Étape 1 : Configurer les autorisations - Amazon QuickSight

Étape 1 : Configurer les autorisations

Dans la section suivante, vous découvrirez comment configurer des autorisations pour l'application backend ou le serveur web. Cette tâche requiert un accès d'administration à IAM.

Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui permet d'accéder à Amazon QuickSight et au tableau de bord. Pour que cela soit possible, créez un rôle IAM dans votre compte AWS. Associez une stratégie IAM au rôle afin de fournir des autorisations à n'importe quel utilisateur qui assume ce rôle. Le rôle IAM doit fournir des autorisations pour récupérer le tableau de bord URLs. Pour cela, vous ajoutez quicksight:GetDashboardEmbedUrl.

L'exemple de stratégie suivant fournit ces autorisations à utiliser avec IdentityType=IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetDashboardEmbedUrl" ], "Resource": "*" } ] }

L'exemple de stratégie suivant fournit l'autorisation de récupérer une URL de tableau de bord. Vous utilisez la stratégie avec quicksight:RegisterUser si vous créez des nouveaux utilisateurs qui seront des QuickSight lecteurs.

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "*", "Effect": "Allow" } ] }

Si vous utilisez QUICKSIGHT comme identityType votre et que vous fournissez l'Amazon Resource Name (ARN) de l'utilisateur, vous devez également autoriser quicksight:GetAuthCode l'action dans votre stratégie. L'exemple de stratégie suivant fournit cette autorisation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetDashboardEmbedUrl", "quicksight:GetAuthCode" ], "Resource": "*" } ] }

L'identité IAM de votre application doit être associée à une stratégie d'approbation pour autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, votre application peut assumer le rôle pour le compte de l'utilisateur et mettre en service l'utilisateur dans QuickSight. L'exemple suivant montre un rôle appelé embedding_quicksight_dashboard_role, qui possède l'exemple de stratégie précédent en tant que ressource.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_dashboard_role" } }

Pour plus d'informations sur les stratégies d'approbation pour OpenID Connect ou l'authentification SAML, consultez les sections suivantes du Guide de l'utilisateur IAM :