Acciones, recursos y claves de condición para Amazon QuickSight - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon QuickSight

Amazon QuickSight (prefijo de servicio: quicksight) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon QuickSight

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AccountConfigurations [solo permiso] Concede permiso para habilitar la configuración de acceso predeterminada a los recursos de AWS Escritura
CancelIngestion Concede permiso para cancelar una incorporación de datos de SPICE en un conjunto de datos Write

ingestion*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAccountCustomization Concede permiso para crear una personalización de cuenta para una cuenta o un espacio de nombres de QuickSight Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAccountSubscription Otorga permiso para suscribirse a un QuickSight. Escritura
CreateAdmin [solo permiso] Concede permiso para aprovisionar administradores, autores y lectores de Amazon QuickSight Write

user*

CreateAnalysis Concede permiso para crear un análisis a partir de una plantilla Write

analysis*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCustomPermissions [solo permiso] Concede permiso para crear un recurso de permisos personalizado para restringir el acceso de los usuarios Permissions management

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDashboard Concede permiso para crear un panel de QuickSight Write

dashboard*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataSet Concede permiso para crear un conjunto de datos Write

datasource*

quicksight:PassDataSource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataSource Concede permiso para crear un origen de datos Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateEmailCustomizationTemplate [solo permiso] Concede permiso para crear una nueva plantilla de email de QuickSight personalizada. Escritura

emailCustomizationTemplate*

CreateFolder Concede permiso para crear una carpeta de QuickSight Escritura

folder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFolderMembership Concede permiso para agregar un panel de control QuickSight, un análisis o un conjunto de datos a una carpeta de QuickSight Escritura

folder*

analysis

dashboard

dataset

CreateGroup Concede permiso para crear un grupo de QuickSight Write

group*

CreateGroupMembership Concede permiso para agregar un usuario de QuickSight a un grupo de QuickSight Write

group*

quicksight:UserName

aws:TagKeys

aws:RequestTag/${TagKey}

CreateIAMPolicyAssignment Concede permiso para crear una asignación con un ARN de política de IAM especificado que se asignará a los grupos o los usuarios especificados de QuickSight Write

assignment*

CreateIngestion Concede permiso para iniciar una incorporación de datos de SPICE en un conjunto de datos Write

ingestion*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateNamespace Concede permiso para crear un espacio de nombres de QuickSight Write

namespace*

ds:CreateIdentityPoolDirectory

CreateReader [solo permiso] Concede permiso para aprovisionar los lectores de Amazon QuickSight Write

user*

CreateTemplate Concede permiso para crear una plantilla Write

template*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTemplateAlias Concede permiso para crear un alias de plantilla Escritura

template*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTheme Concede permiso para crear un tema. Escritura

theme*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateThemeAlias Concede permiso para crear un alias para una versión de tema Write

theme*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUser [solo permiso] Concede permiso para aprovisionar autores y lectores de Amazon QuickSight Write

user*

CreateVPCConnection [solo permiso] Concede permiso para crear una conexión de VPC Write
DeleteAccountCustomization Concede permiso para eliminar una personalización de cuenta para una cuenta o un espacio de nombres de QuickSight Escritura

customization*

DeleteAnalysis Concede permiso para eliminar un análisis. Escritura

analysis*

DeleteCustomPermissions [solo permiso] Concede permiso para eliminar un recurso de permisos personalizado Permissions management
DeleteDashboard Concede permiso para eliminar un de panel de QuickSight Write

dashboard*

DeleteDataSet Concede permiso para eliminar un conjunto de datos Write

dataset*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteDataSource Concede permiso para eliminar un origen de datos Escritura

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteEmailCustomizationTemplate [solo permiso] Concede permiso para eliminar una plantilla de personalización de correo electrónico de QuickSight. Escritura

emailCustomizationTemplate*

DeleteFolder Concede permiso para eliminar una carpeta de QuickSight Escritura

folder*

DeleteFolderMembership Concede permiso para quitar un panel, análisis o conjunto de datos de QuickSight de una carpeta de QuickSight Escritura

folder*

analysis

dashboard

dataset

DeleteGroup Concede permiso para eliminar un grupo de usuarios de QuickSight Write

group*

DeleteGroupMembership Concede permiso para eliminar un usuario de un grupo para que ya no sea miembro del grupo Write

group*

quicksight:UserName

DeleteIAMPolicyAssignment Concede permiso para actualizar una asignación existente Write

assignment*

DeleteNamespace Concede permiso para eliminar un espacio de nombres de QuickSight Write

namespace*

ds:DeleteDirectory

DeleteTemplate Concede permiso para eliminar una plantilla Write

template*

DeleteTemplateAlias Concede permiso para eliminar un alias de plantilla Write

template*

DeleteTheme Concede permiso para eliminar un tema Write

theme*

DeleteThemeAlias Concede permiso para eliminar el alias de un tema Write

theme*

DeleteUser Concede permiso para eliminar a un usuario de QuickSight dando el nombre de usuario Write

user*

DeleteUserByPrincipalId Concede permiso para eliminar a un usuario identificado por su ID principal Write

user*

DeleteVPCConnection [solo permiso] Concede permiso para eliminar una conexión de VPC Write
DescribeAccountCustomization Concede permiso para describir una personalización de cuenta para una cuenta o un espacio de nombres de QuickSight Read

customization*

DescribeAccountSettings Concede permiso para describir la configuración de la cuenta administrativa en una cuenta de QuickSight Lectura
DescribeAccountSubscription Otorga permiso para describir una cuenta de QuickSight. Lectura

account*

DescribeAnalysis Concede permiso para describir un análisis Read

analysis*

DescribeAnalysisPermissions Concede permiso para describir los permisos de un análisis Read

analysis*

DescribeCustomPermissions [solo permiso] Concede permiso para describir un recurso de permisos personalizado en una cuenta de QuickSight Write
DescribeDashboard Concede permiso para describir un panel de QuickSight Read

dashboard*

DescribeDashboardPermissions Concede permiso para describir los permisos de un panel de QuickSight Read

dashboard*

DescribeDataSet Concede permiso para describir un conjunto de datos Read

dataset*

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeDataSetPermissions Concede permiso para describir la política de recursos de un conjunto de datos Permissions management

dataset*

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeDataSource Concede permiso para describir un origen de datos Read

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeDataSourcePermissions Concede permiso para describir la política de recursos de un origen de datos Permissions management

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeEmailCustomizationTemplate [solo permiso] Concede permiso para describir una plantilla de personalización de correo electrónico de QuickSight. Lectura

emailCustomizationTemplate*

DescribeFolder Concede permiso para describir una carpeta de QuickSight Lectura

folder*

DescribeFolderPermissions Concede permiso para describir los permisos de una carpeta de QuickSight Lectura

folder*

DescribeFolderResolvedPermissions Concede permiso para describir los permisos solucionados de una carpeta de QuickSight Lectura

folder*

DescribeGroup Concede permiso para describir un grupo de QuickSight Lectura

group*

DescribeGroupMembership Concede permiso para describir un miembro del grupo de QuickSight Lectura

group*

quicksight:UserName

DescribeIAMPolicyAssignment Concede permiso para describir una asignación existente Read

assignment*

DescribeIngestion Concede permiso para describir una incorporación de datos de SPICE a un conjunto de datos Lectura

ingestion*

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeIpRestriction Concede permiso para describir las restricciones IP de una cuenta de QuickSight Lectura
DescribeNamespace Concede permiso para describir un espacio de nombres de QuickSight Read

namespace*

DescribeTemplate Concede permiso para describir una plantilla Read

template*

DescribeTemplateAlias Concede permiso para describir un alias de plantilla Read

template*

DescribeTemplatePermissions Concede permiso para describir los permisos de una plantilla Read

template*

DescribeTheme Concede permiso para describir un tema Read

theme*

DescribeThemeAlias Concede permiso para describir un alias de tema Read

theme*

DescribeThemePermissions Concede permiso para describir los permisos de un tema Read

theme*

DescribeUser Concede permiso para describir a un usuario de QuickSight dando el nombre del usuario Read

user*

GenerateEmbedUrlForAnonymousUser Concede permiso para generar una URL que se usa para incrustar un panel de QuickSight para un usuario no registrado en QuickSight Write

dashboard*

namespace*

aws:TagKeys

aws:RequestTag/${TagKey}

GenerateEmbedUrlForRegisteredUser Concede permiso para generar una URL que se usa para incrustar un panel de QuickSight para un usuario registrado en QuickSight Write

user*

GetAnonymousUserEmbedUrl [solo permiso] Concede permiso para obtener una URL utilizada para incrustar un panel de QuickSight para un usuario no registrado en QuickSight Read
GetAuthCode [solo permiso] Concede permiso para obtener un código de autorización que represente a un usuario de QuickSight Read

user*

GetDashboardEmbedUrl Concede permiso para obtener una dirección URL utilizada para incorporar un panel de QuickSight Read

dashboard*

GetGroupMapping [solo permiso] Concede permiso para utilizar Amazon QuickSight, en su edición Enterprise, para identificar y mostrar los grupos de directorios de Microsoft Active Directory que están asignados a roles de Amazon QuickSight Read
GetSessionEmbedUrl Concede permiso para obtener una dirección URL para incorporar la experiencia de la consola de QuickSight Read
ListAnalyses Concede permiso para enumerar todos los análisis de una cuenta List

analysis*

ListCustomPermissions [solo permiso] Concede permiso para mostrar los recursos de permisos personalizados en una cuenta de QuickSight Write
ListDashboardVersions Concede permiso para enumerar todas las versiones de un panel de QuickSight List

dashboard*

ListDashboards Concede permiso para enumerar todos los paneles de una cuenta de QuickSight List

dashboard*

ListDataSets Concede permiso para enumerar todos los conjuntos de datos List

aws:RequestTag/${TagKey}

aws:TagKeys

ListDataSources Concede permiso para enumerar todos los orígenes de datos List

aws:RequestTag/${TagKey}

aws:TagKeys

ListFolderMembers Concede permiso para enumerar todos los miembros de una carpeta Lectura

folder*

ListFolders Concede permiso para enumerar todas las carpetas de una cuenta de QuickSight List

folder*

ListGroupMemberships Concede permiso para enumerar a los usuarios miembros de un grupo List

group*

ListGroups Concede permiso para enumerar todos los grupos de usuarios de QuickSight List

group*

ListIAMPolicyAssignments Concede permiso para enumerar todas las asignaciones de la cuenta actual de Amazon QuickSight List

assignment*

ListIAMPolicyAssignmentsForUser Concede permiso para enumerar todas las asignaciones realizadas a un usuario y a los grupos a los que pertenece List

assignment*

ListIngestions Concede permiso para enumerar todas las incorporaciones de datos de SPICE a un conjunto de datos List

aws:RequestTag/${TagKey}

aws:TagKeys

ListNamespaces Concede permiso para mostrar todos los espacios de nombres de una cuenta de QuickSight List
ListTagsForResource Concede permiso para enumerar las etiquetas de un recurso de QuickSight Read

customization

dashboard

folder

template

theme

ListTemplateAliases Concede permiso para enumerar todos los alias de una plantilla List

template*

ListTemplateVersions Concede permiso para enumerar todas las versiones de una plantilla List

template*

ListTemplates Concede permiso para enumerar todas las plantillas de una cuenta de QuickSight List

template*

ListThemeAliases Concede permiso para enumerar todos los alias de un tema List

theme*

ListThemeVersions Concede permiso para enumerar todas las versiones de un tema List

theme*

ListThemes Concede permiso para enumerar todos los temas de una cuenta List

theme*

ListUserGroups Concede permiso para enumerar los grupos de los cuales un usuario determinado es miembro List

user*

ListUsers Concede permiso para enumerar a todos los usuarios de QuickSight que pertenecen a esta cuenta List

user*

PassDataSet [solo permiso] Concede permiso para usar un conjunto de datos para una plantilla Read

dataset*

aws:RequestTag/${TagKey}

aws:TagKeys

PassDataSource [solo permiso] Concede permiso para utilizar un origen de datos para un conjunto de datos Read

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterUser Concede permiso para crear un usuario de QuickSight cuya identidad esté asociada a la identidad o al rol de IAM que se especifique en la solicitud Write

user*

quicksight:IamArn

quicksight:SessionName

RestoreAnalysis Concede permiso para restaurar un análisis eliminado Escritura

analysis*

ScopeDownPolicy [solo permiso] Concede permiso para administrar las políticas de evaluación de permisos para los recursos de AWS Escritura
SearchAnalyses Concede permiso para buscar un subconjunto de análisis List

analysis*

SearchDashboards Concede permiso para buscar un subconjunto de paneles de QuickSight List

dashboard*

SearchDirectoryGroups [solo permiso] Concede permiso para utilizar Amazon QuickSight, en su edición Enterprise, para mostrar los grupos de directorios de Microsoft Active Directory para que pueda elegir cuáles asignar a roles de Amazon QuickSight List
SearchFolders Concede permiso para buscar un subconjunto de carpetas de QuickSight Lectura

folder*

SearchGroups Concede permiso para buscar un subconjunto de grupos de QuickSight List

group*

SetGroupMapping [solo permiso] Concede permiso para utilizar Amazon QuickSight, en su edición Enterprise, para mostrar los grupos de directorios de Microsoft Active Directory para que pueda elegir cuáles asignar a roles de Amazon QuickSight Write
Subscribe [solo permiso] Concede permiso para suscribirse a Amazon QuickSight y, también, para que el usuario pueda actualizar la suscripción a la edición Enterprise Write

quicksight:Edition

quicksight:DirectoryType

TagResource Concede permiso para agregar etiquetas a un recurso de QuickSight Etiquetado

analysis

customization

dashboard

dataset

datasource

folder

ingestion

template

theme

aws:TagKeys

aws:RequestTag/${TagKey}

Unsubscribe [solo permiso] Concede permiso para cancelar la suscripción a Amazon QuickSight, lo que elimina de forma permanente a todos los usuarios y sus recursos de Amazon QuickSight Write
UntagResource Concede permiso para eliminar las etiquetas de un recurso de QuickSight Etiquetado

analysis

customization

dashboard

dataset

datasource

folder

ingestion

template

theme

aws:TagKeys

UpdateAccountCustomization Concede permiso para actualizar una personalización de cuenta para una cuenta o un espacio de nombres de QuickSight Write

customization*

UpdateAccountSettings Concede permiso para actualizar la configuración de la cuenta administrativa en una cuenta de QuickSight Write
UpdateAnalysis Concede permiso para actualizar un análisis Write

analysis*

UpdateAnalysisPermissions Concede permiso para actualizar los permisos de un análisis Permissions management

analysis*

UpdateCustomPermissions [solo permiso] Concede permiso para actualizar un recurso de permisos personalizado Permissions management
UpdateDashboard Concede permiso para actualizar un panel de QuickSight Write

dashboard*

UpdateDashboardPermissions Concede permiso para actualizar los permisos de un panel de QuickSight Permissions management

dashboard*

UpdateDashboardPublishedVersion Concede permiso para actualizar la versión publicada de un panel de QuickSight Write

dashboard*

UpdateDataSet Concede permiso para actualizar un conjunto de datos Write

dataset*

quicksight:PassDataSource

datasource

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateDataSetPermissions Concede permiso para actualizar la política de recursos de un conjunto de datos Permissions management

dataset*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateDataSource Concede permiso para actualizar un origen de datos Write

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateDataSourcePermissions Concede permiso para actualizar la política de recursos de un origen de datos Permissions management

datasource*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateEmailCustomizationTemplate [solo permiso] Concede permiso para actualizar una plantilla de personalización de correo electrónico de QuickSight. Escritura

emailCustomizationTemplate*

UpdateFolder Concede permiso para actualizar una carpeta de QuickSight Escritura

folder*

UpdateFolderPermissions Concede permiso para actualizar los permisos de una carpeta de QuickSight Permissions management

folder*

UpdateGroup Concede permiso para cambiar la descripción del grupo Write

group*

UpdateIAMPolicyAssignment Concede permiso para actualizar una asignación existente Escritura

assignment*

UpdateIpRestriction Concede permiso para actualizar las restricciones IP de una cuenta de QuickSight Escritura
UpdatePublicSharingSettings Concede permiso para habilitar o deshabilitar el uso compartido público en una cuenta Escritura
UpdateTemplate Concede permiso para actualizar una plantilla Write

template*

UpdateTemplateAlias Concede permiso para actualizar el alias de una plantilla Write

template*

UpdateTemplatePermissions Concede permiso para actualizar los permisos de una plantilla Permissions management

template*

UpdateTheme Concede permiso para actualizar un tema Write

theme*

UpdateThemeAlias Concede permiso para actualizar el alias de un tema Write

theme*

UpdateThemePermissions Concede permiso para actualizar los permisos de un tema Permissions management

theme*

UpdateUser Concede permiso para actualizar un usuario de Amazon QuickSight Write

user*

Tipos de recurso definidos por Amazon QuickSight

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
account arn:${Partition}:quicksight:${Region}:${Account}:account/${ResourceId}
user arn:${Partition}:quicksight:${Region}:${Account}:user/${ResourceId}
group arn:${Partition}:quicksight:${Region}:${Account}:group/${ResourceId}
analysis arn:${Partition}:quicksight:${Region}:${Account}:analysis/${ResourceId}

aws:ResourceTag/${TagKey}

dashboard arn:${Partition}:quicksight:${Region}:${Account}:dashboard/${ResourceId}

aws:ResourceTag/${TagKey}

template arn:${Partition}:quicksight:${Region}:${Account}:template/${ResourceId}

aws:ResourceTag/${TagKey}

datasource arn:${Partition}:quicksight:${Region}:${Account}:datasource/${ResourceId}

aws:ResourceTag/${TagKey}

dataset arn:${Partition}:quicksight:${Region}:${Account}:dataset/${ResourceId}

aws:ResourceTag/${TagKey}

ingestion arn:${Partition}:quicksight:${Region}:${Account}:dataset/${DatasetId}/ingestion/${ResourceId}

aws:ResourceTag/${TagKey}

theme arn:${Partition}:quicksight:${Region}:${Account}:theme/${ResourceId}

aws:ResourceTag/${TagKey}

assignment arn:${Partition}:quicksight::${Account}:assignment/${ResourceId}
customization arn:${Partition}:quicksight:${Region}:${Account}:customization/${ResourceId}

aws:ResourceTag/${TagKey}

namespace arn:${Partition}:quicksight:${Region}:${Account}:namespace/${ResourceId}
folder arn:${Partition}:quicksight:${Region}:${Account}:folder/${ResourceId}

aws:ResourceTag/${TagKey}

emailCustomizationTemplate arn:${Partition}:quicksight:${Region}:${Account}:email-customization-template/${ResourceId}

Claves de condición de Amazon QuickSight

Amazon QuickSight define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiqueta ArrayOfString
quicksight:AllowedEmbeddingDomains Filtra el acceso según los dominios de integración permitidos. ArrayOfString
quicksight:DirectoryType Filtra el acceso mediante las opciones de administración de usuarios. Cadena
quicksight:Edition Filtra el acceso mediante la edición de QuickSight. Cadena
quicksight:IamArn Filtra el acceso por el ARN del usuario o del rol de IAM Cadena
quicksight:SessionName Filtra el acceso por el nombre de la sesión Cadena
quicksight:UserName Filtra el acceso por el nombre de usuario Cadena