Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas de IAM para Quick
En esta sección se proporcionan ejemplos de políticas de IAM que puede utilizar con Quick.
Políticas de IAM basadas en la identidad para Quick
En esta sección se muestran ejemplos de políticas basadas en la identidad para usar con Quick.
Políticas de IAM basadas en la identidad para la administración de la consola Amazon Quick IAM
El siguiente ejemplo muestra los permisos de IAM necesarios para las acciones de administración de la consola Amazon Quick IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick: paneles
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Políticas de IAM basadas en la identidad para Quick: espacios de nombres
Los siguientes ejemplos muestran las políticas de IAM que permiten a un administrador de Amazon Quick crear o eliminar espacios de nombres.
Creación de espacios de nombres
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminación de espacios de nombres
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: permisos personalizados
El siguiente ejemplo muestra una política de IAM que permite a un administrador o desarrollador de Amazon Quick gestionar permisos personalizados.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: personalización de las plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico en Amazon Quick, así como obtener atributos de verificación para una identidad de Amazon Simple Email Service. Esta política permite a un administrador de Amazon Quick crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: cree una cuenta empresarial con los usuarios gestionados por Amazon Quick
El siguiente ejemplo muestra una política que permite a los administradores de Amazon Quick crear una cuenta Amazon Quick de la edición Enterprise con los usuarios gestionados por Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente usuarios de Amazon Quick. En quicksight:CreateReader, quicksight:CreateUser y quicksight:CreateAdmin, puede limitar los permisos a "Resource":
"arn:aws:quicksight::. Para el resto de los permisos que se describen en esta guía, utilice <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". El recurso que especifique limita el alcance de los permisos para el recurso especificado.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Políticas de IAM basadas en la identidad para Quick: creación y gestión de grupos
El siguiente ejemplo muestra una política que permite a los administradores y desarrolladores de Amazon Quick crear y gestionar grupos.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Standard
El siguiente ejemplo de la edición Amazon Quick Standard muestra una política que permite suscribirse y crear autores y lectores. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite a un usuario de Amazon Quick suscribirse a Amazon Quick, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles de Amazon Quick Pro que otorgan acceso a Amazon Q en las capacidades de BI de generación rápida. Para obtener más información sobre los roles profesionales en Amazon Quick, consulte Comenzar con la BI generativa.
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para la edición Quick: acceso total para empresas con IAM Identity Center
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política no concede permisos para crear roles Pro en Amazon Quick. Para crear una política que conceda permiso para suscribirse a los roles Pro en Amazon Quick, consulte las políticas de IAM basadas en la identidad de Amazon Quick: All access for Enterprise edition with IAM Identity Center (roles Pro).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de Amazon Quick que usa Active Directory para la administración de identidades. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de grupos de Active Directory para una cuenta de Amazon Quick Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de activos
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de claves
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Los "kms:ListAliases" permisos "quicksight:ListKMSKeysForUser" y son necesarios para acceder a las claves gestionadas por el cliente desde la consola Amazon Quick. "quicksight:ListKMSKeysForUser"y no "kms:ListAliases" están obligados a utilizar la gestión de claves rápidas de Amazon APIs.
Para especificar a qué claves quiere que un usuario pueda acceder, añada a ARNs la UpdateKeyRegistration condición las claves a las que desea que el usuario acceda con la clave de quicksight:KmsKeyArns condición. Los usuarios solo pueden acceder a las claves especificadas en UpdateKeyRegistration. Para obtener más información sobre las claves de estado compatibles con Amazon Quick, consulta Claves de estado de Amazon Quick.
El siguiente ejemplo concede Describe permisos a todos los CMKs que estén registrados en una cuenta Amazon Quick y Update permisos a determinados CMKs que estén registrados en la cuenta Amazon Quick.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS Resources Quick: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
