Paso 1: configuración de permisos

En la siguiente sección, encontrarás información sobre cómo configurar los permisos para que tu aplicación de backend o servidor web incorpore la experiencia de preguntas y respuestas generativas. Esta tarea requiere acceso administrativo a (). AWS Identity and Access Management IAM

Cada usuario que accede a una experiencia de preguntas y respuestas generativas asume un rol que le da acceso y permisos a Amazon QuickSight . Para que esto sea posible, crea un IAM rol en tu. Cuenta de AWS Asocie una IAM política al rol para proporcionar permisos a cualquier usuario que lo asuma. El IAM rol debe proporcionar permisos para recuperar la incrustación de URLs un grupo de usuarios específico.

Con la ayuda del carácter comodín *, puedes conceder los permisos necesarios URL para generar un a todos los usuarios de un espacio de nombres específico. También puedes conceder permisos para generar una URL para un subconjunto de usuarios en espacios de nombres específicos. Para ello, añada quicksight:GenerateEmbedUrlForRegisteredUser.

Puede crear una condición en su IAM política que limite los dominios que los desarrolladores pueden incluir en el AllowedDomains parámetro de una operación. GenerateEmbedUrlForRegisteredUser API El parámetro AllowedDomains es opcional. Ofrece a los desarrolladores la opción de anular los dominios estáticos que están configurados en el QuickSight menú Administrar y, en su lugar, enumerar hasta tres dominios o subdominios que pueden acceder a uno generado. URL A continuación, URL se integra en el sitio web del desarrollador. Solo los dominios que aparecen en el parámetro pueden acceder a la experiencia de preguntas y respuestas de Generative integrada. Sin esta condición, los desarrolladores pueden incluir cualquier dominio de Internet en el parámetro AllowedDomains.

Para limitar los dominios que los desarrolladores pueden usar con este parámetro, añade una AllowedEmbeddingDomains condición a tu política. IAM Para obtener más información sobre el AllowedDomains parámetro, consulta GenerateEmbedUrlForRegisteredUserAmazon QuickSight API Reference.

La siguiente política de ejemplo ofrece estos permisos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

Además, si vas a crear usuarios primerizos que vayan a ser QuickSight lectores de Amazon, asegúrate de añadir el quicksight:RegisterUser permiso en la política.

El siguiente ejemplo de política proporciona permiso para recuperar una incrustación URL a los usuarios primerizos que vayan a ser lectores. QuickSight

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
            "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
            "arn:partition:quicksight:region:accountId:user/namespace/userName"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

Por último, la IAM identidad de su aplicación debe tener asociada una política de confianza para permitir el acceso al rol que acaba de crear. Esto significa que cuando un usuario accede a tu aplicación, esta puede asumir la función en nombre del usuario y aprovisionarlo. QuickSight

En el siguiente ejemplo, se muestra una muestra de política de confianza.

{
    "Version": "2012-10-17",
        "Statement": [
            {
    "Sid": "AllowLambdaFunctionsToAssumeThisRole",
                "Effect": "Allow",
                "Principal": {
    "Service": "lambda.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            },
            {
    "Sid": "AllowEC2InstancesToAssumeThisRole",
                "Effect": "Allow",
                "Principal": {
    "Service": "ec2.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }

Para obtener más información sobre las políticas de confianza para la autenticación de OpenID Connect o Security Assertion Markup Language (SAML), consulte las siguientes secciones de la Guía del usuario: IAM

• Creación de un rol para identidades web o de OpenID Connect Federation (consola)

• Creación de un rol para la federación SAML 2.0 (consola)