Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques IAM pour Quick
Cette section fournit des exemples de politiques IAM que vous pouvez utiliser avec Quick.
Politiques basées sur l'identité IAM pour Quick
Cette section présente des exemples de politiques basées sur l'identité à utiliser avec Quick.
Politiques basées sur l'identité IAM pour l'administration de la console Amazon Quick IAM
L'exemple suivant montre les autorisations IAM nécessaires pour les actions d'administration de la console Amazon Quick IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick : tableaux de bord
L’exemple suivant présente une politique IAM qui permet le partage et l’intégration de tableaux de bord spécifiques.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Politiques basées sur l'identité IAM pour les espaces de noms Quick :
Les exemples suivants présentent les politiques IAM qui permettent à un administrateur Amazon Quick de créer ou de supprimer des espaces de noms.
Création d’espaces de noms
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Suppression d’espaces de noms
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : autorisations personnalisées
L'exemple suivant montre une politique IAM qui permet à un administrateur ou à un développeur Amazon Quick de gérer des autorisations personnalisées.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L’exemple suivant présente une autre façon d’accorder les mêmes autorisations que dans l’exemple précédent.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : personnalisation des modèles de rapports par e-mail
L'exemple suivant montre une politique qui permet de consulter, de mettre à jour et de créer des modèles de rapports par e-mail dans Amazon Quick, ainsi que d'obtenir des attributs de vérification pour une identité Amazon Simple Email Service. Cette politique permet à un administrateur Amazon Quick de créer et de mettre à jour des modèles de rapports par e-mail personnalisés, et de confirmer que toute adresse e-mail personnalisée à partir de laquelle il souhaite envoyer des rapports par e-mail est une identité vérifiée dans SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : créer un compte d'entreprise avec des utilisateurs gérés par Amazon Quick
L'exemple suivant montre une politique qui permet aux administrateurs Amazon Quick de créer un compte Amazon Quick édition Enterprise avec des utilisateurs gérés par Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick : création d'utilisateurs
L'exemple suivant montre une politique qui autorise uniquement la création d'utilisateurs Amazon Quick. Pour quicksight:CreateReader, quicksight:CreateUser et quicksight:CreateAdmin, vous pouvez limiter les autorisations à "Resource":
"arn:aws:quicksight::. Pour toutes les autres autorisations décrites dans ce guide, utilisez <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La ressource que vous spécifiez limite la portée des autorisations pour la ressource spécifiée.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Politiques basées sur l'identité IAM pour Quick : création et gestion de groupes
L'exemple suivant montre une politique qui permet aux administrateurs et aux développeurs Amazon Quick de créer et de gérer des groupes.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : All Access pour l'édition Standard
L'exemple suivant pour l'édition Amazon Quick Standard montre une politique qui permet de s'abonner et de créer des auteurs et des lecteurs. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise edition avec IAM Identity Center (rôles Pro)
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet à un utilisateur d'Amazon Quick de s'abonner à Amazon Quick, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique permet également aux utilisateurs de s'abonner à des rôles Amazon Quick Pro qui accordent l'accès à Amazon Q dans le cadre des fonctionnalités de BI de Quick Generative. Pour plus d'informations sur les rôles Pro dans Amazon Quick, consultez Commencer avec Generative BI.
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour l'édition Quick : All Access for Enterprise avec IAM Identity Center
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique n'autorise pas la création de rôles Pro dans Amazon Quick. Pour créer une politique autorisant l'abonnement à des rôles Pro dans Amazon Quick, consultez les politiques basées sur l'identité IAM pour Amazon Quick : All access for Enterprise edition with IAM Identity Center (rôles Pro).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise Edition avec Active Directory
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick qui utilise Active Directory pour la gestion des identités. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour les groupes Quick : Active Directory
L'exemple suivant montre une politique IAM qui permet la gestion de groupes Active Directory pour un compte Amazon Quick Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des actifs d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des actifs d’administration.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des clés d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des clés d’administration.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Les "kms:ListAliases" autorisations "quicksight:ListKMSKeysForUser" et sont requises pour accéder aux clés gérées par le client depuis la console Amazon Quick. "quicksight:ListKMSKeysForUser"et ne "kms:ListAliases" sont pas tenus d'utiliser le système de gestion des clés Amazon Quick APIs.
Pour spécifier les clés auxquelles vous souhaitez qu'un utilisateur puisse accéder, ajoutez les ARNs clés auxquelles vous souhaitez que l'utilisateur accède à la UpdateKeyRegistration condition à l'aide de la clé de quicksight:KmsKeyArns condition. Les utilisateurs ne peuvent accéder qu’aux clés spécifiées dans UpdateKeyRegistration. Pour plus d'informations sur les clés de condition prises en charge pour Amazon Quick, consultez la section Clés de condition pour Amazon Quick.
L'exemple ci-dessous accorde des Describe autorisations à toutes CMKs les personnes enregistrées sur un compte Amazon Quick et des Update autorisations à des personnes spécifiques CMKs enregistrées sur le compte Amazon Quick.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS ressources Quick : politiques de cadrage dans l'édition Enterprise
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de définir l'accès par défaut aux AWS ressources et de définir les politiques relatives aux autorisations d'accès aux AWS ressources.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
