Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Personalización del acceso a la consola de Amazon QuickSight
Se aplica a: Enterprise Edition |
Público objetivo: administradores y QuickSight desarrolladores de Amazon |
En la edición Enterprise, puedes restringir la funcionalidad a la que pueden acceder las personas en Amazon QuickSight. Los permisos QuickSight personalizados de Amazon se aplican mediante IAM políticas. Puede configurar permisos personalizados para los roles (administrador, autor, lector) para todos los tipos de identidad en QuickSight. También puede aplicar permisos personalizados a nivel de usuario a AWS Identity and Access Management los usuarios. Los permisos personalizados de nivel de usuario anulan los permisos de nivel de rol personalizados o predeterminados existentes de un rol del usuario indicado.
Se aplican las limitaciones siguientes a los permisos personalizados de nivel de usuario.
-
No puedes conceder permisos que superen el rol predeterminado de un usuario. Por ejemplo, si un usuario tiene acceso de lector, no puede conceder permisos a ese usuario para editar los paneles.
-
Para personalizar los permisos, debes ser un QuickSight administrador con permisos de uso
"quicksight:CustomPermissions"
.
IAMlas políticas y QuickSight los permisos no son lo mismo. A un usuario se le pueden conceder permisos de acceso y asignarle un rol con una IAM política, pero la IAM política no controla lo que ese usuario puede hacer dentro de ella QuickSight. QuickSight los activos tienen sus propios conjuntos de permisos que se utilizan para personalizar QuickSight (funciones específicas). Estos permisos se gestionan a nivel de recursos ajenos a élIAM.
Es posible crear perfiles de permisos personalizados mediante los que restringir el acceso a cualquier combinación de las operaciones siguientes.
activo | Permisos personalizables |
---|---|
Orígenes de datos y conjuntos de datos |
Creación o actualización de un origen de datos |
Creación o actualización de un conjunto de datos |
|
Uso compartido de un conjunto de datos |
|
Paneles y análisis |
Adición o puesta en marcha de la detección de anomalías |
Creación o actualización de un tema |
|
Exportar a CSV o Excel |
|
Share |
|
Carpetas |
Creación de una carpeta compartida |
Cambio del nombre de la carpeta compartida |
|
Informes |
Creación |
Actualización |
|
Suscripción a informes de correo electrónico |
Los elementos agregados a las carpetas compartidas se comparten independientemente de los permisos personalizados del activo. Esto se aplica a los paneles, los análisis, los conjuntos de datos y los orígenes de datos.
Utilice el siguiente procedimiento para crear un perfil de permisos personalizado en QuickSight.
Creación de un perfil de permisos personalizados
-
En cualquier página de la QuickSight consola, selecciona Administrar QuickSight en la esquina superior derecha.
Solo QuickSight los administradores tienen acceso a la opción de QuickSight menú Administrar. Si no tiene acceso al QuickSight menú Administrar, póngase en contacto con su QuickSight administrador para obtener ayuda.
-
Elija Seguridad y permisos.
-
En Administrar permisos, elija Administrar.
-
Elija una de las siguientes opciones.
-
Para editar o ver un perfil de permisos personalizados existente, seleccione los puntos suspensivos (tres puntos) situados junto al perfil que desee y elija Ver/Editar.
-
Para crear un nuevo perfil de permisos personalizados, elija Crear.
-
-
Si desea crear o actualizar un perfil de permisos personalizados, elija los siguientes elementos.
-
En Nombre, ingrese un nombre para el perfil de permisos personalizados.
-
En Restricciones, elija las opciones que desee rechazar. Las opciones que no elija estarán permitidas. Por ejemplo, si no quiere que los usuarios creen o actualicen los orígenes de datos, pero está de acuerdo con que puedan hacer cualquier otra cosa, seleccione solo Creación o actualización de orígenes de datos.
-
-
Seleccione Crear o Actualizar para confirmar sus opciones. Para volver sin realizar ningún cambio, seleccione Atrás.
-
Cuando haya terminado de realizar los cambios, registre el nombre del perfil de permisos personalizados. Proporcione el nombre del perfil de permisos personalizado a API los usuarios para que puedan aplicar el perfil de permisos personalizado a los roles o usuarios.
Aplique un perfil de permisos personalizado a un QuickSight rol con la QuickSight API
Tras crear un perfil de permisos personalizado, QuickSight API utilícelo para añadir o cambiar el perfil de permisos personalizado asignado a un rol.
Antes de empezar, debe configurar y configurar el AWS CLI. Para obtener más información sobre la instalación de AWS CLI, consulte Instalar o actualizar la última versión AWS CLI y configurar la AWS CLI en la guía del AWS Command Line Interface usuario. También necesita permisos para usar el QuickSight API.
En el siguiente ejemplo, se solicita la UpdateRoleCustomPermission
API actualización de los permisos personalizados que se asignan a un rol.
aws quicksight update-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --custom-permissions-namePERMISSIONNAME
\ --regionREGION
En el siguiente ejemplo, se devuelve el perfil de permisos personalizados asignado a un rol.
aws quicksight describe-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --regionREGION
En el siguiente ejemplo, se elimina un perfil de permisos personalizados de un rol.
aws quicksight delete-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --regionREGION
Aplique un perfil de permisos personalizado a un IAM usuario con QuickSight API
En el siguiente ejemplo, se agregan permisos personalizados a un IAM usuario nuevo.
aws quicksight register-user \ --iam-arn arn:aws:iam::
AWSACCOUNTID
:user/USER
\ --identity-type IAM \ --user-role AUTHOR \ --custom-permissions-namecustom-permissions-profile-name
\ --emailAWSACCOUNTID
\ --namespace default \
También puede asociar un IAM usuario existente a un nuevo perfil de permisos. En el siguiente ejemplo, se actualizó el perfil de permisos personalizados de un IAM usuario existente.
aws quicksight update-user \ --user-name
USERNAME
\ --role AUTHOR \ --custom-permissions-namecustom-permissions-profile-name
\ --emailAWSACCOUNTID
\ --namespace default \
En el siguiente ejemplo, se elimina un usuario existente de un perfil de permisos.
aws quicksight update-user \ --user-name
USERNAME
\ --role AUTHOR \ --unapply-custom-permissions \ --emailAWSACCOUNTID
\ --namespace default
Para probar los permisos personalizados que se aplican a un rol o un usuario, inicie sesión en la cuenta del usuario. Cuando un usuario inicia sesión QuickSight, se le concede el rol de mayor privilegio al que tiene acceso. El rol de mayor privilegio que se le puede conceder a un usuario es el de administrador. El rol con los privilegios más bajos que se le puede conceder a un usuario es el de lector. Para obtener más información sobre las funciones en Amazon QuickSight, consulteAdministrar el acceso de los usuarios dentro de Amazon QuickSight.
Si asigna un perfil de permisos personalizados que restringe el uso compartido de orígenes de datos al rol de autor, dicho autor ya no podrá acceder a los controles que permiten compartir orígenes de datos. En su lugar, el autor afectado solo tendrá permisos de visualización para el origen de datos.