As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas de IAM para Quick
Esta seção fornece exemplos de políticas do IAM que você pode usar com o Quick.
Políticas baseadas em identidade do IAM para Quick
Esta seção mostra exemplos de políticas baseadas em identidade para usar com o Quick.
Políticas baseadas em identidade do IAM para administração do console Amazon Quick IAM
O exemplo a seguir mostra as permissões do IAM necessárias para as ações de administração do console Amazon Quick IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Políticas de IAM baseadas em identidade para Quick: painéis
O exemplo a seguir mostra uma política do IAM que permite o compartilhamento e incorporação de painéis para painéis específicos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Políticas baseadas em identidade do IAM para Quick: namespaces
Os exemplos a seguir mostram políticas do IAM que permitem que um administrador do Amazon Quick crie ou exclua namespaces.
Criar namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Excluir namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para Quick: permissões personalizadas
O exemplo a seguir mostra uma política do IAM que permite que um administrador ou desenvolvedor do Amazon Quick gerencie permissões personalizadas.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick: personalização de modelos de relatórios por e-mail
O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail no Amazon Quick, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um administrador do Amazon Quick crie e atualize modelos de relatórios de e-mail personalizados e confirme que qualquer endereço de e-mail personalizado do qual ele queira enviar relatórios por e-mail é uma identidade verificada no SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick: crie uma conta corporativa com usuários gerenciados do Amazon Quick
O exemplo a seguir mostra uma política que permite aos administradores do Amazon Quick criar uma conta Amazon Quick da edição Enterprise com usuários gerenciados do Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para Quick: criação de usuários
O exemplo a seguir mostra uma política que permite criar somente usuários do Amazon Quick. Em quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, você pode limitar as permissões para "Resource":
"arn:aws:quicksight::. Para todas as demais permissões descritas neste guia, use <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". O recurso que você especificar limita o escopo das permissões para o recurso especificado.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Políticas baseadas em identidade do IAM para Quick: criação e gerenciamento de grupos
O exemplo a seguir mostra uma política que permite que administradores e desenvolvedores do Amazon Quick criem e gerenciem grupos.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Políticas de IAM baseadas em identidade para Quick: All access for Standard Edition
O exemplo a seguir da edição Amazon Quick Standard mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a edição Quick: All Access for Enterprise com o IAM Identity Center (Pro roles)
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite que um usuário do Amazon Quick assine o Amazon Quick, crie usuários e gerencie o Active Directory em uma conta do Amazon Quick integrada ao IAM Identity Center.
Essa política também permite que os usuários assinem funções do Amazon Quick Pro que concedem acesso ao Amazon Q em recursos de BI generativo rápido. Para obter mais informações sobre funções profissionais no Amazon Quick, consulte Comece a usar o Generative BI.
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para Quick: All Access for Enterprise Edition com o IAM Identity Center
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta Amazon Quick integrada ao IAM Identity Center.
Essa política não concede permissões para criar funções Pro no Amazon Quick. Para criar uma política que conceda permissão para assinar funções Pro no Amazon Quick, consulte Políticas baseadas em identidade do IAM para o Amazon Quick: acesso total à edição Enterprise com o IAM Identity Center (funções Pro).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para Quick: acesso total à edição Enterprise com o Active Directory
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta do Amazon Quick que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para Quick: grupos do Active Directory
O exemplo a seguir mostra uma política do IAM que permite o gerenciamento de grupos do Active Directory para uma conta da edição Amazon Quick Enterprise.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas baseadas em identidade do IAM para Quick: usando o console de gerenciamento de ativos administrativos
O exemplo a seguir mostra uma política do IAM que permite o acesso ao console de gerenciamento de ativos do administrador.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para o Quick: usando o console de gerenciamento de chaves administrativas
O exemplo a seguir mostra uma política do IAM que permite acesso ao console de gerenciamento de chaves do administrador.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
As "kms:ListAliases" permissões "quicksight:ListKMSKeysForUser" e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do console do Amazon Quick. "quicksight:ListKMSKeysForUser"e não "kms:ListAliases" são obrigados a usar o gerenciamento de chaves Amazon Quick APIs.
Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à UpdateKeyRegistration condição com a chave de quicksight:KmsKeyArns condição. Os usuários podem acessar somente as chaves especificadas em UpdateKeyRegistration. Para obter mais informações sobre as chaves de condição compatíveis com o Amazon Quick, consulte Chaves de condição para o Amazon Quick.
O exemplo abaixo concede Describe permissões para todos os CMKs que estão registrados em uma conta Amazon Quick e Update permissões para específicos CMKs que estão registrados na conta Amazon Quick.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS resources Quick: políticas de escopo na edição Enterprise
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
