Operazioni Risorse Chiavi di condizione Esempi

Amazon QuickSight Policies (basate sull'identità)

Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon QuickSight supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Puoi utilizzare le credenziali AWS root o le credenziali utente IAM per creare un account Amazon QuickSight . AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per gestire QuickSight l'accesso di Amazon alle AWS risorse.

Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. A tale scopo, puoi creare una policy e collegarla all'utente e ai ruoli IAM che intendi utilizzare per Amazon QuickSight. La politica deve includere le dichiarazioni appropriate per le attività QuickSight amministrative di Amazon che devi eseguire, come descritto nelle sezioni seguenti.

Importante

Tieni presente quanto segue quando lavori con le policy di Amazon QuickSight e IAM:

Evita di modificare direttamente una politica creata da Amazon QuickSight. Se lo modifichi tu stesso, Amazon non QuickSight può modificarlo. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.
Se ricevi un errore sulle autorizzazioni quando tenti di creare un QuickSight account Amazon, consulta Actions Defined by Amazon QuickSight nella IAM User Guide.
In alcuni casi, potresti avere un QuickSight account Amazon a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio QuickSight account Amazon e ricrearlo. Per ulteriori informazioni, consulta Eliminazione QuickSight dell'abbonamento Amazon e chiusura dell'account.

Operazioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Amazon QuickSight utilizzano il seguente prefisso prima dell'azione:quicksight:. Ad esempio, per concedere a qualcuno l'autorizzazione a eseguire un' EC2 istanza Amazon con il funzionamento dell' EC2 RunInstancesAPI Amazon, includi l'ec2:RunInstancesazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon QuickSight definisce il proprio set di azioni che descrivono le attività che puoi eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:


"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Create, includi la seguente azione:


"Action": "quicksight:Create*"

Amazon QuickSight fornisce una serie di azioni AWS Identity and Access Management (IAM). Tutte le QuickSight azioni di Amazon hanno il prefissoquicksight:, ad esempioquicksight:Subscribe. Per informazioni sull'utilizzo QuickSight delle azioni Amazon in una policy IAM, consultaEsempi di policy IAM per Amazon QuickSight.

Per visualizzare la maggior parte up-to-date delle QuickSight azioni Amazon, consulta Actions Defined by Amazon QuickSight nella IAM User Guide.

Risorse

L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.


"Resource": "*"

Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione CreateGroupMembership su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia user1.


{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Alcune QuickSight azioni di Amazon, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).


"Resource": "*"

Molte operazioni API coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.


"Resource": [
	      "resource1",
	      "resource2"

Per visualizzare un elenco dei tipi di QuickSight risorse Amazon e i relativi nomi di risorse Amazon (ARNs), consulta Resources Defined by Amazon QuickSight nella IAM User Guide. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta Actions Defined by Amazon. QuickSight

Chiavi di condizione

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.

Amazon QuickSight non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.

Esempi

Per visualizzare esempi di politiche QuickSight basate sull'identità di Amazon, consulta. Policy basate sull'identità IAM per Amazon QuickSight

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usare Amazon QuickSight con IAM

QuickSightPolitiche di Amazon (basate sulle risorse)