As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 1: configurar permissões
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um QuickSight assume uma função que lhe dá QuickSight acesso e permissões da Amazon para a sessão do console. Para tornar isso possível, crie uma função do IAM em sua conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. Adicione quicksight:RegisterUser permissões para garantir que o leitor possa acessar QuickSight somente para leitura e não tenha acesso a nenhum outro recurso de dados ou criação. Além disso, o perfil do IAM precisa fornecer permissões para recuperar os URLs da sessão do console. Para isso, você adiciona quicksight:GenerateEmbedUrlForRegisteredUser.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro AllowedDomains de uma operação de API GenerateEmbedUrlForAnonymousUser. O parâmetro AllowedDomains é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar QuickSight. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro AllowedDomains.
O modelo de política a seguir fornece essas permissões.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": [ "arn:partition:quicksight:region:accountId:user/namespace/userName" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }
O exemplo de política a seguir fornece permissão para recuperar um URL da sessão do console. Você pode usar a política sem quicksight:RegisterUser, se estiver criando usuários antes que eles acessem uma sessão incorporada.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": [ "arn:partition:quicksight:region:accountId:user/namespace/userName" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que quando um usuário acessa seu aplicativo, seu aplicativo pode assumir a função em nome do usuário e provisioná-lo. QuickSight O exemplo apresentado a seguir mostra um exemplo de política de confiança.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do Guia do usuário do IAM:
