAM
| Aplica-se a: Enterprise Edition e Standard Edition |
| Público-alvo: administradores de sistemas |
Antes de usar o IAM para gerenciar o acesso ao Amazon Quick Suite, você deve entender quais recursos do IAM estão disponíveis para uso com o Amazon Quick Suite. Para ter uma visão de alto nível de como o Amazon Quick Suite e outros AWS serviços funcionam com o IAM, consulte AWS Serviços que funcionam com o IAM no Guia do usuário do IAM.
Tópicos
Políticas do Amazon Quick Suite (baseadas em identidade)
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Quick Suite oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
Você pode usar credenciais AWS raiz ou credenciais de usuário do IAM para criar uma conta do Amazon Quick Suite. AWS as credenciais raiz e de administrador já têm todas as permissões necessárias para gerenciar o acesso aos AWS recursos do Amazon Quick Suite.
No entanto, recomendamos que você proteja suas credenciais raiz usando as credenciais de usuário do IAM. Para fazer isso, você pode criar uma política e anexá-la ao usuário e às funções do IAM que você planeja usar para o Amazon Quick Suite. A política deve incluir as declarações apropriadas para as tarefas administrativas do Amazon Quick Suite que você precisa realizar, conforme descrito nas seções a seguir.
Importante
Esteja ciente do seguinte ao trabalhar com as políticas do Quick Suite e do IAM:
-
Evite modificar diretamente uma política criada pelo Quick Suite. Quando você mesmo o modifica, o Quick Suite não pode editá-lo. Essa incapacidade pode causar um problema com a política. Para corrigir o problema, exclua a política modificada anteriormente.
-
Se você receber um erro nas permissões ao tentar criar uma conta do Amazon Quick Suite, consulte Ações definidas pelo Amazon Quick Suite no Guia do usuário do IAM.
-
Em alguns casos, você pode ter uma conta do Amazon Quick Suite que não pode ser acessada nem mesmo da conta raiz (por exemplo, se você excluiu acidentalmente o serviço de diretório). Nesse caso, você pode excluir sua conta antiga do Amazon Quick Suite e recriá-la. Para obter mais informações, consulte Excluir sua assinatura do Amazon Quick Suite e fechar a conta.
Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Amazon Quick Suite usam o seguinte prefixo antes da ação:quicksight:. Por exemplo, para conceder permissão a alguém para executar uma EC2 instância da Amazon com a operação de EC2 RunInstances API da Amazon, você inclui a ec2:RunInstances ação na política dessa pessoa. As instruções de política devem incluir um elemento Action ou NotAction. O Amazon Quick Suite define seu próprio conjunto de ações que descrevem tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
"Action": [ "quicksight:action1", "quicksight:action2"]
Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificar todas as ações que começam com a palavra Create, inclua a seguinte ação:
"Action": "quicksight:Create*"
O Amazon Quick Suite fornece várias ações AWS Identity and Access Management (IAM). Todas as ações do Amazon Quick Suite são prefixadas comquicksight:, comoquicksight:Subscribe. Para obter informações sobre o uso das ações do Amazon Quick Suite em uma política do IAM, consulte exemplos de políticas do IAM para o Amazon Quick Suite.
Para ver a up-to-date lista mais completa das ações do Amazon Quick Suite, consulte Ações definidas pelo Amazon Quick Suite no Guia do usuário do IAM.
Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Para ações que não deem suporte a permissões no nível do recurso, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.
"Resource": "*"
Veja abaixo um exemplo de política. Isso significa que o autor da chamada com essa política vinculada pode invocar a operação CreateGroupMembership em qualquer grupo, desde que o nome do usuário que ele está adicionando ao grupo não seja user1.
{ "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } }
Algumas ações do Amazon Quick Suite, como aquelas para criar recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve utilizar o caractere curinga (*).
"Resource": "*"
Algumas ações da API do envolvem vários recursos. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
"Resource": [ "resource1", "resource2"
Para ver uma lista dos tipos de recursos do Amazon Quick Suite e seus nomes de recursos da Amazon (ARNs), consulte Recursos definidos pelo Amazon Quick Suite no Guia do usuário do IAM. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte Ações definidas pelo Amazon Quick Suite.
Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Condition especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia do usuário do IAM.
O Amazon Quick Suite não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte Chaves de contexto de condição AWS global no Guia do usuário do IAM.
Exemplos
Para ver exemplos de políticas baseadas em identidade do Amazon Quick Suite, consulte Políticas do Amazon Quick Suite (com base em identidade).
Políticas do Amazon Quick Suite (baseadas em recursos)
O Amazon Quick Suite não oferece suporte a políticas baseadas em recursos. No entanto, você pode usar o console do Amazon Quick Suite para configurar o acesso a outros AWS recursos no seu Conta da AWS.
Autorização com base nas tags do Amazon Quick Suite
O Amazon Quick Suite não oferece suporte à marcação de recursos nem ao controle de acesso com base em tags.
Funções do Amazon Quick Suite IAM
Uma função do IAM é uma entidade dentro da sua AWS conta que tem permissões específicas. Você pode usar as funções do IAM para agrupar permissões para facilitar o gerenciamento do acesso do usuário às ações do Amazon Quick Suite.
O Amazon Quick Suite não é compatível com os seguintes recursos de função:
-
Perfis vinculados ao serviço.
-
Funções de serviço.
-
Credenciais temporárias (uso direto): no entanto, o Amazon Quick Suite usa credenciais temporárias para permitir que os usuários assumam uma função do IAM para acessar painéis incorporados. Para obter mais informações, consulte Análise incorporada para o Amazon Quick Suite.
Para obter mais informações sobre como o Amazon Quick Suite usa funções do IAM, consulte Como usar o Amazon Quick Suite com IAM e exemplos de políticas do IAM para o Amazon Quick Suite.
