Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En esta sección se proporcionan ejemplos de políticas de IAM que puedes usar con Amazon QuickSight.
Políticas de IAM basadas en la identidad para Amazon QuickSight
En esta sección se muestran ejemplos de políticas basadas en la identidad que se pueden usar con Amazon. QuickSight
Temas
Políticas de IAM basadas en la identidad para la administración de la consola de IAM QuickSight
Políticas de IAM basadas en la identidad para Amazon: paneles QuickSight
Políticas de IAM basadas en la identidad para Amazon: espacios de nombres QuickSight
Políticas de IAM basadas en la identidad para Amazon QuickSight: permisos personalizados
Políticas de IAM basadas en la identidad para Amazon QuickSight: creación de usuarios
Políticas de IAM basadas en la identidad para Amazon QuickSight: creación y gestión de grupos
Políticas de IAM basadas en la identidad para Amazon QuickSight: grupos de Active Directory
AWS recursos Amazon QuickSight: políticas de alcance en la edición Enterprise
Políticas de IAM basadas en la identidad para la administración de la consola de IAM QuickSight
El siguiente ejemplo muestra los permisos de IAM necesarios para QuickSight las acciones de administración de la consola de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}Políticas de IAM basadas en la identidad para Amazon: paneles QuickSight
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}Políticas de IAM basadas en la identidad para Amazon: espacios de nombres QuickSight
Los siguientes ejemplos muestran las políticas de IAM que permiten a un QuickSight administrador crear o eliminar espacios de nombres.
Creación de espacios de nombres
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}Eliminación de espacios de nombres
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: permisos personalizados
El siguiente ejemplo muestra una política de IAM que permite a un QuickSight administrador o a un desarrollador gestionar los permisos personalizados.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: personalización de plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico QuickSight, así como obtener los atributos de verificación de una identidad de Amazon Simple Email Service. Esta política permite al QuickSight administrador crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight: DescribeAccountCustomization",
"quicksight: CreateAccountCustomization",
"quicksight: UpdateAccountCustomization",
"quicksight: DescribeEmailCustomizationTemplate",
"quicksight: CreateEmailCustomizationTemplate",
"quicksight: UpdateEmailCustomizationTemplate",
"ses: GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: cree una cuenta empresarial con usuarios gestionados QuickSight
El siguiente ejemplo muestra una política que permite a QuickSight los administradores crear una QuickSight cuenta de la edición Enterprise con usuarios QuickSight gestionados.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente QuickSight usuarios de Amazon. En quicksight:CreateReader, quicksight:CreateUser y quicksight:CreateAdmin, puede limitar los permisos a "Resource":
"arn:aws:quicksight::. Para el resto de los permisos que se describen en esta guía, utilice <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". El recurso que especifique limita el alcance de los permisos para el recurso especificado.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: creación y gestión de grupos
El siguiente ejemplo muestra una política que permite a QuickSight los administradores y desarrolladores crear y gestionar grupos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: acceso total para la edición estándar
El siguiente ejemplo de la edición Amazon QuickSight Standard muestra una política que permite suscribirse y crear autores y lectores. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones profesionales)
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite a un QuickSight usuario suscribirse QuickSight, crear usuarios y gestionar Active Directory en una QuickSight cuenta integrada con el Centro de identidades de IAM.
Esta política también permite a los usuarios suscribirse a los roles QuickSight Pro que otorgan acceso a Amazon Q en las capacidades de BI QuickSight generativa. Para obtener más información sobre los puestos profesionales en Amazon QuickSight, consulteIntroducción a la BI generativa.
En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"sso:ListApplications",
"sso:GetSharedSsoConfiguration",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAccessScope",
"sso:GetSSOStatus",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DisableAWSServiceAccess",
"organizations:EnableAWSServiceAccess",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"user-subscriptions:ListClaims",
"user-subscriptions:ListUserSubscriptions",
"user-subscriptions:DeleteClaim",
"sso-directory:DescribeUsers",
"sso-directory:DescribeGroups",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeGroup",
"sso-directory:DescribeUser",
"sso-directory:DescribeDirectory",
"signin:ListTrustedIdentityPropagationApplicationsForConsole",
"signin:CreateTrustedIdentityPropagationApplicationForConsole",
"q:CreateAssignment",
"q:DeleteAssignment"
],
"Resource": [
"*"
]
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta integrada con IAM Identity Center.
Esta política no concede permisos para crear roles profesionales en. QuickSight Para crear una política que conceda permiso para suscribirse a los roles profesionales en QuickSight, consultePolíticas de IAM basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones profesionales).
En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta que usa Active Directory para la administración de identidades. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de grupos de Active Directory para una cuenta de Amazon QuickSight Enterprise Edition.
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}Políticas de IAM basadas en la identidad para Amazon QuickSight: uso de la consola de administración de activos
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}Políticas de IAM basadas en la identidad para Amazon QuickSight: uso de la consola de administración de claves
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}Se requieren "kms:ListAliases" los permisos "quicksight:ListKMSKeysForUser" y permisos para acceder a las claves administradas por el cliente desde la consola. QuickSight "quicksight:ListKMSKeysForUser"y no "kms:ListAliases" son necesarios para usar la administración de QuickSight claves APIs.
Para especificar a qué claves desea que un usuario pueda acceder, añada a ARNs la UpdateKeyRegistration condición las claves a las que desea que el usuario acceda con la clave de quicksight:KmsKeyArns condición. Los usuarios solo pueden acceder a las claves especificadas en UpdateKeyRegistration. Para obtener más información sobre las claves de estado compatibles QuickSight, consulta Claves de condición de Amazon QuickSight.
En el siguiente ejemplo, se conceden Describe permisos a todos los CMKs que estén registrados en una QuickSight cuenta y Update permisos a personas específicas CMKs que estén registradas en la QuickSight cuenta.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}AWS recursos Amazon QuickSight: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}