Étape 1 : Configurer des autorisations - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Configurer des autorisations

Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web. Cette tâche nécessite un accès administratif àIAM.

Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui confère l' QuickSight accès et les autorisations Amazon sur le tableau de bord. Pour que cela soit possible, créez un IAM rôle dans votre Compte AWS. Associez une IAM politique au rôle afin de fournir des autorisations à tout utilisateur qui l'assume. Le IAM rôle doit fournir des autorisations pour récupérer l'intégration URLs pour un groupe d'utilisateurs spécifique. À l'aide du caractère générique *, vous pouvez accorder l'autorisation de générer un URL pour tous les utilisateurs d'un espace de noms spécifique, ou pour un sous-ensemble d'utilisateurs d'espaces de noms spécifiques. Pour cela, ajoutez quicksight:GenerateEmbedUrlForRegisteredUser.

Vous pouvez créer une condition dans votre IAM politique qui limite les domaines que les développeurs peuvent répertorier dans les AllowedDomains paramètres d'une GenerateEmbedUrlForRegisteredUser API opération. Le paramètre AllowedDomains est un paramètre facultatif. En tant que développeur, il vous donne la possibilité de remplacer les domaines statiques configurés dans le QuickSight menu Gérer. Au lieu de cela, vous pouvez répertorier jusqu'à trois domaines ou sous-domaines qui peuvent accéder aux données généréesURL. Il URL est ensuite intégré au site Web que vous créez. Seuls les domaines répertoriés dans le paramètre peuvent accéder à la représentation visuelle intégrée. Sans cette condition, vous pouvez répertorier n'importe quel domaine sur Internet dans le paramètre AllowedDomains.

Pour limiter les domaines que les développeurs peuvent utiliser avec ce paramètre, ajoutez une AllowedEmbeddingDomains condition à votre IAM politique. Pour plus d'informations sur le AllowedDomains paramètre, consultez GenerateEmbedUrlForRegisteredUserla QuickSight APIréférence Amazon.

L'exemple de stratégie suivant fournit ces autorisations.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName", "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }

En outre, si vous créez pour la première fois des utilisateurs qui seront des QuickSight lecteurs Amazon, assurez-vous d'ajouter l'quicksight:RegisterUserautorisation dans la politique.

L'exemple de politique suivant autorise les nouveaux utilisateurs qui URL souhaitent devenir lecteurs à récupérer une intégration. QuickSight

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": [ "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }

Enfin, l'IAMidentité de votre application doit être associée à une politique de confiance pour autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, celle-ci peut assumer le rôle en QuickSight son nom et lui fournir des informations. Voici un exemple de politique d'approbation.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Pour plus d'informations sur les politiques de confiance relatives à OpenID Connect ou à SAML l'authentification, consultez les sections suivantes du guide de l'IAMutilisateur :