Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques IAM pour Amazon QuickSight
Cette section fournit des exemples de politiques IAM que vous pouvez utiliser avec Amazon QuickSight.
Politiques basées sur l'identité IAM pour Amazon QuickSight
Cette section présente des exemples de politiques basées sur l'identité à utiliser avec Amazon. QuickSight
Rubriques
- Politiques basées sur l'identité IAM pour QuickSight l'administration de la console IAM
- Politiques basées sur l'identité IAM pour Amazon : tableaux de bord QuickSight
- Politiques basées sur l'identité IAM pour Amazon : espaces de noms QuickSight
- Politiques basées sur l'identité IAM pour Amazon QuickSight : autorisations personnalisées
- Politiques basées sur l'identité IAM pour Amazon QuickSight : personnalisation des modèles de rapports par e-mail
- Politiques basées sur l'identité IAM pour Amazon QuickSight : création d'utilisateurs
- Politiques basées sur l'identité IAM pour Amazon QuickSight : création et gestion de groupes
- Politiques basées sur l'identité IAM pour Amazon QuickSight : accès illimité pour l'édition Standard
- Politiques basées sur l'identité IAM pour Amazon QuickSight : All Access for Enterprise edition avec IAM Identity Center (rôles Pro)
- Politiques basées sur l'identité IAM pour Amazon QuickSight : édition All Access for Enterprise avec IAM Identity Center
- Politiques basées sur l'identité IAM pour Amazon QuickSight : accès complet pour l'édition Enterprise avec Active Directory
- Politiques basées sur l'identité IAM pour Amazon QuickSight : groupes Active Directory
- Politiques basées sur l'identité IAM pour Amazon QuickSight : utilisation de la console de gestion des actifs d'administration
- Politiques basées sur l'identité IAM pour Amazon QuickSight : utilisation de la console de gestion des clés d'administration
- AWS ressources Amazon QuickSight : politiques de cadrage dans l'édition Enterprise
Politiques basées sur l'identité IAM pour QuickSight l'administration de la console IAM
L'exemple suivant montre les autorisations IAM nécessaires pour les actions d'administration de la console QuickSight IAM.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } }
Politiques basées sur l'identité IAM pour Amazon : tableaux de bord QuickSight
L'exemple suivant présente une politique IAM qui permet le partage et l'intégration de tableaux de bord spécifiques.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Politiques basées sur l'identité IAM pour Amazon : espaces de noms QuickSight
Les exemples suivants illustrent les politiques IAM qui permettent à un QuickSight administrateur de créer ou de supprimer des espaces de noms.
Création d'espaces de noms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Suppression d'espaces de noms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : autorisations personnalisées
L'exemple suivant montre une politique IAM qui permet à un QuickSight administrateur ou à un développeur de gérer des autorisations personnalisées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L'exemple suivant présente une autre façon d'accorder les mêmes autorisations que dans l'exemple précédent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : personnalisation des modèles de rapports par e-mail
L'exemple suivant montre une politique qui permet de consulter, de mettre à jour et de créer des modèles de rapports par e-mail dans QuickSight, ainsi que d'obtenir des attributs de vérification pour une identité Amazon Simple Email Service. Cette politique permet à un QuickSight administrateur de créer et de mettre à jour des modèles de rapports par e-mail personnalisés, et de confirmer que toute adresse e-mail personnalisée à partir de laquelle il souhaite envoyer des rapports par e-mail est une identité vérifiée dans SES.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : création d'utilisateurs
L'exemple suivant montre une politique qui autorise uniquement la création d' QuickSight utilisateurs Amazon. Pour quicksight:CreateReader, quicksight:CreateUser et quicksight:CreateAdmin, vous pouvez limiter les autorisations à "Resource":
"arn:aws:quicksight::. Pour toutes les autres autorisations décrites dans ce guide, utilisez <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La ressource que vous spécifiez limite la portée des autorisations pour la ressource spécifiée.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : création et gestion de groupes
L'exemple suivant montre une politique qui permet aux QuickSight administrateurs et aux développeurs de créer et de gérer des groupes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : accès illimité pour l'édition Standard
L'exemple suivant pour l'édition Amazon QuickSight Standard montre une politique qui permet de s'abonner et de créer des auteurs et des lecteurs. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon QuickSight.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : All Access for Enterprise edition avec IAM Identity Center (rôles Pro)
L'exemple suivant pour l'édition Amazon QuickSight Enterprise montre une politique qui permet à un QuickSight utilisateur de s'abonner à Active Directory QuickSight, de créer des utilisateurs et de gérer Active Directory dans un QuickSight compte intégré à IAM Identity Center.
Cette politique permet également aux utilisateurs de s'abonner à des rôles QuickSight Pro qui accordent l'accès à Amazon Q dans les fonctionnalités de QuickSight Generative BI. Pour plus d'informations sur les rôles Pro sur Amazon QuickSight, consultezCommencez avec Generative BI.
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : édition All Access for Enterprise avec IAM Identity Center
L'exemple suivant pour l'édition Amazon QuickSight Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un QuickSight compte intégré à IAM Identity Center.
Cette politique n'accorde pas l'autorisation de créer des rôles Pro dans QuickSight. Pour créer une politique autorisant l'abonnement à des rôles Pro dans QuickSight, voirPolitiques basées sur l'identité IAM pour Amazon QuickSight : All Access for Enterprise edition avec IAM Identity Center (rôles Pro).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : accès complet pour l'édition Enterprise avec Active Directory
L'exemple suivant pour l'édition Amazon QuickSight Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un QuickSight compte qui utilise Active Directory pour la gestion des identités. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon QuickSight.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : groupes Active Directory
L'exemple suivant montre une politique IAM qui permet la gestion de groupes Active Directory pour un compte Amazon QuickSight Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Politiques basées sur l'identité IAM pour Amazon QuickSight : utilisation de la console de gestion des actifs d'administration
L'exemple suivant présente une politique IAM qui autorise l'accès à la console de gestion des actifs d'administration.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Politiques basées sur l'identité IAM pour Amazon QuickSight : utilisation de la console de gestion des clés d'administration
L'exemple suivant présente une politique IAM qui autorise l'accès à la console de gestion des clés d'administration.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Les "kms:ListAliases" autorisations "quicksight:ListKMSKeysForUser" et sont requises pour accéder aux clés gérées par le client depuis la QuickSight console. "quicksight:ListKMSKeysForUser"et ne "kms:ListAliases" sont pas tenus d'utiliser les API de gestion des QuickSight clés.
Pour spécifier les clés auxquelles vous souhaitez qu'un utilisateur puisse accéder, ajoutez les ARN des clés auxquelles vous souhaitez que l'utilisateur accède à la UpdateKeyRegistration condition avec la clé de quicksight:KmsKeyArns condition. Les utilisateurs ne peuvent accéder qu'aux clés spécifiées dansUpdateKeyRegistration. Pour plus d'informations sur les clés de condition prises en charge pour QuickSight, consultez la section Clés de condition pour Amazon QuickSight.
L'exemple ci-dessous accorde des Describe autorisations à toutes les CMK enregistrées sur un QuickSight compte et des Update autorisations à des CMK spécifiques enregistrées sur le compte. QuickSight
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS ressources Amazon QuickSight : politiques de cadrage dans l'édition Enterprise
L'exemple suivant pour l'édition Amazon QuickSight Enterprise montre une politique qui permet de définir l'accès par défaut aux AWS ressources et de définir les politiques relatives aux autorisations d'accès aux AWS ressources.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
