Étape 1 : Configurer des autorisations - Amazon QuickSight

Important : nous avons repensé l'espace de travail d' QuickSight analyse Amazon. Il se peut que vous rencontriez des captures d'écran ou du texte procédural qui ne reflètent pas le nouveau look de la QuickSight console. Nous mettons à jour les captures d’écran et le texte des procédures.

Pour rechercher une fonctionnalité ou un élément, utilisez la barre de recherche rapide.

Pour plus d'informations sur QuickSight le nouveau look, consultez Présentation d'une nouvelle expérience d'analyse sur Amazon QuickSight.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Configurer des autorisations

Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web. Cette tâche requiert un accès d'administration à IAM.

Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui confère l' QuickSight accès et les autorisations Amazon sur le tableau de bord. Pour que cela soit possible, créez un rôle IAM dans votre Compte AWS. Associez une politique IAM au rôle afin de fournir des autorisations à n'importe quel utilisateur qui assume ce rôle. Le rôle IAM doit fournir des autorisations pour récupérer les URL d'intégration pour un groupe d'utilisateurs spécifique. À l'aide du caractère générique *, vous pouvez accorder l'autorisation de générer une URL pour tous les utilisateurs d'un espace de noms spécifique, ou pour un sous-ensemble d'utilisateurs dans des espaces de noms spécifiques. Pour cela, ajoutez quicksight:GenerateEmbedUrlForRegisteredUser.

Vous pouvez créer une condition dans votre politique IAM qui limite les domaines que les développeurs peuvent répertorier dans le paramètre AllowedDomains d'une opération d'API GenerateEmbedUrlForRegisteredUser. Le paramètre AllowedDomains est un paramètre facultatif. En tant que développeur, il vous donne la possibilité de remplacer les domaines statiques configurés dans le QuickSight menu Gérer. Vous pouvez plutôt répertorier jusqu'à trois domaines ou sous-domaines qui peuvent accéder à l'URL générée. Cette URL est ensuite intégrée au site web que vous créez. Seuls les domaines répertoriés dans le paramètre peuvent accéder à la représentation visuelle intégrée. Sans cette condition, vous pouvez répertorier n'importe quel domaine sur Internet dans le paramètre AllowedDomains.

Pour limiter les domaines que les développeurs peuvent utiliser avec ce paramètre, ajoutez une condition AllowedEmbeddingDomains à votre politique IAM. Pour plus d'informations sur le AllowedDomains paramètre, consultez GenerateEmbedUrlForRegisteredUserle Amazon QuickSight API Reference.

L'exemple de stratégie suivant fournit ces autorisations.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

En outre, si vous créez pour la première fois des utilisateurs qui seront des QuickSight lecteurs Amazon, assurez-vous d'ajouter l'quicksight:RegisterUserautorisation dans la politique.

L'exemple de politique suivant autorise les nouveaux utilisateurs qui souhaitent devenir lecteurs à récupérer une URL d' QuickSight intégration.

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Enfin, l'identité IAM de votre application doit avoir une politique d'approbation qui lui est associée afin d'autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, celle-ci peut assumer le rôle en QuickSight son nom et lui fournir des informations. Voici un exemple de politique d'approbation. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Pour plus d'informations sur les stratégies d'approbation pour OpenId Connect ou l'authentification SAML, consultez les sections suivantes du Guide de l'utilisateur IAM :