Utiliser Amazon QuickSight avec IAM - Amazon QuickSight
QuickSight Politiques d'Amazon QuickSightPolitiques d'Amazon (basées sur les ressources)Autorisation basée sur les QuickSight tags Amazon QuickSight IAMRôles AmazonTransmission de IAM rôles à QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser Amazon QuickSight avec IAM

   S'applique à : édition Enterprise et édition Standard 
   Public cible : administrateurs système 

Avant IAM de gérer l'accès à Amazon QuickSight, vous devez connaître les IAM fonctionnalités disponibles sur Amazon QuickSight. Pour obtenir une vue d'ensemble de la façon dont Amazon QuickSight et les autres AWS services fonctionnent avecIAM, consultez la section AWS Services That Work with IAM dans le guide de IAM l'utilisateur.

Amazon QuickSight Policies (basées sur l'identité)

Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon QuickSight prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la section Référence des éléments de IAM JSON stratégie dans le guide de IAM l'utilisateur.

Vous pouvez utiliser les informations d'identification AWS root ou les informations d'identification IAM utilisateur pour créer un QuickSight compte Amazon. AWS les informations d'identification root et administrateur disposent déjà de toutes les autorisations requises pour gérer QuickSight l'accès Amazon aux AWS ressources.

Cependant, nous vous recommandons de protéger vos informations d'identification root et d'utiliser plutôt les informations IAM d'identification utilisateur. Pour ce faire, vous pouvez créer une politique et l'associer à l'IAMutilisateur et aux rôles que vous prévoyez d'utiliser pour Amazon QuickSight. La politique doit inclure les déclarations appropriées pour les tâches QuickSight administratives Amazon que vous devez effectuer, comme décrit dans les sections suivantes.

Important

Tenez compte des points suivants lorsque vous travaillez avec Amazon QuickSight et de ses IAM politiques :

  • Évitez de modifier directement une politique créée par Amazon QuickSight. Lorsque vous le modifiez vous-même, Amazon ne QuickSight peut pas le modifier. Cette incapacité peut entraîner un problème lié à la stratégie. Pour résoudre ce problème, supprimez la stratégie précédemment modifiée.

  • Si vous recevez une erreur concernant les autorisations lorsque vous essayez de créer un QuickSight compte Amazon, consultez la section Actions définies par Amazon QuickSight dans le guide de IAM l'utilisateur.

  • Dans certains cas, vous pouvez avoir un QuickSight compte Amazon auquel vous ne pouvez pas accéder, même depuis le compte root (par exemple, si vous avez accidentellement supprimé son service d'annuaire). Dans ce cas, vous pouvez supprimer votre ancien QuickSight compte Amazon, puis le recréer. Pour plus d’informations, consultez Supprimer votre QuickSight abonnement Amazon et fermer le compte.

Actions

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une stratégie afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions politiques sur Amazon QuickSight utilisent le préfixe suivant avant l'action :quicksight:. Par exemple, pour autoriser quelqu'un à exécuter une EC2 instance Amazon avec l'EC2RunInstancesAPIopération Amazon, vous devez inclure l'ec2:RunInstancesaction dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon QuickSight définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Create, incluez l’action suivante :

"Action": "quicksight:Create*"

Amazon QuickSight propose un certain nombre AWS Identity and Access Management (IAM) d'actions. Toutes les QuickSight actions Amazon sont précédées du préfixequicksight:, tel quequicksight:Subscribe. Pour plus d'informations sur l'utilisation QuickSight des actions Amazon dans une IAM politique, consultezIAMexemples de politiques pour Amazon QuickSight.

Pour consulter la up-to-date liste complète des QuickSight actions Amazon, consultez la section Actions définies par Amazon QuickSight dans le guide de IAM l'utilisateur.

Ressources

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Resource JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de spécifier une ressource en utilisant son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

Voici un exemple de stratégie. Cela signifie que le mandataire auquel cette stratégie est attachée est en mesure d'invoquer l'opération CreateGroupMembership sur n'importe quel groupe, à condition que le nom d'utilisateur qu'il ajoute au groupe ne soit pas user1. 

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Certaines QuickSight actions Amazon, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

Certaines API actions font appel à de multiples ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules. 

"Resource": [
	      "resource1",
	      "resource2"

Pour consulter la liste des types de QuickSight ressources Amazon et leurs noms de ressources Amazon (ARNs), consultez la section Ressources définies par Amazon QuickSight dans le guide de IAM l'utilisateur. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez Actions définies par Amazon QuickSight. ARN

Clés de condition

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez IAMla section Éléments de politique : variables et balises dans le Guide de IAM l'utilisateur.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.

Amazon QuickSight ne fournit aucune clé de condition spécifique à un service, mais prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir Clés contextuelles de condition AWS globale dans le guide de IAM l'utilisateur.

Exemples

Pour consulter des exemples de politiques QuickSight basées sur l'identité d'Amazon, consultez. IAMpolitiques basées sur l'identité pour Amazon QuickSight

QuickSightPolitiques d'Amazon (basées sur les ressources)

Amazon QuickSight ne prend pas en charge les politiques basées sur les ressources. Cependant, vous pouvez utiliser la QuickSight console Amazon pour configurer l'accès à d'autres AWS ressources de votre Compte AWS.

Autorisation basée sur les QuickSight tags Amazon

Amazon QuickSight ne prend pas en charge le balisage des ressources ni le contrôle de l'accès en fonction des balises.

QuickSight IAMRôles Amazon

Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques. Vous pouvez utiliser IAM des rôles pour regrouper les autorisations afin de faciliter la gestion de l'accès des utilisateurs aux QuickSight actions Amazon.

Amazon QuickSight ne prend pas en charge les fonctionnalités de rôle suivantes :

  • Rôles liés à un service.

  • Rôles de service

  • Informations d'identification temporaires (utilisation directe) : Amazon QuickSight utilise toutefois des informations d'identification temporaires pour permettre aux utilisateurs d'IAMaccéder aux tableaux de bord intégrés. Pour plus d’informations, consultez Utilisation des analyses intégrées.

Pour plus d'informations sur la manière dont Amazon QuickSight utilise IAM les rôles, consultez Utiliser Amazon QuickSight avec IAM etIAMexemples de politiques pour Amazon QuickSight.

Transférer IAM des rôles à Amazon QuickSight

 S'applique à : édition Enterprise 

Lorsque vos IAM utilisateurs s'inscrivent à Amazon QuickSight, ils peuvent choisir d'utiliser le rôle QuickSight -managed (il s'agit du rôle par défaut). Ils peuvent également transmettre un IAM rôle existant à QuickSight.

Prérequis

Pour que vos utilisateurs puissent transmettre IAM des rôles QuickSight, votre administrateur doit effectuer les tâches suivantes :

  • Créez un IAM rôle. Pour plus d'informations sur la création de IAM rôles, voir Création de IAM rôles dans le Guide de IAM l'utilisateur.

  • Attachez une politique de confiance à votre IAM rôle qui permet QuickSight d'assumer le rôle. Utilisez l'exemple suivant pour créer une politique d'approbation pour le rôle. L'exemple de politique de confiance suivant permet au QuickSight directeur d'Amazon d'assumer le IAM rôle auquel il est attaché.

    Pour plus d'informations sur la création de politiques de IAM confiance et leur association à des rôles, consultez la section Modification d'un rôle (console) dans le guide de IAM l'utilisateur.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Attribuez les IAM autorisations suivantes à votre administrateur (IAMutilisateurs ou rôles) :

    • quicksight:UpdateResourcePermissions— Cela donne aux IAM utilisateurs QuickSight administrateurs l'autorisation de mettre à jour les autorisations au niveau des ressources dans. QuickSight Pour plus d'informations sur les types de ressources définis par QuickSight, consultez la section Actions, ressources et clés de condition pour Amazon QuickSight dans le guide de IAM l'utilisateur.

    • iam:PassRole— Cela donne aux utilisateurs l'autorisation de transmettre des rôles à QuickSight. Pour plus d'informations, consultez la section Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service dans le Guide de IAM l'utilisateur.

    • iam:ListRoles— (Facultatif) Cela autorise les utilisateurs à consulter la liste des rôles existants dans QuickSight. Si cette autorisation n'est pas fournie, ils peuvent utiliser et ARN utiliser les IAM rôles existants.

    Vous trouverez ci-dessous un exemple de politique d'IAMautorisation qui permet de gérer les autorisations au niveau des ressources, de répertorier IAM les rôles et de transmettre IAM des rôles sur Amazon. QuickSight

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Pour plus d'exemples de IAM politiques que vous pouvez utiliser avec QuickSight, consultezIAMexemples de politiques pour Amazon QuickSight.

Pour plus d'informations sur l'attribution de politiques d'autorisations à des utilisateurs ou à des groupes d'utilisateurs, consultez la section Modification des autorisations d'un IAM utilisateur dans le Guide de l'IAMutilisateur.

Une fois que votre administrateur a rempli les conditions requises, vos IAM utilisateurs peuvent transmettre IAM des rôles à QuickSight. Pour ce faire, ils choisissent un IAM rôle lors de QuickSight leur inscription ou switching to an IAM role sur leur page QuickSight Sécurité et autorisations. Pour savoir comment passer à un IAM rôle existant dans QuickSight, consultez la section suivante.

Rattachement de politiques supplémentaires

Si vous utilisez un autre AWS service, tel qu'Amazon Athena ou Amazon S3, vous pouvez créer une politique d' QuickSight autorisation autorisant l'exécution d'actions spécifiques. Vous pouvez ensuite associer la politique aux IAM rôles auxquels vous serez ultérieurement transféré QuickSight. Vous trouverez ci-dessous des exemples de la manière dont vous pouvez configurer et associer des politiques d'autorisation supplémentaires à vos IAM rôles.

Pour un exemple de politique gérée pour QuickSight Athena, consultez la section Politique AWSQuicksightAthenaAccess gérée dans le guide de l'utilisateur d'Amazon Athena. IAMles utilisateurs peuvent accéder à ce rôle en QuickSight utilisant ce qui suit ARN :arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess.

Voici un exemple de politique d'autorisation pour QuickSight Amazon S3. Pour plus d'informations sur l'utilisation IAM avec Amazon S3, consultez la section Gestion des identités et des accès dans Amazon S3 dans le guide de l'utilisateur Amazon S3.

Pour plus d'informations sur la façon de créer un accès entre comptes depuis QuickSight un compartiment Amazon S3 dans un autre compte, consultez Comment configurer l'accès entre comptes depuis Amazon QuickSight vers un compartiment Amazon S3 d'un autre compte ? dans le AWS Knowledge Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Utilisation des IAM rôles existants sur Amazon QuickSight

Si vous êtes QuickSight administrateur et que vous êtes autorisé à mettre à jour les QuickSight ressources et à transmettre IAM des rôles, vous pouvez utiliser les IAM rôles existants dans QuickSight. Pour en savoir plus sur les conditions préalables à la transmission IAM des rôles QuickSight, consultez les informations prerequisites décrites dans la liste précédente.

Suivez la procédure ci-dessous pour savoir comment transmettre IAM des rôles QuickSight.

Pour utiliser un IAM rôle existant dans QuickSight

  1. Dans QuickSight, choisissez le nom de votre compte dans la barre de navigation en haut à droite et choisissez Gérer QuickSight.

  2. Sur la QuickSight page Gérer qui s'ouvre, choisissez Sécurité et autorisations dans le menu de gauche.

  3. Sur la page Sécurité et autorisations qui s'ouvre, sous QuickSight Accès aux AWS services, sélectionnez Gérer.

  4. Pour IAMrôle, choisissez Utiliser un rôle existant, puis effectuez l'une des opérations suivantes :

    • Choisissez le rôle que vous voulez utiliser dans la liste.

    • Ou, si vous ne voyez pas de liste des IAM rôles existants, vous pouvez saisir le IAM ARN rôle au format suivant :arn:aws:iam::account-id:role/path/role-name.

  5. Choisissez Enregistrer.