Uso de Amazon QuickSight con IAM - Amazon QuickSight
QuickSight Políticas de Amazon QuickSightPolíticas de Amazon (basadas en recursos)Autorización basada en QuickSight etiquetas de AmazonFunciones de Amazon QuickSight IAMTransferir las funciones de IAM a QuickSight

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon QuickSight con IAM

   Se aplica a: Enterprise Edition y Standard Edition 
   Público al que va dirigido: administradores de sistemas 

Antes de utilizar IAM para gestionar el acceso a Amazon QuickSight, debes entender qué funciones de IAM están disponibles para su uso con Amazon. QuickSight Para obtener una visión general de cómo Amazon QuickSight y otros AWS servicios funcionan con IAM, consulta AWS Servicios que funcionan con IAM en la Guía del usuario de IAM.

QuickSight Políticas de Amazon (basadas en la identidad)

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon QuickSight admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte Referencia de los elementos de las políticas JSON de IAM en la Guía del usuario de IAM.

Puedes usar credenciales AWS raíz o credenciales de usuario de IAM para crear una QuickSight cuenta de Amazon. AWS Las credenciales root y de administrador ya cuentan con todos los permisos necesarios para gestionar el QuickSight acceso de Amazon a AWS los recursos.

No obstante, es aconsejable que proteja sus credenciales raíz y en su lugar utilice credenciales de usuario de IAM. Para ello, puedes crear una política y adjuntarla al usuario y las funciones de IAM que piensas usar para Amazon QuickSight. La política debe incluir las declaraciones adecuadas para las tareas QuickSight administrativas de Amazon que debes realizar, tal y como se describe en las siguientes secciones.

importante

Ten en cuenta lo siguiente cuando trabajes con las políticas de Amazon QuickSight e IAM:

  • Evita modificar directamente una política creada por Amazon QuickSight. Si lo modificas tú mismo, Amazon no QuickSight puede editarlo. Esta incapacidad puede provocar un problema con la política. Para solucionar este problema, elimine la política modificada anteriormente.

  • Si recibes un error en los permisos al intentar crear una QuickSight cuenta de Amazon, consulta las acciones definidas por Amazon QuickSight en la Guía del usuario de IAM.

  • En algunos casos, es posible que tengas una QuickSight cuenta de Amazon a la que no puedas acceder ni siquiera desde la cuenta raíz (por ejemplo, si has eliminado accidentalmente su servicio de directorio). En este caso, puedes eliminar tu antigua QuickSight cuenta de Amazon y volver a crearla. Para obtener más información, consulte Eliminar tu QuickSight suscripción a Amazon y cerrar la cuenta.

Acciones

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.

Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Las acciones políticas en Amazon QuickSight utilizan el siguiente prefijo antes de la acción:quicksight:. Por ejemplo, para conceder a alguien permiso para ejecutar una instancia de Amazon EC2 con la operación RunInstances de la API de Amazon EC2, debe incluir la acción ec2:RunInstances en la política. Las instrucciones de la política deben incluir un elemento Action o un elemento NotAction. Amazon QuickSight define su propio conjunto de acciones que describen las tareas que puedes realizar con este servicio.

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Create, incluya la siguiente acción:

"Action": "quicksight:Create*"

Amazon QuickSight proporciona una serie de acciones AWS Identity and Access Management (IAM). Todas las QuickSight acciones de Amazon llevan el prefijoquicksight:, por ejemplo. quicksight:Subscribe Para obtener información sobre el uso de QuickSight las acciones de Amazon en una política de IAM, consulteEjemplos de políticas de IAM para Amazon QuickSight.

Para ver la mayoría up-to-date de QuickSight las acciones de Amazon, consulta Acciones definidas por Amazon QuickSight en la Guía del usuario de IAM.

Recursos

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.

Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.

"Resource": "*"

El siguiente es un ejemplo de política. Significa que el intermediario que tiene esta política asociada puede invocar la operación CreateGroupMembership para cualquier grupo, siempre que el nombre de usuario que se añade al grupo no sea user1. 

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Algunas QuickSight acciones de Amazon, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).

"Resource": "*"

Algunas acciones de la API de se utilizan varios recursos. Para especificar varios recursos en una única instrucción, separe los ARN con comas. 

"Resource": [
	      "resource1",
	      "resource2"

Para ver una lista de los tipos de QuickSight recursos de Amazon y sus nombres de recursos de Amazon (ARN), consulte Recursos definidos por Amazon QuickSight en la Guía del usuario de IAM. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte Acciones definidas por Amazon. QuickSight

Claves de condición

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.

Amazon QuickSight no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulta las claves de contexto de condición AWS globales en la Guía del usuario de IAM.

Ejemplos

Para ver ejemplos de políticas de Amazon QuickSight basadas en la identidad, consulta. Políticas de IAM basadas en la identidad para Amazon QuickSight

QuickSightPolíticas de Amazon (basadas en recursos)

Amazon QuickSight no admite políticas basadas en recursos. Sin embargo, puedes usar la QuickSight consola de Amazon para configurar el acceso a otros AWS recursos de tu Cuenta de AWS.

Autorización basada en QuickSight etiquetas de Amazon

Amazon no QuickSight admite el etiquetado de los recursos ni el control del acceso en función de las etiquetas.

Funciones de Amazon QuickSight IAM

Un rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Puedes usar las funciones de IAM para agrupar los permisos y facilitar la administración del acceso de los usuarios a QuickSight las acciones de Amazon.

Amazon QuickSight no admite las siguientes funciones de rol:

  • Roles vinculados a servicios.

  • Roles de servicio.

  • Credenciales temporales (uso directo): sin embargo, Amazon QuickSight utiliza credenciales temporales para permitir a los usuarios asumir una función de IAM para acceder a los paneles integrados. Para obtener más información, consulte Uso de análisis integrados.

Para obtener más información sobre cómo Amazon QuickSight utiliza las funciones de IAM, consulte Uso de Amazon QuickSight con IAM yEjemplos de políticas de IAM para Amazon QuickSight.

Transferir las funciones de IAM a Amazon QuickSight

 Se aplica a: Enterprise Edition 

Cuando tus usuarios de IAM se registran en Amazon QuickSight, pueden optar por utilizar la función QuickSight -managed (esta es la función predeterminada). O bien, pueden transferirle una función de IAM existente a. QuickSight

Requisitos previos

Para que los usuarios puedan transferir las funciones de IAM QuickSight, el administrador debe realizar las siguientes tareas:

  • Cree un rol de IAM. Para obtener más información sobre la creación de roles, consulte Creación de roles de IAM en la Guía del usuario de IAM.

  • Adjunta una política de confianza a tu función de IAM que te QuickSight permita asumirla. Use el siguiente ejemplo para crear una política de confianza para el rol. El siguiente ejemplo de política de confianza permite al QuickSight director de Amazon asumir la función de IAM a la que está asociado.

    Para obtener más información sobre cómo crear políticas de confianza de IAM y asociarlas a los roles, consulte Modificación de un rol (consola) en la Guía del usuario de IAM.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Asigne los siguientes permisos de IAM a su administrador (usuarios o roles de IAM):

    • quicksight:UpdateResourcePermissions— Esto otorga a los usuarios de IAM que son QuickSight administradores el permiso para actualizar los permisos a nivel de recurso. QuickSight Para obtener más información sobre los tipos de recursos definidos por QuickSight, consulte Acciones, recursos y claves de condición de Amazon QuickSight en la Guía del usuario de IAM.

    • iam:PassRole— Esto otorga a los usuarios permiso para transferir roles a QuickSight. Para obtener más información, consulte Concesión de permisos a un usuario para transferir un rol a un servicio de AWS en la Guía del usuario de IAM.

    • iam:ListRoles— (Opcional) Esto otorga a los usuarios permiso para ver una lista de los roles existentes en QuickSight. Si no se proporciona este permiso, pueden usar un ARN para usar los roles de IAM existentes.

    A continuación se muestra un ejemplo de política de permisos de IAM que permite gestionar los permisos a nivel de recursos, enumerar las funciones de IAM y transferir las funciones de IAM en Amazon. QuickSight

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Para ver más ejemplos de políticas de IAM con las que puede utilizarlas, consulte. QuickSight Ejemplos de políticas de IAM para Amazon QuickSight

Para obtener más información sobre cómo asignar políticas de permisos a usuarios y grupos de usuarios, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.

Una vez que el administrador complete los requisitos previos, los usuarios de IAM podrán transferirles las funciones de IAM. QuickSight Para ello, eligen un rol de IAM cuando se inscriben o switching to an IAM role en su página de QuickSight seguridad y permisos. QuickSight Para obtener información sobre cómo cambiar a un rol de IAM existente en QuickSight, consulta la siguiente sección.

Asociación de políticas adicionales

Si utiliza otro AWS servicio, como Amazon Athena o Amazon S3, puede crear una política de permisos que conceda QuickSight permiso para realizar acciones específicas. A continuación, puede adjuntar la política a las funciones de IAM a las que pase más adelante. QuickSight Los siguientes son ejemplos de cómo puede configurar y asociar políticas de permisos adicionales a sus roles de IAM.

Para ver un ejemplo de política gestionada para QuickSight Athena, consulte Política AWSQuicksightAthenaAccess gestionada en la Guía del usuario de Amazon Athena. Los usuarios de IAM pueden acceder a este rol QuickSight mediante el siguiente ARNarn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess:.

El siguiente es un ejemplo de una política de permisos para QuickSight Amazon S3. Para obtener más información sobre el uso de IAM con Amazon S3, consulte Identity and Access Management en Amazon S3 en la Guía del usuario de Amazon S3.

Para obtener información sobre cómo crear un acceso multicuenta desde QuickSight un bucket de Amazon S3 de otra cuenta, consulte ¿Cómo configuro el acceso multicuenta desde Amazon QuickSight a un bucket de Amazon S3 de otra cuenta? en el Centro de AWS conocimiento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Uso de las funciones de IAM existentes en Amazon QuickSight

Si es QuickSight administrador y tiene permisos para actualizar QuickSight recursos y transferir funciones de IAM, puede utilizar las funciones de IAM existentes en. QuickSight Para obtener más información sobre los requisitos previos para transferir funciones de IAM QuickSight, consulta la lista prerequisites anterior.

Utilice el siguiente procedimiento para obtener información sobre cómo transferir las funciones de IAM. QuickSight

Para utilizar una función de IAM existente en QuickSight

  1. En QuickSight, elige el nombre de tu cuenta en la barra de navegación de la parte superior derecha y selecciona Administrar QuickSight.

  2. En la QuickSight página Administrar que se abre, selecciona Seguridad y permisos en el menú de la izquierda.

  3. En la página de seguridad y permisos que se abre, en QuickSight Acceso a AWS los servicios, selecciona Administrar.

  4. En Rol de IAM, elija Usar un rol existente y, a continuación, realice una de las siguientes acciones:

    • Seleccione el rol que quiera utilizar de la lista.

    • O bien, si no ve una lista de los roles de IAM existentes, puede introducir el ARN de IAM para el rol en el siguiente formato: arn:aws:iam::account-id:role/path/role-name.

  5. Seleccione Guardar.