Personalizando o acesso ao console da Amazon QuickSight - Amazon QuickSight
Aplicar um perfil de permissões personalizadas a um perfilAplicar um perfil de permissões personalizado a um IAM usuário

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Personalizando o acesso ao console da Amazon QuickSight

 Aplica-se a: Enterprise Edition 
   Público-alvo: administradores e desenvolvedores da Amazon QuickSight  

Na edição Enterprise, você pode restringir a funcionalidade que as pessoas podem acessar na Amazon QuickSight. As permissões QuickSight personalizadas da Amazon são aplicadas por meio de IAM políticas. Você pode configurar permissões personalizadas para funções (administrador, autor, leitor) para todos os tipos de identidade em QuickSight. Você também pode aplicar permissões personalizadas em nível de usuário aos AWS Identity and Access Management usuários. As permissões personalizadas em nível de usuário substituem as permissões de nível de perfil padrão ou personalizadas existentes de um perfil para o usuário especificado.

As limitações a seguir se aplicam às permissões personalizadas em nível de usuário.

  • Você não pode conceder permissões que estejam acima da função padrão do usuário. Por exemplo, se um usuário tiver acesso de leitor, você não poderá conceder permissões para que esse usuário edite painéis.

  • Para personalizar as permissões, você precisa ser um QuickSight administrador com permissões de uso"quicksight:CustomPermissions".

IAMpolíticas e QuickSight permissões não são a mesma coisa. Um usuário pode receber permissões de acesso e atribuir uma função com uma IAM política, mas a IAM política não controla o que esse usuário pode fazer dentro dela QuickSight. QuickSight os ativos têm seus próprios conjuntos de permissões que são usados para personalizar QuickSight — recursos específicos. Essas permissões são tratadas no nível do recurso externo. IAM

Você pode criar perfis de permissões personalizadas para restringir o acesso a qualquer combinação das operações a seguir.

Ativo Permissões personalizáveis

Fontes de dados e conjuntos de dados

Criar ou atualizar a fonte de dados

Criar ou atualizar o conjunto de dados

Compartilhar conjunto de dados

Painéis e análises

Adicionar ou executar a detecção de anomalias

Criar ou atualizar o tema

Exportar para CSV ou Excel

Compartilhar

Pastas

Criar pasta compartilhada

Renomear pasta compartilhada

Relatórios

Criar

Atualizar

Assinar relatórios por e-mail

Os itens adicionados às pastas compartilhadas são compartilhados independentemente das permissões personalizadas dos ativos. Isso se aplica a painéis, análises, conjuntos de dados e fontes de dados.

Use o procedimento a seguir para criar um perfil de permissões personalizadas no QuickSight.

Para criar um perfil de permissões personalizadas

  1. Em qualquer página do QuickSight console, escolha Gerenciar QuickSight no canto superior direito.

    Somente QuickSight administradores têm acesso à opção de QuickSight menu Gerenciar. Se você não tiver acesso ao QuickSight menu Gerenciar, entre em contato com o QuickSight administrador para obter ajuda.

  2. Escolha Security & permissions (Segurança e permissões).

  3. Em Gerenciar permissões, escolha Gerenciar.

  4. Escolha uma das seguintes opções.

    • Para editar ou visualizar um perfil de permissões personalizadas existente, escolha as reticências (três pontos) ao lado do perfil que você deseja e, em seguida, escolha Visualizar/Editar.

    • Para criar um novo perfil de permissões personalizadas, escolha Criar.

  5. Se você quiser criar ou atualizar um perfil de permissões personalizadas, faça seleções para os itens a seguir.

    • Em Nome, insira um nome para o seu perfil de permissões personalizadas.

    • Em Restrições, escolha as opções que você deseja negar. Qualquer opção que você não escolher é permitida. Por exemplo, se você não quiser que os usuários criem ou atualizem fontes de dados, mas concorda que façam qualquer outra coisa, selecione apenas Criar ou atualizar fontes de dados.

  6. Selecione Criar ou Atualizar para confirmar suas escolhas. Para voltar sem fazer nenhuma alteração, escolha Voltar.

  7. Depois de fazer as alterações, registre o nome do perfil de permissões personalizadas. Forneça o nome do perfil de permissões personalizado aos API usuários para que eles possam aplicar o perfil de permissões personalizadas às funções ou aos usuários.

Aplique um perfil de permissões personalizado a uma QuickSight função com o QuickSight API

Depois de criar um perfil de permissões personalizado, use o QuickSight API para adicionar ou alterar o perfil de permissões personalizado atribuído a uma função.

Antes de começar, você precisa instalar e configurar AWS CLI o. Para obter mais informações sobre a instalação do AWS CLI, consulte Instalar ou atualizar a versão mais recente do AWS CLI e Configurar o AWS CLI no Guia AWS Command Line Interface do usuário. Você também precisa de permissões para usar QuickSight API o.

O exemplo a seguir chama o UpdateRoleCustomPermission API para atualizar as permissões personalizadas atribuídas a uma função.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

O exemplo a seguir retorna o perfil de permissões personalizadas atribuído a um perfil.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

O exemplo a seguir exclui um perfil de permissões personalizadas de um perfil.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Aplique um perfil de permissões personalizado a um IAM usuário com o QuickSight API

O exemplo a seguir adiciona permissões personalizadas a um novo IAM usuário.

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

Você também pode associar um IAM usuário existente a um novo perfil de permissões. O exemplo a seguir atualizou o perfil de permissões personalizadas de um IAM usuário existente.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

O exemplo abaixo remove um usuário existente de um perfil de permissões.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

Para testar as permissões personalizadas aplicadas a um perfil ou usuário, faça login na conta do usuário. Quando um usuário faz login QuickSight, ele recebe o maior privilégio ao qual tem acesso. O perfil privilegiado mais alto que um usuário pode receber é o de administrador. O perfil menos privilegiado que um usuário pode receber é o de leitor. Para obter mais informações sobre funções na Amazon QuickSight, consulteGerenciando o acesso de usuários dentro da Amazon QuickSight.

Se você atribuir um perfil de permissões personalizadas que restringe o compartilhamento da fonte de dados ao perfil do autor, esse autor não poderá mais acessar os controles que permitem o compartilhamento da fonte de dados. Em vez disso, o autor afetado tem permissões somente de visualização na fonte de dados.