Configuración del acceso de los usuarios federados a QuickSight través del Centro de Identidad de IAM

Si su empresa ya lo utiliza AWS IAM Identity Center, es posible que desee utilizar este servicio para autenticar a los usuarios federados. Puede utilizar la federación SAML 2.0 o utilizar la integración de servicios integrada entre el IAM Identity Center. Para obtener más información sobre la integración de servicios integrada, consulte esta Integración de IAM Identity Center guía.

Cuando se utiliza la federación SAML 2.0 con el Centro de identidades de IAM, existen dos métodos para configurar el acceso de los usuarios federados a: QuickSight

• Configurar los permisos mediante conjuntos de permisos— Puede utilizar este enfoque solo si es Cuentas de AWS para el Centro de Identidad de IAM y QuickSight si es miembro de la misma organización. AWS Organizations Un conjunto de permisos es una plantilla que define un conjunto de una o más políticas AWS Identity and Access Management (de IAM). Los conjuntos de permisos pueden simplificar la administración de permisos en su organización.

• Configuración de permisos mediante funciones de IAM— Este enfoque es adecuado si el formulario Cuenta de AWS no forma parte de la misma organización que IAM Identity Center. QuickSight En este enfoque, las funciones de IAM se crean directamente en la misma cuenta con. QuickSight

En ambos enfoques, los usuarios pueden autoaprovisionar su propio acceso. QuickSight Si la sincronización del correo electrónico está deshabilitada, los usuarios pueden proporcionar su dirección de correo electrónico preferida al iniciar sesión QuickSight. Si la sincronización del correo electrónico está habilitada, QuickSight utiliza la dirección de correo electrónico definida en el IdP empresarial. Para obtener más información, consulte la sección QuickSight sincronización de correo electrónico para usuarios federados de esta guía.

Configurar los permisos mediante conjuntos de permisos

Las siguientes son las características de este enfoque de arquitectura y acceso:

1. Son Cuentas de AWS para el Centro de Identidad de IAM y QuickSight pertenecen a la misma organización en AWS Organizations.

2. El conjunto de permisos que defina en el Centro de identidades de IAM administra y controla la función de IAM.

3. Los usuarios inician sesión a través del Centro de identidad de IAM.

4. El registro QuickSight de usuario está vinculado a la función de IAM gestionada por el Centro de Identidad de IAM y al nombre de usuario, por ejemplo. AWSReservedSSO_QuickSightReader_7oe58cd620501f23/DiegoRamirez@example.com

Requisitos previos

• Una cuenta activa QuickSight

• Los siguientes permisos:

  • Acceso de administrador al Cuenta de AWS lugar al que QuickSight está suscrito

  • Acceso a la consola del IAM Identity Center y permisos para crear conjuntos de permisos

Configuración del acceso

Antes de suscribirse QuickSight, asegúrese de haber instalado y configurado el IAM Identity Center. Para obtener instrucciones, consulte los tutoriales de activación AWS IAM Identity Center e introducción en la documentación del Centro de identidades de IAM. Una vez que haya configurado el Centro de identidades de IAM en su organización, cree un conjunto de permisos personalizado en el Centro de identidades de IAM que permita el acceso de los usuarios federados. QuickSight Para obtener instrucciones, consulte Crear un conjunto de permisos en la documentación del Centro de identidades de IAM. Para obtener más información sobre la configuración de las políticas que se incluyen en el conjunto de permisos, consulte Configuración de políticas de IAM esta guía.

Tras crear el conjunto de permisos, aprovisiónelo al destino al Cuenta de AWS que QuickSight está suscrito y, a continuación, aplíquelo a los usuarios y grupos que necesiten QuickSight acceso. Para obtener más información sobre la asignación de conjuntos de permisos, consulte Asignar el acceso de los usuarios a Cuentas de AWS en la documentación del Centro de identidades de IAM.

Configuración de permisos mediante funciones de IAM

Las siguientes son las características de este enfoque de arquitectura y acceso:

1. Son Cuentas de AWS para el centro de identidad de IAM y no QuickSight pertenecen a la misma organización en AWS Organizations.

2. Los usuarios inician sesión a través del Centro de identidad de IAM o mediante el IdP externo que configuró como fuente de identidad en el Centro de identidad de IAM.

3. El rol de IAM contiene una política de confianza que permite que solo los usuarios federados del Centro de Identidad de IAM asuman el rol.

4. El registro QuickSight de usuario está vinculado a una función de IAM y al nombre de usuario del IdP, por ejemplo. QuickSightReader/DiegoRamirez@example.com

Requisitos previos

• Una cuenta activa QuickSight .

• Los siguientes permisos:

  • El acceso de administrador al Cuenta de AWS lugar al QuickSight que está suscrito.

  • Acceso a la consola del IAM Identity Center y permisos para gestionar las aplicaciones.

• Ha creado y configurado el Centro de identidades de IAM. Para obtener instrucciones, consulte los tutoriales de activación AWS IAM Identity Center e introducción en la documentación del Centro de identidades de IAM.

• Ha configurado el Centro de identidad de IAM como un IdP de confianza en IAM. Para obtener instrucciones, consulte Creación de proveedores de identidad de IAM en la documentación de IAM.

Configuración del acceso

Para obtener instrucciones, consulta la Guía de AWS IAM Identity Center integración de Amazon QuickSight. Una vez que haya configurado el Centro de identidades de IAM como un proveedor de identidad de confianza para el Cuenta de AWS, cree una función de IAM que los usuarios federados puedan asumir para acceder. QuickSight Para obtener instrucciones, consulte Creación de funciones de IAM en la documentación de IAM. Para obtener más información sobre la configuración de las políticas QuickSight, consulte esta Configuración de políticas de IAM guía.