Étape 1 : Configurer des autorisations - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Configurer des autorisations

Note

La barre de recherche QuickSight Q intégrée offre une expérience de QuickSight questions-réponses classique. QuickSight s'intègre à Amazon Q Business pour lancer une nouvelle expérience générative de questions-réponses. Il est recommandé aux développeurs d'utiliser la nouvelle expérience de questions-réponses génératives. Pour plus d'informations sur l'expérience de questions-réponses générative intégrée, consultezIntégrez Amazon Q à une expérience de QuickSight questions-réponses générative.

Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web afin d'intégrer la barre de recherche Q. Cette tâche nécessite un accès administratif à AWS Identity and Access Management (IAM).

Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui confère l' QuickSight accès et les autorisations Amazon sur le tableau de bord. Pour que cela soit possible, créez un rôle IAM dans votre Compte AWS. Associez une politique IAM au rôle afin de fournir des autorisations à n'importe quel utilisateur qui assume ce rôle. Le rôle IAM doit fournir des autorisations pour récupérer les URL d'intégration pour un groupe d'utilisateurs spécifique.

À l'aide du caractère générique *, vous pouvez accorder l'autorisation de générer une URL pour tous les utilisateurs d'un espace de noms spécifique. Vous pouvez également accorder des autorisations pour générer une URL pour un sous-ensemble d'utilisateurs dans des espaces de noms spécifiques. Pour cela, ajoutez quicksight:GenerateEmbedUrlForRegisteredUser.

Vous pouvez créer une condition dans votre politique IAM qui limite les domaines que les développeurs peuvent répertorier dans le paramètre AllowedDomains d'une opération d'API GenerateEmbedUrlForRegisteredUser. Le paramètre AllowedDomains est un paramètre facultatif. Il permet aux développeurs de remplacer les domaines statiques configurés dans le QuickSight menu Gérer et de répertorier jusqu'à trois domaines ou sous-domaines pouvant accéder à une URL générée. Cette URL est ensuite intégrée dans le site web d'un développeur. Seuls les domaines répertoriés dans le paramètre peuvent accéder à la barre de recherche Q intégrée. Sans cette condition, les développeurs peuvent répertorier n'importe quel domaine sur Internet dans le paramètre AllowedDomains.

Pour limiter les domaines que les développeurs peuvent utiliser avec ce paramètre, ajoutez une condition AllowedEmbeddingDomains à votre politique IAM. Pour plus d'informations sur le AllowedDomains paramètre, consultez GenerateEmbedUrlForRegisteredUserle Amazon QuickSight API Reference.

L'exemple de stratégie suivant fournit ces autorisations.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

De plus, si vous créez pour la première fois des utilisateurs qui seront des QuickSight lecteurs Amazon, assurez-vous d'ajouter l'quicksight:RegisterUserautorisation dans le règlement.

L'exemple de politique suivant autorise les nouveaux utilisateurs qui souhaitent devenir lecteurs à récupérer une URL d' QuickSight intégration.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
              "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
              "arn:partition:quicksight:region:accountId:user/namespace/userName"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

Enfin, l'identité IAM de votre application doit avoir une politique d'approbation qui lui est associée afin d'autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, celle-ci peut assumer le rôle en QuickSight son nom et lui fournir des informations.

Voici un exemple de politique d'approbation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Pour plus d'informations sur les politiques d'approbation pour OpenId Connect ou l'authentification Security Assertion Markup Language (SAML), consultez les sections suivantes du Guide de l'utilisateur IAM :