Gerenciando o acesso para usuários do IAM Identity Center

Aplica-se a: Enterprise Edition

Público-alvo: administradores de sistemas e administradores da Amazon QuickSight

AWS os administradores podem usar esse tópico para saber mais sobre o gerenciamento de contas integradas ao IAM Identity Center. As informações nesta seção também se aplicam às QuickSight contas que usamActive Directory.

Para gerenciar QuickSight usuários, você deve ter privilégios administrativos na Amazon QuickSight e também as AWS permissões apropriadas. Para obter mais informações sobre as AWS permissões necessárias, consulteExemplos de políticas do IAM para a Amazon QuickSight. Se estiver usando grupos de diretórios, você precisa ser um administrador de rede.

Cada conta da Amazon QuickSight Enterprise Edition pode ter um número ilimitado de usuários. Os nomes de usuário que contêm um ponto e vírgula ( ; ) não são compatíveis.

Use os procedimentos a seguir para adicionar, visualizar e desativar QuickSight usuários da Amazon.

Importante

Você não pode remapear QuickSight usuários ou grupos da Amazon de um repositório de identidades para outro. Por exemplo, se você estiver migrando de um Active Directory local para AWS Directory Service, ou vice-versa, você cancela a assinatura e reinscreve na Amazon. QuickSight Você precisa fazer isso, porque mesmo se os aliases do usuário permanecerem os mesmos, os dados de identidade subjacentes serão alterados. Para facilitar a transição, solicite com antecedência que seus usuários documentem todos os QuickSight ativos e configurações da Amazon antes da migração.

Como adicionar usuários

Com o IAM Identity Center, adicione usuários QuickSight associando seu grupo do IAM Identity Center a uma função de Admin, Admin Pro, Author, Author Pro, Reader ou Reader Pro em QuickSight. Todos os usuários nos grupos selecionados estão autorizados a fazer login na Amazon QuickSight.

Para obter mais informações sobre funções profissionais, QuickSight consulteComece a usar o Generative BI.

Para ver quais grupos estão integrados à sua QuickSight conta da Amazon, siga o procedimento emGerenciar acesso do usuário.

Gerenciar acesso do usuário

Use o procedimento a seguir para visualizar grupos atribuídos a uma função que concede acesso à Amazon QuickSight.

1. Abra o console de QuickSight .

2. Escolha Gerenciar e QuickSight, em seguida, escolha Gerenciar usuários.

3. Escolha Gerenciar grupos de funções.

4. Na página Gerenciar grupos de funções, use as tabelas para adicionar ou remover grupos no IAM Identity Center ou no Active Directory das funções de administrador, usuário ou leitor em QuickSight.

Desativar contas de usuário

A desativação de uma conta de QuickSight grupo ou usuário remove o acesso desse grupo ou usuário aos QuickSight recursos da Amazon, como análises ou conjuntos de dados. Usuários do IAM Identity Center ou do Active Directory que são removidos de um grupo que lhes concede acesso ao qual QuickSight perdem acesso QuickSight. Esses usuários aparecem na lista de usuários inativos QuickSight até o primeiro dia do mês seguinte. Depois disso, os usuários desativados são automaticamente removidos da lista de Usuários inativos. Antes de desativar um usuário, você pode atribuir novamente seus recursos a outro usuário com o console de gerenciamento de ativos.

Se você precisar reativar a conta de um QuickSight usuário posteriormente, coloque o usuário em um grupo com acesso à Amazon QuickSight. Isso restaura seu acesso à Amazon QuickSight e a quaisquer recursos existentes que ainda estejam associados a esse usuário.

nota

Com o IAM Identity Center integrado à sua QuickSight conta ou aos usuários do Active Directory, você pode alterar o tipo de função de um usuário movendo-o para um grupo associado a uma QuickSight função diferente. Se um usuário estiver em vários grupos mapeados para diferentes tipos de QuickSight função, o usuário poderá acessar QuickSight com a função que oferece o nível mais amplo de acesso. As contas que usam outros tipos de identidades não podem atualizar nem fazer o downgrade de um usuário transferindo-o a outros grupos. Para ter mais informações, consulte Alterando a função de um usuário.

Você pode ativar ou desativar vários usuários ao mesmo tempo adicionando ou removendo um ou mais grupos do IAM Identity Center ou do Active Directory associados a uma função na Amazon QuickSight.

Alterando a função de um usuário

Se você estiver usando o IAM Identity Center ou o Active Directory, poderá alterar a função de um usuário adicionando ou removendo-o de um grupo mapeado para a função à qual você deseja atribuir a ele. QuickSight Você também pode realizar essa tarefa adicionando um novo grupo a uma função no QuickSight. Para fazer isso, você precisa de privilégios administrativos na Amazon QuickSight e também de AWS permissões apropriadas.

Com os usuários integrados do IAM Identity Center, você pode alterar os tipos de função de um usuário movendo-o para um grupo associado a uma QuickSight função diferente. Se um usuário pertencer a vários grupos mapeados para diferentes tipos de função, o usuário poderá acessar QuickSight com a função que oferece o nível mais amplo de acesso.

Quando você faz alterações em usuários ou grupos na Amazon QuickSight, pode levar até cinco minutos para que a alteração entre em vigor. Alguns exemplos dessas alterações são:

• Excluir um usuário

• Alterar um usuário, de administrador para autor

• Adicionar ou remover membros do grupo

Nesse período de cinco minutos, as alterações são propagadas em todo o sistema.

Excluir contas Enterprise

Se um usuário for excluído do IAM Identity Center ou do Active Directory ou removido de um grupo associado a uma função no QuickSight, o usuário não existirá mais no QuickSight. Você não precisa excluir o usuário no QuickSight aplicativo. O usuário excluído aparecerá na lista de usuários inativos QuickSight até o primeiro dia do mês seguinte. Após essa data, o usuário é removido automaticamente da lista.