Transmission de rôles IAM à Quick - Amazon Quick
Conditions préalablesRattachement de politiques supplémentairesUtilisation de rôles IAM existants dans Quick

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Transmission de rôles IAM à Quick

 S’applique à : édition Enterprise 

Lorsque vos utilisateurs IAM s'inscrivent à Quick, ils peuvent choisir d'utiliser le rôle géré par Amazon Quick (il s'agit du rôle par défaut). Ils peuvent également transmettre un rôle IAM existant à Amazon Quick.

Utilisez les sections ci-dessous pour transmettre les rôles IAM existants à Amazon Quick

Conditions préalables

Pour que vos utilisateurs puissent transmettre des rôles IAM à Amazon Quick, votre administrateur doit effectuer les tâches suivantes :

  • Créez un rôle IAM. Pour plus d’informations sur la création de rôles IAM, consultez la rubrique Création de rôles IAM dans le Guide de l’utilisateur IAM.

  • Associez une politique de confiance à votre rôle IAM qui permet à Amazon Quick d'assumer ce rôle. Utilisez l’exemple suivant pour créer une politique d’approbation pour le rôle. L'exemple de politique de confiance suivant permet au Quick principal d'assumer le rôle IAM auquel il est attaché.

    Pour plus d’informations sur la création de politiques d’approbation IAM et leur rattachement à des rôles, consultez la rubrique Modification d’un rôle (console) dans le Guide de l’utilisateur IAM.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Attribuez les autorisations IAM suivantes à votre administrateur (utilisateurs ou rôles IAM) :

    • quicksight:UpdateResourcePermissions— Cela donne aux utilisateurs IAM qui sont administrateurs Amazon Quick l'autorisation de mettre à jour les autorisations au niveau des ressources dans Amazon Quick. Pour plus d'informations sur les types de ressources définis par Amazon Quick, consultez la section Actions, ressources et clés de condition pour Quick dans le guide de l'utilisateur IAM.

    • iam:PassRole— Cela autorise les utilisateurs à transmettre des rôles à Amazon Quick. Pour plus d'informations, consultez la section Octroi à un utilisateur des autorisations lui permettant de transmettre un rôle à un AWS service dans le Guide de l'utilisateur IAM.

    • iam:ListRoles— (Facultatif) Cela autorise les utilisateurs à consulter la liste des rôles existants dans Amazon Quick. Si cette autorisation n’est pas donnée, ils peuvent utiliser un ARN pour utiliser les rôles IAM existants.

    Voici un exemple de politique d'autorisations IAM qui permet de gérer les autorisations au niveau des ressources, de répertorier les rôles IAM et de transmettre des rôles IAM dans Quick.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Pour plus d'exemples de politiques IAM que vous pouvez utiliser avec Amazon Quick, consultez les exemples de politiques IAM pour Amazon Quick.

Pour plus d’informations sur l’attribution de politiques d’autorisation aux utilisateurs ou aux groupes d’utilisateurs, consultez la rubrique Modification des autorisations d’un utilisateur IAM dans le Guide de l’utilisateur IAM.

Rattachement de politiques supplémentaires

Si vous utilisez un autre AWS service, tel qu'Amazon Athena ou Amazon S3, vous pouvez créer une politique d'autorisation qui autorise Amazon Quick à effectuer des actions spécifiques. Vous pouvez ensuite associer la politique aux rôles IAM que vous transmettrez ultérieurement à Amazon Quick. Vous trouverez ci-dessous des exemples de la manière dont vous pouvez configurer et attacher des politiques d’autorisation supplémentaires à vos rôles IAM.

Pour un exemple de politique gérée pour Amazon Quick dans Athena, consultez la section Politique AWSQuicksight AthenaAccess gérée dans le guide de l'utilisateur d'Amazon Athena. Les utilisateurs IAM peuvent accéder à ce rôle dans Amazon Quick à l'aide de l'ARN suivant :arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess.

Voici un exemple de politique d'autorisation pour Amazon Quick dans Amazon S3. Pour plus d’informations sur l’utilisation d’IAM avec Amazon S3, consultez la rubrique Gestion des identités et des accès dans Amazon S3 dans le Guide de l’utilisateur d’Amazon S3.

Pour plus d'informations sur la façon de créer un accès entre comptes depuis Amazon Quick vers un compartiment Amazon S3 d'un autre compte, consultez Comment configurer l'accès entre comptes depuis Quick vers un compartiment Amazon S3 d'un autre compte ? dans le AWS Knowledge Center.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Utilisation de rôles IAM existants dans Quick

Si vous êtes administrateur Amazon Quick et que vous êtes autorisé à mettre à jour les ressources Amazon Quick et à transmettre des rôles IAM, vous pouvez utiliser les rôles IAM existants dans Amazon Quick. Pour en savoir plus sur les conditions requises pour transmettre des rôles IAM dans Amazon Quick, consultez les conditions requises décrites dans la liste précédente.

Suivez la procédure suivante pour savoir comment transmettre des rôles IAM dans Amazon Quick.

Pour utiliser un rôle IAM existant dans Amazon Quick

  1. Dans Amazon Quick, choisissez le nom de votre compte dans la barre de navigation en haut à droite, puis sélectionnez Gérer QuickSight.

  2. Sur la page Manage Amazon Quick qui s'ouvre, choisissez Security & Permissions dans le menu de gauche.

  3. Sur la page Sécurité et autorisations qui s'ouvre, sous Amazon Quick access to AWS services, sélectionnez Manage.

  4. Pour le rôle IAM, choisissez Utiliser un rôle existant, puis effectuez l’une des opérations suivantes :

    • Choisissez le rôle que vous voulez utiliser dans la liste.

    • Ou, si vous ne voyez pas de liste des rôles IAM existants, vous avez la possibilité de saisir l’ARN IAM du rôle au format suivant : arn:aws:iam::account-id:role/path/role-name.

  5. Choisissez Enregistrer.