Conceder QuickSight acesso aos usuários do IAM - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder QuickSight acesso aos usuários do IAM

nota

Um usuário do IAM é uma entidade que você cria no AWS Identity and Access Management (IAM). Esse tipo de entidade acessa você Conta da AWS usando credenciais de longo prazo. Como prática recomendada, AWS recomenda que você conceda acesso por meio de credenciais temporárias usando federação de identidades e funções do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM.

Diagrama de arquitetura de um usuário do IAM acessando QuickSight

A seguir estão as características dessa arquitetura e abordagem de acesso:

  • O registro QuickSight do usuário da Amazon está vinculado ao usuário no IAM.

  • As senhas de usuário são gerenciadas no IAM.

  • Você pode convidar usuários do IAM diretamente ou criar uma política baseada em identidade do IAM que permita que os usuários forneçam acesso por conta própria.

  • Esse tipo de usuário pode fazer login pelo QuickSight console ou pelo AWS Management Console.

Considerações e casos de uso

Embora AWS geralmente não seja recomendável configurar o acesso por meio de usuários do IAM, outras abordagens de acesso, como federação, podem não estar disponíveis atualmente em sua organização. Muitas organizações que estão apenas começando sua jornada para a nuvem ainda não estabeleceram funções de IAM e estão trabalhando em uma arquitetura de conta única. Se sua organização usa usuários do IAM para acessar seu AWS ambiente, reaplicar essa abordagem QuickSight pode ser a abordagem mais direta e sensata até que sua organização ofereça suporte a outras abordagens.

Pré-requisitos

  • Para a abordagem de convite direto, você precisa:

    • Permissões administrativas em QuickSight (consulte as políticas baseadas em identidade do IAM para as edições Standard ou Enterprise)

    • O endereço de e-mail do usuário do IAM

  • Para a abordagem de acesso autoprovisionado, o usuário precisa de permissões para criar a Amazon QuickSight (consulte as políticas baseadas em identidade do IAM para a Amazon QuickSight: criação de usuários)

  • O usuário do IAM deve ter uma senha associada às suas credenciais do IAM

Configurando o acesso para um usuário do IAM

Você pode conceder acesso QuickSight aos usuários do IAM usando uma das seguintes opções:

  • Convite direto — Você convida o usuário do IAM para acessar QuickSight, e o usuário pode aceitar o convite por e-mail.

  • Acesso autoprovisionado — você cria uma política do IAM que permite aos usuários provisionar seu próprio acesso. Quando um usuário acessa QuickSight pela primeira vez, ele recebe acesso e define o endereço de e-mail que será associado ao seu registro de QuickSight usuário.

O resultado das duas opções é o mesmo: o usuário do IAM pode acessar QuickSight. No entanto, existem vantagens e desvantagens em cada uma, conforme mostrado na tabela a seguir. Por exemplo, o convite direto pode ser preferível para organizações que desejam impor o uso de endereços de e-mail corporativos aprovados.

Abordagem

Vantagens

Desvantagens

Convite direto

  • Os administradores podem controlar qual endereço de e-mail está associado ao registro do usuário no QuickSight

  • Sem tarefas de gerenciamento de políticas do IAM

  • Mais manual

Acesso autoprovisionado

  • Pode ser integrado aos processos operacionais de TI existentes para provisionar o acesso por meio de políticas do IAM, onde o recurso de autoprovisionamento já faz parte das políticas existentes do IAM

  • Os administradores não podem controlar qual endereço de e-mail o usuário fornece para QuickSight

Convite direto

Para obter instruções sobre como configurar o acesso para um usuário do IAM, consulte Convidar usuários para acessar a Amazon QuickSight. Observe o seguinte ao configurar esse tipo de acesso do usuário:

  • Para o QuickSight nome de usuário, insira o nome de usuário do IAM. Os caracteres permitidos são letras, números e os seguintes caracteres:. _ - (hífen).

  • Para usuário do IAM, escolha Sim.

  • O usuário tem sete dias para aceitar o convite. Se eles não aceitarem dentro desse período, você poderá reenviar o e-mail de convite.

  • Quando o usuário aceita o convite, ele deve inserir a senha associada às suas credenciais do IAM.

Acesso autoprovisionado

Quando os usuários do IAM podem autoprovisionar o acesso, eles não precisam ser convidados para a QuickSight conta. Na primeira vez que tentarem acessar o QuickSight console, precisarão inserir um endereço de e-mail. Quando o usuário escolhe Continuar, QuickSight cria um registro de usuário para esse usuário do IAM.

Para conceder permissão para provisionar seu próprio acesso, você cria uma política baseada em identidade e aplica essa política aos usuários do IAM ou ao grupo de usuários do IAM. Para obter mais informações, consulte Configurar políticas do IAM neste guia.