Amazon QuickSight Policies (basate sull'identità)

Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Amazon QuickSight supporta azioni, risorse e chiavi di condizione specifiche. Per conoscere tutti gli elementi utilizzati in una JSON policy, consulta IAMJSONPolicy Elements Reference nella Guida per l'IAMutente.

Puoi utilizzare le credenziali AWS root o le credenziali IAM utente per creare un account Amazon QuickSight . AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per gestire QuickSight l'accesso di Amazon alle AWS risorse.

Tuttavia, ti consigliamo di proteggere le tue credenziali root e di utilizzare IAM invece le credenziali utente. A tale scopo, puoi creare una policy e allegarla all'IAMutente e ai ruoli che intendi utilizzare per Amazon QuickSight. La politica deve includere le dichiarazioni appropriate per le attività QuickSight amministrative di Amazon che devi eseguire, come descritto nelle sezioni seguenti.

Importante

Quando lavori con Amazon QuickSight e le IAM relative politiche, tieni presente quanto segue:

• Evita di modificare direttamente una politica creata da Amazon QuickSight. Se lo modifichi tu stesso, Amazon non QuickSight può modificarlo. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.

• Se ricevi un errore sulle autorizzazioni quando tenti di creare un QuickSight account Amazon, consulta Actions Defined by Amazon QuickSight nella Guida per l'IAMutente.

• In alcuni casi, potresti avere un QuickSight account Amazon a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio QuickSight account Amazon e ricrearlo. Per ulteriori informazioni, consulta Eliminazione QuickSight dell'abbonamento Amazon e chiusura dell'account.

Azioni

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Amazon QuickSight utilizzano il seguente prefisso prima dell'azione:quicksight:. Ad esempio, per concedere a qualcuno l'autorizzazione a eseguire un'EC2istanza Amazon con l'EC2RunInstancesAPIoperazione Amazon, includi l'ec2:RunInstancesazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon QuickSight definisce il proprio set di azioni che descrivono le attività che puoi eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Create, includi la seguente azione:

"Action": "quicksight:Create*"

Amazon QuickSight fornisce una serie di AWS Identity and Access Management (IAM) azioni. Tutte le QuickSight azioni di Amazon hanno il prefissoquicksight:, ad esempioquicksight:Subscribe. Per informazioni sull'utilizzo di Amazon QuickSight Actions in una IAM policy, consultaIAMesempi di policy per Amazon QuickSight.

Per visualizzare la maggior parte up-to-date delle QuickSight azioni Amazon, consulta Actions Defined by Amazon QuickSight nella Guida per l'IAMutente.

Risorse

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione CreateGroupMembership su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia user1.

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Alcune QuickSight azioni di Amazon, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Alcune API azioni coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.

"Resource": [
	      "resource1",
	      "resource2"

Per visualizzare un elenco dei tipi di QuickSight risorse Amazon e i relativi nomi di risorse Amazon (ARNs), consulta Resources Defined by Amazon QuickSight nella Guida per l'IAMutente. Per sapere con quali azioni puoi specificare le caratteristiche ARN di ogni risorsa, consulta Azioni definite da Amazon QuickSight.

Chiavi di condizione

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logicaOR. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta gli elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.

Amazon QuickSight non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'IAMutente.

Esempi

Per visualizzare esempi di politiche QuickSight basate sull'identità di Amazon, consulta. IAMpolitiche basate sull'identità per Amazon QuickSight