Personalización del acceso a la consola de Amazon QuickSight - Amazon QuickSight
Aplicación de un perfil de permisos personalizados a un rolAplicar un perfil de permisos personalizado a un IAM usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Personalización del acceso a la consola de Amazon QuickSight

 Se aplica a: Enterprise Edition 
   Público objetivo: administradores y QuickSight desarrolladores de Amazon 

En la edición Enterprise, puedes restringir la funcionalidad a la que pueden acceder las personas en Amazon QuickSight. Los permisos QuickSight personalizados de Amazon se aplican mediante IAM políticas. Puede configurar permisos personalizados para los roles (administrador, autor, lector) para todos los tipos de identidad en QuickSight. También puede aplicar permisos personalizados a nivel de usuario a AWS Identity and Access Management los usuarios. Los permisos personalizados de nivel de usuario anulan los permisos de nivel de rol personalizados o predeterminados existentes de un rol del usuario indicado.

Se aplican las limitaciones siguientes a los permisos personalizados de nivel de usuario.

  • No puedes conceder permisos que superen el rol predeterminado de un usuario. Por ejemplo, si un usuario tiene acceso de lector, no puede conceder permisos a ese usuario para editar los paneles.

  • Para personalizar los permisos, debes ser un QuickSight administrador con permisos de uso"quicksight:CustomPermissions".

IAMlas políticas y QuickSight los permisos no son lo mismo. A un usuario se le pueden conceder permisos de acceso y asignarle un rol con una IAM política, pero la IAM política no controla lo que ese usuario puede hacer dentro de ella QuickSight. QuickSight los activos tienen sus propios conjuntos de permisos que se utilizan para personalizar QuickSight (funciones específicas). Estos permisos se gestionan a nivel de recursos ajenos a élIAM.

Es posible crear perfiles de permisos personalizados mediante los que restringir el acceso a cualquier combinación de las operaciones siguientes.

activo Permisos personalizables

Orígenes de datos y conjuntos de datos

Creación o actualización de un origen de datos

Creación o actualización de un conjunto de datos

Uso compartido de un conjunto de datos

Paneles y análisis

Adición o puesta en marcha de la detección de anomalías

Creación o actualización de un tema

Exportar a CSV o Excel

Share

Carpetas

Creación de una carpeta compartida

Cambio del nombre de la carpeta compartida

Informes

Creación

Actualización

Suscripción a informes de correo electrónico

Los elementos agregados a las carpetas compartidas se comparten independientemente de los permisos personalizados del activo. Esto se aplica a los paneles, los análisis, los conjuntos de datos y los orígenes de datos.

Utilice el siguiente procedimiento para crear un perfil de permisos personalizado en QuickSight.

Creación de un perfil de permisos personalizados

  1. En cualquier página de la QuickSight consola, selecciona Administrar QuickSight en la esquina superior derecha.

    Solo QuickSight los administradores tienen acceso a la opción de QuickSight menú Administrar. Si no tiene acceso al QuickSight menú Administrar, póngase en contacto con su QuickSight administrador para obtener ayuda.

  2. Elija Seguridad y permisos.

  3. En Administrar permisos, elija Administrar.

  4. Elija una de las siguientes opciones.

    • Para editar o ver un perfil de permisos personalizados existente, seleccione los puntos suspensivos (tres puntos) situados junto al perfil que desee y elija Ver/Editar.

    • Para crear un nuevo perfil de permisos personalizados, elija Crear.

  5. Si desea crear o actualizar un perfil de permisos personalizados, elija los siguientes elementos.

    • En Nombre, ingrese un nombre para el perfil de permisos personalizados.

    • En Restricciones, elija las opciones que desee rechazar. Las opciones que no elija estarán permitidas. Por ejemplo, si no quiere que los usuarios creen o actualicen los orígenes de datos, pero está de acuerdo con que puedan hacer cualquier otra cosa, seleccione solo Creación o actualización de orígenes de datos.

  6. Seleccione Crear o Actualizar para confirmar sus opciones. Para volver sin realizar ningún cambio, seleccione Atrás.

  7. Cuando haya terminado de realizar los cambios, registre el nombre del perfil de permisos personalizados. Proporcione el nombre del perfil de permisos personalizado a API los usuarios para que puedan aplicar el perfil de permisos personalizado a los roles o usuarios.

Aplique un perfil de permisos personalizado a un QuickSight rol con la QuickSight API

Tras crear un perfil de permisos personalizado, QuickSight API utilícelo para añadir o cambiar el perfil de permisos personalizado asignado a un rol.

Antes de empezar, debe configurar y configurar el AWS CLI. Para obtener más información sobre la instalación de AWS CLI, consulte Instalar o actualizar la última versión AWS CLI y configurar la AWS CLI en la guía del AWS Command Line Interface usuario. También necesita permisos para usar el QuickSight API.

En el siguiente ejemplo, se solicita la UpdateRoleCustomPermission API actualización de los permisos personalizados que se asignan a un rol.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

En el siguiente ejemplo, se devuelve el perfil de permisos personalizados asignado a un rol.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

En el siguiente ejemplo, se elimina un perfil de permisos personalizados de un rol.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Aplique un perfil de permisos personalizado a un IAM usuario con QuickSight API

En el siguiente ejemplo, se agregan permisos personalizados a un IAM usuario nuevo.

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

También puede asociar un IAM usuario existente a un nuevo perfil de permisos. En el siguiente ejemplo, se actualizó el perfil de permisos personalizados de un IAM usuario existente.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

En el siguiente ejemplo, se elimina un usuario existente de un perfil de permisos.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

Para probar los permisos personalizados que se aplican a un rol o un usuario, inicie sesión en la cuenta del usuario. Cuando un usuario inicia sesión QuickSight, se le concede el rol de mayor privilegio al que tiene acceso. El rol de mayor privilegio que se le puede conceder a un usuario es el de administrador. El rol con los privilegios más bajos que se le puede conceder a un usuario es el de lector. Para obtener más información sobre las funciones en Amazon QuickSight, consulteAdministrar el acceso de los usuarios dentro de Amazon QuickSight.

Si asigna un perfil de permisos personalizados que restringe el uso compartido de orígenes de datos al rol de autor, dicho autor ya no podrá acceder a los controles que permiten compartir orígenes de datos. En su lugar, el autor afectado solo tendrá permisos de visualización para el origen de datos.