Usare Amazon QuickSight con IAM - Amazon QuickSight
QuickSight Politiche di Amazon QuickSightPolitiche di Amazon (basate sulle risorse)Autorizzazione basata sui QuickSight tag AmazonRuoli Amazon QuickSight IAMPassare i ruoli IAM a QuickSight

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usare Amazon QuickSight con IAM

   Si applica a: Enterprise Edition e Standard Edition 
   Destinatari: amministratori di sistema 

Prima di utilizzare IAM per gestire l'accesso ad Amazon QuickSight, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon QuickSight. Per avere una visione di alto livello di come Amazon QuickSight e altri AWS servizi funzionano con IAM, consulta AWS Services That Work with IAM nella IAM User Guide.

Amazon QuickSight Policies (basate sull'identità)

Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon QuickSight supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Puoi utilizzare le credenziali AWS root o le credenziali utente IAM per creare un account Amazon QuickSight . AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per gestire QuickSight l'accesso di Amazon alle AWS risorse.

Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. A tale scopo, puoi creare una policy e collegarla all'utente e ai ruoli IAM che intendi utilizzare per Amazon QuickSight. La politica deve includere le dichiarazioni appropriate per le attività QuickSight amministrative di Amazon che devi eseguire, come descritto nelle sezioni seguenti.

Importante

Tieni presente quanto segue quando lavori con le policy di Amazon QuickSight e IAM:

  • Evita di modificare direttamente una politica creata da Amazon QuickSight. Se lo modifichi tu stesso, Amazon non QuickSight può modificarlo. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.

  • Se ricevi un errore sulle autorizzazioni quando tenti di creare un QuickSight account Amazon, consulta Actions Defined by Amazon QuickSight nella IAM User Guide.

  • In alcuni casi, potresti avere un QuickSight account Amazon a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio QuickSight account Amazon e ricrearlo. Per ulteriori informazioni, consulta Eliminazione QuickSight dell'abbonamento Amazon e chiusura dell'account.

Azioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Actiondi una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le azioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Amazon QuickSight utilizzano il seguente prefisso prima dell'azione:quicksight:. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API RunInstances Amazon EC2, è necessario includere l'operazione ec2:RunInstances nella policy. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon QuickSight definisce il proprio set di azioni che descrivono le attività che puoi eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Create, includi la seguente azione:

"Action": "quicksight:Create*"

Amazon QuickSight fornisce una serie di azioni AWS Identity and Access Management (IAM). Tutte le QuickSight azioni di Amazon hanno il prefissoquicksight:, ad esempioquicksight:Subscribe. Per informazioni sull'utilizzo QuickSight delle azioni Amazon in una policy IAM, consultaEsempi di policy IAM per Amazon QuickSight.

Per visualizzare la maggior parte up-to-date delle QuickSight azioni Amazon, consulta Actions Defined by Amazon QuickSight nella IAM User Guide.

Risorse

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione CreateGroupMembership su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia user1. 

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

Alcune QuickSight azioni di Amazon, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Molte operazioni API coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separa gli ARN con le virgole. 

"Resource": [
	      "resource1",
	      "resource2"

Per visualizzare un elenco dei tipi di QuickSight risorse Amazon e i relativi Amazon Resource Names (ARN), consulta Resources Defined by Amazon QuickSight nella IAM User Guide. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta Actions Defined by Amazon. QuickSight

Chiavi di condizione

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.

Amazon QuickSight non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.

Esempi

Per visualizzare esempi di politiche QuickSight basate sull'identità di Amazon, consulta. Policy basate sull'identità IAM per Amazon QuickSight

QuickSightPolitiche di Amazon (basate sulle risorse)

Amazon QuickSight non supporta politiche basate sulle risorse. Tuttavia, puoi utilizzare la QuickSight console Amazon per configurare l'accesso ad altre AWS risorse del tuo Account AWS.

Autorizzazione basata sui QuickSight tag Amazon

Amazon QuickSight non supporta l'etichettatura delle risorse o il controllo dell'accesso in base ai tag.

Ruoli Amazon QuickSight IAM

Un ruolo IAM è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche. Puoi utilizzare i ruoli IAM per raggruppare le autorizzazioni per semplificare la gestione dell'accesso degli utenti alle QuickSight azioni di Amazon.

Amazon QuickSight non supporta le seguenti funzionalità relative ai ruoli:

  • Ruoli collegati ai servizi.

  • Ruoli dei servizi.

  • Credenziali temporanee (uso diretto): Tuttavia, Amazon QuickSight utilizza credenziali temporanee per consentire agli utenti di assumere un ruolo IAM per accedere ai dashboard integrati. Per ulteriori informazioni, consulta Utilizzo dell'analisi integrata.

Per ulteriori informazioni su come Amazon QuickSight utilizza i ruoli IAM, consulta Usare Amazon QuickSight con IAM eEsempi di policy IAM per Amazon QuickSight.

Trasferimento dei ruoli IAM ad Amazon QuickSight

 Si applica a: Enterprise Edition 

Quando i tuoi utenti IAM si iscrivono ad Amazon QuickSight, possono scegliere di utilizzare il ruolo QuickSight -managed (questo è il ruolo predefinito). Oppure possono passare un ruolo IAM esistente a QuickSight.

Prerequisiti

Affinché gli utenti possano trasferire i ruoli IAM QuickSight, l'amministratore deve completare le seguenti attività:

  • Creare un ruolo IAM. Per ulteriori informazioni sulla creazione di ruoli IAM, consulta Creazione di ruoli IAM nella Guida per l'utente di IAM.

  • Allega una policy di fiducia al tuo ruolo IAM che QuickSight consenta di assumere il ruolo. Utilizza il seguente esempio per creare una policy di attendibilità per il ruolo. Il seguente esempio di policy di fiducia consente al QuickSight responsabile Amazon di assumere il ruolo IAM a cui è associato.

    Per informazioni sulla creazione di policy di attendibilità IAM e sul loro collegamento ai ruoli, consulta Modifica di un ruolo (console) nella Guida per l'utente su IAM.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Assegnare le seguenti autorizzazioni IAM al tuo amministratore (utenti o ruoli IAM):

    • quicksight:UpdateResourcePermissions— Ciò concede agli utenti IAM che sono QuickSight amministratori l'autorizzazione ad aggiornare le autorizzazioni a livello di risorsa in. QuickSight Per ulteriori informazioni sui tipi di risorse definiti da QuickSight, consulta Actions, resources and condition keys for Amazon QuickSight nella IAM User Guide.

    • iam:PassRole— Ciò concede agli utenti il permesso di trasferire ruoli a QuickSight. Per ulteriori informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a un servizio AWS nella Guida per l'utente di IAM.

    • iam:ListRoles— (Facoltativo) Ciò concede agli utenti il permesso di visualizzare un elenco di ruoli esistenti in. QuickSight Se questa autorizzazione non viene fornita, potranno utilizzare un ARN per utilizzare i ruoli IAM esistenti.

    Di seguito è riportato un esempio di policy di autorizzazione IAM che consente di gestire le autorizzazioni a livello di risorsa, elencare i ruoli IAM e passare i ruoli IAM in Amazon. QuickSight

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Per altri esempi di policy IAM che puoi utilizzare, consulta. QuickSight Esempi di policy IAM per Amazon QuickSight

Per ulteriori informazioni sull'assegnazione delle policy di autorizzazioni a gruppi di utenti, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente di IAM.

Dopo che l'amministratore ha completato i prerequisiti, gli utenti IAM possono passare i ruoli IAM a. QuickSight Lo fanno scegliendo un ruolo IAM al momento della registrazione o QuickSight accedendo alla loro switching to an IAM role pagina QuickSight Sicurezza e autorizzazioni. Per sapere come passare a un ruolo IAM esistente in QuickSight, consulta la sezione seguente.

Collegamento di policy aggiuntive

Se utilizzi un altro AWS servizio, come Amazon Athena o Amazon S3, puoi creare una politica di autorizzazioni che QuickSight conceda il permesso di eseguire azioni specifiche. Puoi quindi collegare la policy ai ruoli IAM a cui passerai successivamente. QuickSight Di seguito sono riportati alcuni esempi di come è possibile configurare e collegare policy di autorizzazione aggiuntive ai ruoli IAM.

Per un esempio di policy gestita per QuickSight Athena, consulta AWSQuicksightAthenaAccess Managed Policy nella Amazon Athena User Guide. Gli utenti IAM possono accedere a questo ruolo QuickSight utilizzando il seguente ARN:. arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess

Di seguito è riportato un esempio di politica di autorizzazioni per QuickSight Amazon S3. Per ulteriori informazioni sull'utilizzo di IAM con Amazon S3, consulta Identity and Access Management in Amazon S3 nella Guida per l'utente di Amazon S3.

Per informazioni su come creare l'accesso tra account QuickSight a un bucket Amazon S3 in un altro account, vedi Come posso configurare l'accesso tra account da QuickSight Amazon a un bucket Amazon S3 in un altro account? nel Knowledge Center. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Utilizzo dei ruoli IAM esistenti in Amazon QuickSight

Se sei un QuickSight amministratore e disponi delle autorizzazioni per aggiornare QuickSight le risorse e trasferire ruoli IAM, puoi utilizzare i ruoli IAM esistenti in QuickSight. Per ulteriori informazioni sui prerequisiti per l'assegnazione dei ruoli IAM QuickSight, consulta l'elenco prerequisites delineato nell'elenco precedente.

Utilizza la seguente procedura per imparare a trasferire i ruoli IAM. QuickSight

Per utilizzare un ruolo IAM esistente in QuickSight

  1. In QuickSight, scegli il nome del tuo account nella barra di navigazione in alto a destra e scegli Gestisci QuickSight.

  2. Nella QuickSight pagina Gestisci che si apre, scegli Sicurezza e autorizzazioni nel menu a sinistra.

  3. Nella pagina Sicurezza e autorizzazioni che si apre, in QuickSight Accesso ai AWS servizi, scegli Gestisci.

  4. Per il ruolo IAM, scegli Usa un ruolo esistente, quindi completa una delle seguenti operazioni:

    • Scegli il ruolo che si desidera usare dall'elenco.

    • Oppure, se non vedi un elenco di ruoli IAM esistenti, puoi inserire l'ARN IAM per il ruolo nel seguente formato: arn:aws:iam::account-id:role/path/role-name.

  5. Selezionare Salva.