Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración para Quick
Esta sección le ayuda a comprender cómo configurar la administración de identidades y accesos y a controlar el registro de los usuarios al configurar una instancia Amazon Quick.
**nota**
Para obtener información sobre cómo configurar una instancia de Amazon Quick, incluida la creación de una AWS cuenta, la suscripción a Amazon Quick y el inicio de sesión en Amazon Quick, consulte [Configuración e inicio de sesión en Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/setting-up.html).
**Topics**
+ [Uso de políticas de control de servicios para restringir las opciones de registro rápido de Amazon](security-scp-admin.md)
+ [Gestión de identidades y accesos en Quick](identity.md)
+ [Permitir publicar dominios de Amazon Quick](allowlist-domains.md)
# Uso de políticas de control de servicios para restringir las opciones de registro rápido de Amazon
Si eres administrador en AWS Organizations, puedes usar las políticas de control de servicios (SCPs) para restringir la forma en que las personas de tu organización pueden suscribirse a Amazon Quick. Puedes restringir la edición de Quick a la que pueden suscribirse y también el tipo de usuario al que pueden suscribirse.
AWS Organizations es un servicio de administración de cuentas de usuario que puede utilizar para consolidar varias AWS cuentas en una organización que puede crear y administrar de forma centralizada. Puede usarlo SCPs AWS Organizations para administrar los permisos de su organización. Para obtener más información, consulta [¿Qué es AWS Organizations?](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) y [Políticas de control de servicios](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía AWS Organizations del usuario*.
En el siguiente tema, puedes obtener información sobre dos formas de restringir las opciones de registro rápido mediante el uso SCPs de AWS Organizations. El tema incluye un ejemplo de SCP. Para obtener más información sobre la creación SCPs, consulta los siguientes temas de la *Guía del AWS Organizations usuario*:
+ [Creación, actualización y eliminación de políticas de control de servicio](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Sintaxis de SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Estrategias de uso SCPs](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [Restringir la edición rápida](#security-scp-edition)
+ [Limitación de las opciones de administración de usuarios](#security-scp-user)
+ [SCP de ejemplo](#security-scp-example)
## Restringir la edición rápida
Para restringir la edición de Quick a la que pueden suscribirse sus cuentas gestionadas, utilice la clave de `quicksight:Edition` condición de su SCP. Los valores de esta clave se muestran y describen en la siguiente tabla.
| Nombre de clave | Valor de la clave | Description (Descripción) |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Amazon Quick Edición Estándar |
| | `enterprise` | Edición Amazon Quick Enterprise |
## Limitación de las opciones de administración de usuarios
Para restringir las opciones de administración de usuarios que las personas de su organización pueden usar para suscribirse a Quick, use la clave de `quicksight:DirectoryType` condición de su SCP. Los valores de esta clave se muestran y describen en la siguiente tabla.
| Nombre de clave | Valor de la clave | Description (Descripción) |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | Identidades federadas de IAM y usuarios gestionados por Amazon Quick |
| | `iam` | Solo identidades federadas de IAM |
| | `microsoft_ad` | Usuarios administrados en Microsoft Active Directory en AWS Directory Service for Microsoft Active Directory |
| | `ad_connector` | Los usuarios se administran en Active Directory local y se conectan a través de AD\$1Connector a AWS Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | Los usuarios se administran en una cuenta Amazon Quick que está integrada con IAM Identity Center. |
## SCP de ejemplo
El siguiente ejemplo de Quick muestra una política de control de servicios que deniega la suscripción a una Amazon Quick Standard Edition e impide la posibilidad de registrarse mediante la autenticación del IAM Identity Center. Esta política utiliza la acción `quicksight:Subscribe`, además de las claves de condición descritas anteriormente. Para obtener una lista de las claves específicas de Amazon Quick para su uso en las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para ver Quick](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html) in the *Service* Authorization Reference.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
Con esta política en vigor, los miembros de una organización solo pueden suscribirse a Amazon Quick Enterprise Edition y deben utilizar métodos de autenticación distintos del IAM Identity Center. Si intentan suscribirse a Amazon Quick Standard Edition o intentan utilizar la autenticación del Centro de Identidad de IAM, no podrán registrarse y recibirán un mensaje en el que se les explica que no tienen los permisos adecuados.
# Gestión de identidades y accesos en Quick
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público objetivo: administradores de sistemas y administradores de Amazon Quick |
Puede utilizar las siguientes herramientas para identificar y acceder a Quick:
+ [IAM Identity Cente](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (solo en la edición Enterprise)
+ [Federación de IAM](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (ediciones Standard y Enterprise)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (solo en la edición Enterprise)
+ Inicio de [sesión único basado en SAML (ediciones](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) Standard y Enterprise)
+ [Autenticación multifactor (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (ediciones Standard y Enterprise)
**nota**
En las regiones que se indican a continuación, las cuentas de Amazon Quick solo pueden usar el [Centro de identidad de IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) para la administración de identidades y accesos.
`af-south-1` África (Ciudad del Cabo)
`ap-southeast-3` Asia-Pacífico (Yakarta)
`ap-southeast-5`Asia Pacífico (Malasia)
`eu-south-1` Europa (Milán)
`eu-central-2` Europa (Zúrich)
Las siguientes secciones le ayudan a configurar el método de administración de identidades que prefiera para Quick.
**Topics**
+ [Uso de IAM](iam.md)
+ [Uso del Centro de identidades de IAM](setting-up-sso.md)
+ [Federación de IAM](iam-federation.md)
+ [Uso de Active Directory con la edición Amazon Quick Enterprise](aws-directory-service.md)
+ [Uso de la autenticación multifactorial (MFA) con Amazon Quick](using-multi-factor-authentication-mfa.md)
# Uso de IAM
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de Amazon Quick. El IAM es un Servicio de AWS servicio que puede utilizar sin coste adicional.
**Topics**
+ [Introducción a conceptos de IAM](security_iam_concepts.md)
+ [Uso de Quick con IAM](security_iam_service-with-iam.md)
+ [Transferir las funciones de IAM a Quick](security-create-iam-role.md)
+ [Ejemplos de políticas de IAM para Quick](iam-policy-examples.md)
+ [Aprovisionamiento de usuarios para Amazon Quick](provisioning-users.md)
+ [Solución de problemas de identidad y acceso rápidos](security_iam_troubleshoot.md)
# Introducción a conceptos de IAM
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma más segura el acceso a los AWS recursos. Los administradores controlan quién puede *autenticarse (iniciar* sesión) y quién *está autorizado* (tiene permisos) para usar los recursos de Amazon Quick. IAM es un servicio de AWS que puede utilizar sin cargo adicional.
IAM se usa con Amazon Quick de varias maneras, incluidas las siguientes:
+ Si su empresa utiliza IAM para la gestión de identidades, es posible que las personas tengan nombres de usuario y contraseñas de IAM que utilicen para iniciar sesión en Amazon Quick.
+ Si quieres que tus usuarios de Amazon Quick se creen automáticamente al iniciar sesión por primera vez, puedes usar IAM para crear una política para los usuarios que tienen autorización previa para usar Amazon Quick.
+ Si desea crear un acceso especializado para grupos específicos de usuarios de Amazon Quick o a recursos específicos, puede utilizar las políticas de IAM para lograrlo.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
## Público
Utilice el siguiente contenido de ayuda para comprender el contexto de la información que se proporciona en esta sección, y cómo se aplica a su rol. La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo que realices en Amazon Quick.
**Usuario del servicio**: en algunos casos, puede utilizar Amazon Quick como autor o lector para interactuar con los datos, los análisis y los paneles, los espacios y los agentes a través de Amazon Quick mediante la interfaz del navegador. En estos casos, esta sección solo le proporciona información básica. No interactúas directamente con el servicio de IAM, excepto si utilizas IAM para iniciar sesión en Amazon Quick.
**Administrador de Amazon Quick**: si está a cargo de los recursos de Amazon Quick en su empresa, probablemente tenga acceso completo a Amazon Quick. Es tu trabajo determinar a qué funciones y recursos de Amazon Quick deben acceder los miembros de tu equipo. Si tiene requisitos especializados que no puede resolver mediante el panel de administración de Amazon Quick, puede trabajar con su administrador para crear políticas de permisos para sus usuarios de Amazon Quick. Para obtener más información sobre IAM, lea esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con Amazon Quick, consulte [Uso de Amazon Quick con IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrador**: si eres administrador del sistema, quizás te interese obtener más información sobre cómo puedes redactar políticas para administrar el acceso a Amazon Quick. Para ver ejemplos de políticas basadas en la identidad de Amazon Quick que puede utilizar en IAM, consulte Políticas de IAM [basadas en la identidad](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) de Amazon Quick.
## Autenticación con identidades
La autenticación es la forma de iniciar sesión con sus credenciales de identidad. AWS Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Cuenta de AWS usuario root](#security_iam_authentication-rootuser)
+ [Usuarios y grupos de IAM](#security_iam_authentication-iamuser)
+ [Roles de IAM](#security_iam_authentication-iamrole)
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Uso de Quick con IAM
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
Antes de utilizar IAM para gestionar el acceso a Amazon Quick, debe saber qué funciones de IAM están disponibles para su uso con Amazon Quick. Para obtener una visión general de cómo Amazon Quick y otros AWS servicios funcionan con IAM, consulte [AWS Servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Topics**
+ [Políticas rápidas de Amazon (basadas en la identidad)](#security_iam_service-with-iam-id-based-policies)
+ [Políticas de Amazon Quick (basadas en recursos)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas rápidas de Amazon](#security_iam_service-with-iam-tags)
+ [Funciones de Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Políticas rápidas de Amazon (basadas en la identidad)
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Quick admite claves de condición, recursos y acciones específicas. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Puedes usar credenciales AWS raíz o credenciales de usuario de IAM para crear una cuenta Amazon Quick. AWS Las credenciales root y de administrador ya cuentan con todos los permisos necesarios para gestionar el acceso rápido a AWS los recursos de Amazon.
No obstante, es aconsejable que proteja sus credenciales raíz y en su lugar utilice credenciales de usuario de IAM. Para ello, puede crear una política y adjuntarla al usuario y las funciones de IAM que piensa utilizar para Amazon Quick. La política debe incluir las declaraciones adecuadas para las tareas administrativas de Amazon Quick que debe realizar, tal y como se describe en las siguientes secciones.
**importante**
Tenga en cuenta lo siguiente cuando trabaje con las políticas de Quick e IAM:
Evite modificar directamente una política creada por Quick. Si la modifica usted mismo, Quick no podrá editarla. Esta incapacidad puede provocar un problema con la política. Para solucionar este problema, elimine la política modificada anteriormente.
Si aparece un error en los permisos al intentar crear una cuenta de Amazon Quick, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) en la *Guía del usuario de IAM*.
En algunos casos, es posible que tengas una cuenta Amazon Quick a la que no puedas acceder ni siquiera desde la cuenta raíz (por ejemplo, si has eliminado accidentalmente su servicio de directorio). En este caso, puedes eliminar tu antigua cuenta de Amazon Quick y volver a crearla. Para obtener más información, consulta [Eliminar tu suscripción a Amazon Quick y cerrar la cuenta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Acciones](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Ejemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en Amazon Quick utilizan el siguiente prefijo antes de la acción:`quicksight:`. Por ejemplo, para conceder a alguien permiso para ejecutar una instancia de Amazon EC2 con la operación `RunInstances` de la API de Amazon EC2, debe incluir la acción `ec2:RunInstances` en la política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Quick define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Create`, incluya la siguiente acción:
```
"Action": "quicksight:Create*"
```
Amazon Quick proporciona una serie de acciones AWS Identity and Access Management (IAM). Todas las acciones rápidas de Amazon llevan el prefijo`quicksight:`, por ejemplo`quicksight:Subscribe`. Para obtener información sobre el uso de las acciones rápidas de Amazon en una política de IAM, consulta los [ejemplos de políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Para ver la mayor parte de la up-to-date lista de acciones rápidas de Amazon, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El siguiente es un ejemplo de política. Significa que el intermediario que tiene esta política asociada puede invocar la operación `CreateGroupMembership` para cualquier grupo, siempre que el nombre de usuario que se añade al grupo no sea `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Algunas acciones rápidas de Amazon, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Algunas acciones de la API de se utilizan varios recursos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver una lista de los tipos de recursos de Amazon Quick y sus nombres de recursos de Amazon (ARNs), consulte [Recursos definidos por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) en la *Guía del usuario de IAM*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Amazon Quick no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) del usuario de *IAM*.
### Ejemplos
Para ver ejemplos de políticas de Amazon Quick basadas en la identidad, consulta [Amazon Quick Policies (basadas en la identidad)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Políticas de Amazon Quick (basadas en recursos)
Amazon Quick no admite políticas basadas en recursos. Sin embargo, puede utilizar la consola Amazon Quick para configurar el acceso a otros AWS recursos de su Cuenta de AWS.
## Autorización basada en etiquetas rápidas de Amazon
Amazon Quick no admite el etiquetado de recursos ni el control del acceso en función de las etiquetas.
## Funciones de Amazon Quick IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de su AWS cuenta que tiene permisos específicos. Puedes usar las funciones de IAM para agrupar los permisos y facilitar la administración del acceso de los usuarios a Amazon Quick Actions.
Amazon Quick no admite las siguientes funciones de rol:
+ Roles vinculados a servicios.
+ Roles de servicio.
+ Credenciales temporales (uso directo): sin embargo, Amazon Quick usa credenciales temporales para permitir a los usuarios asumir una función de IAM para acceder a los paneles integrados. Para obtener más información, consulte [Análisis integrados para Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Para obtener más información sobre cómo Amazon Quick utiliza las funciones de IAM, consulte [Uso de Amazon Quick con IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) y ejemplos de [políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Transferir las funciones de IAM a Quick
| |
| --- |
| Se aplica a: Enterprise Edition |
Cuando sus usuarios de IAM se registran en Quick, pueden optar por utilizar la función gestionada por Amazon Quick (esta es la función predeterminada). O bien, pueden transferir una función de IAM existente a Amazon Quick.
Utilice las siguientes secciones para transferir las funciones de IAM existentes a Amazon Quick
**Topics**
+ [Requisitos previos](#security-create-iam-role-prerequisites)
+ [Asociación de políticas adicionales](#security-create-iam-role-athena-s3)
+ [Uso de las funciones de IAM existentes en Quick](#security-create-iam-role-use)
## Requisitos previos
Para que los usuarios transfieran las funciones de IAM a Amazon Quick, el administrador debe realizar las siguientes tareas:
+ **Cree un rol de IAM.** Para obtener más información sobre la creación de roles, consulte [Creación de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) en la *Guía del usuario de IAM*.
+ **Adjunta una política de confianza a tu función de IAM que permita a Amazon Quick asumir esa función**. Use el siguiente ejemplo para crear una política de confianza para el rol. El siguiente ejemplo de política de confianza permite al director de Quick asumir la función de IAM a la que está vinculado.
Para obtener más información sobre cómo crear políticas de confianza de IAM y asociarlas a los roles, consulte [Modificación de un rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) en la *Guía del usuario de IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Asigne los siguientes permisos de IAM a su administrador (usuarios o roles de IAM)**:
+ `quicksight:UpdateResourcePermissions`— Esto concede a los usuarios de IAM que son administradores de Amazon Quick el permiso para actualizar los permisos a nivel de recursos en Amazon Quick. Para obtener más información sobre los tipos de recursos definidos por Amazon Quick, consulte [Acciones, recursos y claves de condición de Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) en la *Guía del usuario de IAM*.
+ `iam:PassRole`— Esto otorga a los usuarios permiso para transferir funciones a Amazon Quick. Para obtener más información, consulte [Otorgar permisos a un usuario para transferir un rol a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) en la *Guía del usuario de IAM*.
+ `iam:ListRoles`— (Opcional) Esto otorga a los usuarios permiso para ver una lista de las funciones existentes en Amazon Quick. Si no se proporciona este permiso, pueden usar un ARN para usar los roles de IAM existentes.
El siguiente es un ejemplo de una política de permisos de IAM que permite gestionar los permisos a nivel de recursos, enumerar las funciones de IAM y transferir las funciones de IAM en Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Para ver más ejemplos de políticas de IAM que puedes usar con Amazon Quick, consulta [Ejemplos de políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Para obtener más información sobre cómo asignar políticas de permisos a usuarios y grupos de usuarios, consulte [Cambio de los permisos de un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de IAM*.
## Asociación de políticas adicionales
Si utiliza otro AWS servicio, como Amazon Athena o Amazon S3, puede crear una política de permisos que conceda permiso a Amazon Quick para realizar acciones específicas. A continuación, puede adjuntar la política a las funciones de IAM y transferirlas posteriormente a Amazon Quick. Los siguientes son ejemplos de cómo puede configurar y asociar políticas de permisos adicionales a sus roles de IAM.
Para ver un ejemplo de política gestionada para Amazon Quick en Athena, consulte [Política AWSQuicksight AthenaAccess gestionada](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) en la Guía del usuario de *Amazon Athena*. Los usuarios de IAM pueden acceder a este rol en Amazon Quick mediante el siguiente ARN`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`:.
El siguiente es un ejemplo de una política de permisos para Amazon Quick en Amazon S3. Para obtener más información sobre el uso de IAM con Amazon S3, consulte [Identity and Access Management en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) en la *Guía del usuario de Amazon S3*.
Para obtener información sobre cómo crear un acceso multicuenta desde Amazon Quick a un bucket de Amazon S3 de otra cuenta, consulte [¿Cómo configuro el acceso multicuenta desde Quick a un bucket de Amazon S3 de otra](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) cuenta? en el Centro de AWS conocimiento.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Uso de las funciones de IAM existentes en Quick
Si es administrador de Amazon Quick y tiene permisos para actualizar los recursos de Amazon Quick y transferir funciones de IAM, puede utilizar las funciones de IAM existentes en Amazon Quick. Para obtener más información sobre los requisitos previos para pasar a las funciones de IAM en Amazon Quick, consulte los [requisitos previos](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritos en la lista anterior.
Utilice el siguiente procedimiento para obtener información sobre cómo transferir funciones de IAM en Amazon Quick.
**Para usar un rol de IAM existente en Amazon Quick**
1. En Amazon Quick, elige el nombre de tu cuenta en la barra de navegación de la parte superior derecha y selecciona **Administrar QuickSight**.
1. En la página **Gestionar Amazon Quick** que se abre, selecciona **Seguridad y permisos** en el menú de la izquierda.
1. En la página **Seguridad y permisos** que se abre, en **Amazon Quick access to AWS services**, selecciona **Administrar**.
1. En **Rol de IAM**, elija **Usar un rol existente** y, a continuación, realice una de las siguientes acciones:
+ Seleccione el rol que quiera utilizar de la lista.
+ O bien, si no ve una lista de los roles de IAM existentes, puede introducir el ARN de IAM para el rol en el siguiente formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Seleccione **Save**.
# Ejemplos de políticas de IAM para Quick
En esta sección se proporcionan ejemplos de políticas de IAM que puede utilizar con Quick.
## Políticas de IAM basadas en la identidad para Quick
En esta sección se muestran ejemplos de políticas basadas en la identidad para usar con Quick.
**Topics**
+ [Políticas de IAM basadas en la identidad para la administración de la consola Amazon Quick IAM](#security_iam_conosole-administration)
### Políticas de IAM basadas en la identidad para la administración de la consola Amazon Quick IAM
El siguiente ejemplo muestra los permisos de IAM necesarios para las acciones de administración de la consola Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: paneles
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: espacios de nombres
Los siguientes ejemplos muestran las políticas de IAM que permiten a un administrador de Amazon Quick crear o eliminar espacios de nombres.
**Creación de espacios de nombres**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Eliminación de espacios de nombres**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: permisos personalizados
El siguiente ejemplo muestra una política de IAM que permite a un administrador o desarrollador de Amazon Quick gestionar permisos personalizados.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: personalización de las plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico en Amazon Quick, así como obtener atributos de verificación para una identidad de Amazon Simple Email Service. Esta política permite a un administrador de Amazon Quick crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: cree una cuenta empresarial con los usuarios gestionados por Amazon Quick
El siguiente ejemplo muestra una política que permite a los administradores de Amazon Quick crear una cuenta Amazon Quick de la edición Enterprise con los usuarios gestionados por Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente usuarios de Amazon Quick. En `quicksight:CreateReader`, `quicksight:CreateUser` y `quicksight:CreateAdmin`, puede limitar los permisos a **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Para el resto de los permisos que se describen en esta guía, utilice **"Resource": "\$1"**. El recurso que especifique limita el alcance de los permisos para el recurso especificado.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: creación y gestión de grupos
El siguiente ejemplo muestra una política que permite a los administradores y desarrolladores de Amazon Quick crear y gestionar grupos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Standard
El siguiente ejemplo de la edición Amazon Quick Standard muestra una política que permite suscribirse y crear autores y lectores. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite a un usuario de Amazon Quick suscribirse a Amazon Quick, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles de Amazon Quick Pro que otorgan acceso a Amazon Q en las capacidades de BI de generación rápida. Para obtener más información sobre los roles profesionales en Amazon Quick, consulte [Comenzar con la BI generativa](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para la edición Quick: acceso total para empresas con IAM Identity Center
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política no concede permisos para crear roles Pro en Amazon Quick. Para crear una política que conceda permiso para suscribirse a los roles Pro en Amazon Quick, consulte las políticas de [IAM basadas en la identidad de Amazon Quick: All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)roles Pro).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de Amazon Quick que usa Active Directory para la administración de identidades. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de grupos de Active Directory para una cuenta de Amazon Quick Enterprise Edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de activos
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de claves
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Los `"kms:ListAliases"` permisos `"quicksight:ListKMSKeysForUser"` y son necesarios para acceder a las claves gestionadas por el cliente desde la consola Amazon Quick. `"quicksight:ListKMSKeysForUser"`y no `"kms:ListAliases"` están obligados a utilizar la gestión de claves rápidas de Amazon APIs.
Para especificar a qué claves quiere que un usuario pueda acceder, añada a ARNs la `UpdateKeyRegistration` condición las claves a las que desea que el usuario acceda con la clave de `quicksight:KmsKeyArns` condición. Los usuarios solo pueden acceder a las claves especificadas en `UpdateKeyRegistration`. Para obtener más información sobre las claves de estado compatibles con Amazon Quick, consulta [Claves de estado de Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
El siguiente ejemplo concede `Describe` permisos a todos los CMKs que estén registrados en una cuenta Amazon Quick y `Update` permisos a determinados CMKs que estén registrados en la cuenta Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS Resources Quick: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Aprovisionamiento de usuarios para Amazon Quick
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Destinatarios: administradores de sistemas y administradores de Amazon Quick |
## Autoaprovisionamiento de un administrador de Amazon Quick
Los administradores de Amazon Quick son usuarios que también pueden gestionar las funciones de Amazon Quick, como la configuración de la cuenta y las cuentas. También pueden comprar suscripciones de usuario de Amazon Quick adicionales, comprar [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) y cancelar la suscripción a Amazon Quick para usted Cuenta de AWS.
Puedes usar una política de AWS usuario o grupo para que los usuarios puedan añadirse a sí mismos como administradores de Amazon Quick. Los usuarios a los que se les haya concedido esta capacidad solo pueden agregarse a sí mismos como administradores y no pueden usar esta política para agregar a otros. Sus cuentas se activan y se pueden facturar la primera vez que abren Amazon Quick. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateAdmin`.
Como alternativa, puede usar el siguiente procedimiento para usar la consola y configurar o crear el administrador de Amazon Quick.
**Para convertir a un usuario en administrador de Amazon Quick**
1. Cree el AWS usuario:
+ Utilice IAM para crear el usuario que desee que sea el administrador de Amazon Quick. O bien, identifique un usuario existente de IAM para el rol de administrador. También puede poner al usuario dentro de un nuevo grupo para facilitar su gestión.
+ Otorgue al usuario (o grupo) permisos suficientes.
1. Inicie sesión en su cuenta Consola de administración de AWS con las credenciales del usuario objetivo.
1. Vaya a [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), escriba la dirección de correo electrónico del usuario de destino y, a continuación, elija **Continuar**.
En caso de éxito, el usuario objetivo pasa a ser administrador de Amazon Quick.
## Autoaprovisionamiento de un autor de Amazon Quick
Los autores de Amazon Quick pueden crear fuentes de datos, conjuntos de datos, análisis y paneles. Pueden compartir análisis y paneles con otros usuarios de Amazon Quick en su cuenta de Amazon Quick. Sin embargo, no tienen acceso al menú **rápido Gestionar Amazon**. No pueden cambiar la configuración de la cuenta, administrar cuentas, comprar suscripciones de usuario adicionales de Amazon Quick o capacidad de [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ni cancelar la suscripción a Amazon Quick por ti Cuenta de AWS. Los usuarios de Author Pro también pueden crear contenido en lenguaje natural, crear bases de conocimiento, configurar acciones y acceder a funciones de automatización avanzadas.
Puedes usar una política de AWS usuario o grupo para que los usuarios puedan crear una cuenta de autor de Amazon Quick para sí mismos. Sus cuentas se activan y se pueden facturar la primera vez que abren Amazon Quick. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateUser`.
## Autoaprovisionamiento de un usuario de solo lectura de Amazon Quick
Los usuarios o *lectores* de Amazon Quick de solo lectura pueden ver y manipular los paneles que se comparten con ellos, pero no pueden realizar ningún cambio ni guardar un panel para analizarlo más a fondo. Los lectores rápidos de Amazon no pueden crear fuentes de datos, conjuntos de datos, análisis ni imágenes. No pueden hacer ninguna tarea administrativa. Elija esta función para las personas que son consumidores de los paneles pero no crean sus propios análisis, como por ejemplo, ejecutivos. Los usuarios de Reader Pro tienen acceso a funciones avanzadas, como agentes de chat de IA, espacios de colaboración, flujos y extensiones.
Si utiliza Microsoft Active Directory con Amazon Quick, puede gestionar los permisos de solo lectura mediante un grupo. De lo contrario, puedes invitar a usuarios de forma masiva a utilizar Amazon Quick. También puedes usar una política de AWS usuario o grupo para que las personas puedan crear una cuenta de Amazon Quick Reader para sí mismas.
Las cuentas de los lectores se activan y se pueden facturar la primera vez que abren Amazon Quick. Si decide cambiar el tipo de usuario de alguien, la facturación de ese usuario se prorratea para un mes. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateReader`.
Los lectores que se utilizan para actualizar los paneles de forma automática o mediante programación para casos de uso prácticamente en tiempo real deben elegir el precio de la capacidad. En el caso de los lectores con precios de usuario inferiores, cada lector está limitado al uso manual por parte de una sola persona.
# Solución de problemas de identidad y acceso rápidos
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
Usa la siguiente información para ayudarte a diagnosticar y solucionar problemas comunes que puedas encontrar al trabajar con Amazon Quick e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Amazon Quick
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM, `mateojackson`, intenta utilizar la consola para ver detalles sobre una *widget*, pero no tiene permisos `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `quicksight:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibes un error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Amazon Quick.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon Quick. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Quick
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon Quick admite estas funciones, consulta[Uso de Quick con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso del Centro de identidades de IAM
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Destinatarios: administradores de sistemas y administradores de Amazon Quick |
La edición Amazon Quick Enterprise se integra con sus directorios existentes mediante Microsoft Active Directory o el inicio de sesión único (IAM Identity Center) mediante el lenguaje de marcado de aserciones de seguridad (SAML). Puede usar AWS Identity and Access Management (IAM) para mejorar aún más su seguridad o para opciones personalizadas, como la incrustación de paneles.
En la edición Quick Standard, puede administrar los usuarios por completo desde Quick. Si lo prefiere, puede integrar con sus usuarios, grupos y roles existentes de IAM.
Puedes usar las siguientes herramientas para identificarte y acceder a Amazon Quick:
+ [IAM Identity Cente](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (solo en la edición Enterprise)
+ [Federación de IAM](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (ediciones Standard y Enterprise)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (solo en la edición Enterprise)
+ Inicio de [sesión único basado en SAML (ediciones](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) Standard y Enterprise)
+ [Autenticación multifactor (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (ediciones Standard y Enterprise)
**nota**
En las regiones que se indican a continuación, las cuentas de Amazon Quick solo pueden usar el [Centro de identidad de IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) para la administración de identidades y accesos.
`af-south-1` África (Ciudad del Cabo)
`ap-southeast-3` Asia-Pacífico (Yakarta)
`ap-southeast-5`Asia Pacífico (Malasia)
`eu-south-1` Europa (Milán)
`eu-central-2` Europa (Zúrich)
El Centro de Identidad de IAM le ayuda a crear o conectar de forma segura las identidades de sus empleados y a gestionar su acceso a todas AWS las cuentas y aplicaciones.
Antes de integrar tu cuenta Amazon Quick con el Centro de Identidad de IAM, configura el Centro de Identidad de IAM en tu AWS cuenta. *Si no ha configurado el Centro de identidad de IAM en su AWS organización, consulte [Primeros pasos](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) en la Guía del AWS IAM Identity Center usuario.*
Si desea configurar un proveedor de identidad externo con IAM Identity Center, consulte los [proveedores de identidades compatibles](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) para ver una lista de los pasos de configuración de los proveedores de identidades compatibles.
**Topics**
+ [Configure su cuenta Amazon Quick con IAM Identity Center](#sec-identity-management-identity-center)
## Configure su cuenta Amazon Quick con IAM Identity Center
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
El Centro de Identidad de IAM le ayuda a crear o configurar de forma segura las identidades de sus empleados actuales y a gestionar su acceso a todas AWS las cuentas y aplicaciones. El IAM Identity Center es el enfoque recomendado para la autenticación y autorización de los empleados en AWS organizaciones de cualquier tamaño y tipo. Para obtener más información sobre IAM Identity Center, consulte [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/).
Configure Amazon Quick y el Centro de Identidad de IAM para poder suscribirse a una nueva cuenta de Amazon Quick con una fuente de identidad configurada en el Centro de Identidad de IAM. Con IAM Identity Center, puede configurar su proveedor de identidades externo como origen de identidad. También puedes usar el Centro de identidades de IAM como almacén de identidades si no quieres usar un proveedor de identidades externo con Amazon Quick. Los métodos de identidad no se pueden cambiar después de crear la cuenta.
Al integrar su cuenta Amazon Quick con el Centro de identidades de IAM, los administradores de cuentas de Amazon Quick pueden crear una nueva cuenta Amazon Quick que tenga disponibles automáticamente los grupos del proveedor de identidades. Esto simplifica el intercambio de activos a gran escala en Amazon Quick.
El acceso a algunas secciones de la consola de administración de Amazon Quick está restringido por los permisos de IAM. En la siguiente tabla se resumen las acciones de administración que puede realizar en Amazon Quick en función del tipo de acceso que elija.
Para obtener más información sobre cómo abrir una cuenta de Amazon Quick en el Centro de Identidad de IAM, consulte Cómo [suscribirse a Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Acción de administrador | Permisos de IAM | Permisos de rol de administrador rápido de Amazon |
| --- | --- | --- |
| **Administración de activos** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No |
| **Seguridad y permisos** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No |
| **Administración de conexiones de VPC** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No |
| **Claves de KMS** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No |
| **Configuración de cuenta** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No |
| **Personalización de cuentas** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí |
| **Administración de usuarios** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí (usuarios de IAM Identity Center) | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg)Sí (usuarios de Amazon Quick e IAM) |
| **Sus suscripciones** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí |
| **Configuración móvil** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí |
| **Dominios e integración** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí |
| **Capacidad de SPICE** | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/success_icon.svg) Sí |
La aplicación móvil Amazon Quick no es compatible con las cuentas de Amazon Quick integradas en el Centro de identidad de IAM.
### Consideraciones
Las siguientes acciones eliminan permanentemente la posibilidad de que los usuarios de Amazon Quick inicien sesión en Amazon Quick. Amazon Quick no recomienda que los usuarios de Amazon Quick realicen estas acciones.
+ Desactivar o eliminar la aplicación Amazon Quick en la consola del IAM Identity Center. Si quieres eliminar tu cuenta de Amazon Quick, consulta Cómo [cerrar tu cuenta de Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ Migración de la cuenta Amazon Quick que contiene la configuración del Centro de Identidad de IAM a una AWS organización que no contiene la instancia del Centro de Identidad de IAM en la que está configurada su cuenta de Amazon Quick.
+ Eliminar la instancia del Centro de Identidad de IAM que está configurada en su cuenta de Amazon Quick.
+ Edición de los atributos de la aplicación IAM Identity Center, por ejemplo, el atributo **requiere asignación**.
# Federación de IAM
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**importante**
Amazon Quick recomienda integrar las nuevas suscripciones de Amazon Quick con el Centro de identidades de IAM para la administración de identidades. Esta guía del usuario de la federación de identidades de IAM se proporciona como referencia para las configuraciones de cuentas existentes. Para obtener más información sobre la integración de su cuenta Amazon Quick con IAM Identity Center, consulte [Configurar su cuenta Amazon Quick con IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
Amazon Quick admite la federación de identidades en las ediciones Standard y Enterprise. Cuando usa usuarios federados, puede administrar los usuarios con su proveedor de identidad empresarial (IdP) y AWS Identity and Access Management usar (IAM) para autenticar a los usuarios cuando inician sesión en Quick. Puede utilizar un proveedor de identidad externo que admita Security Assertion Markup Language 2.0 (SAML 2.0) para proporcionar un flujo de incorporación a sus usuarios de Amazon Quick. Entre estos proveedores de identidades se incluyen Microsoft Active Directory Federation Services, Okta y Ping One Federation Server. Con la federación de identidades, sus usuarios obtienen acceso con un clic a sus aplicaciones Amazon Quick utilizando sus credenciales de identidad existentes. Además, ofrece el beneficio de seguridad que aporta la autenticación de identidades por parte del proveedor de identidades. Puedes controlar qué usuarios tienen acceso a Amazon Quick mediante tu proveedor de identidad actual.
**Topics**
+ [Iniciar el inicio de sesión desde el proveedor de identidades (IdP)](federated-identities-idp-to-sp.md)
+ [Configuración de la federación de IdP mediante IAM y Amazon Quick](external-identity-providers-setting-up-saml.md)
+ [Iniciar el inicio de sesión desde Quick](federated-identities-sp-to-idp.md)
+ [Configuración de la federación iniciada por el proveedor de servicios con la edición Quick Enterprise](setup-quicksight-to-idp.md)
+ [Configuración de la sincronización del correo electrónico para usuarios federados en Quick](jit-email-syncing.md)
+ [Tutorial: Federación de identidades de Amazon Quick e IAM](tutorial-okta-quicksight.md)
# Iniciar el inicio de sesión desde el proveedor de identidades (IdP)
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
En este escenario, los usuarios inician el proceso de inicio de sesión desde el portal del proveedor de identidades. Una vez autenticados, los usuarios inician sesión en Amazon Quick. Una vez que Quick compruebe que están autorizados, sus usuarios podrán acceder a Quick.
A partir del inicio de sesión del usuario en el IdP, la autenticación sigue estos pasos:
1. El usuario busca `https://applications.example.com` e inicia sesión en el IdP. En este momento, el usuario no ha iniciado sesión en el proveedor de servicios.
1. El servicio de federación y el IdP autentican al usuario:
1. El servicio de federación solicita autenticación al almacén de identidades de la organización.
1. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.
1. Una vez realizada correctamente la autenticación, el servicio de federación publica la aserción de SAML en el navegador del usuario.
1. El usuario abre Amazon Quick:
1. El navegador del usuario publica la declaración SAML en el punto de conexión SAML de la página de inicio de sesión de AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In recibe la solicitud de SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio Amazon Quick.
1. Amazon Quick acepta el token de autenticación AWS y se lo presenta al usuario.
Desde el punto de vista del usuario, el proceso se realiza de forma transparente. El usuario comienza en el portal interno de su organización y llega a un portal de aplicaciones de Amazon Quick, sin tener que proporcionar ninguna AWS credencial.
En el siguiente diagrama, puedes encontrar un flujo de autenticación entre Amazon Quick y un proveedor de identidad (IdP) externo. En este ejemplo, el administrador ha configurado una página de inicio de sesión para acceder a Amazon Quick, llamada`applications.example.com`. Cuando un usuario inicia sesión, la página de inicio de sesión publica una solicitud a un servicio de federación que cumple con los requisitos de SAML 2.0. El usuario final inicia la autenticación desde la página de inicio de sesión del IdP.
![\[Diagrama rápido de SAML. El diagrama incluye dos cuadros. El primero describe un proceso de autenticación dentro de la compañía. El segundo describe la autenticación dentro de AWS. El proceso se describe en el texto que aparece después de la tabla.\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Para obtener información sobre algunos proveedores habituales, consulte la siguiente documentación de terceros:
+ CA: [Enabling SAML 2.0 HTTP Post Binding](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta: [Planning a SAML deployment](https://developer.okta.com/docs/concepts/saml/)
+ Ping: [Amazon integrations](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
Utilice los siguientes temas para comprender el uso de una federación existente con AWS:
+ [La federación de identidades está AWS](https://aws.amazon.com/identity/federation/) en el AWS sitio web
+ [Proporcionar acceso a usuarios autenticados externamente (federación de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*
+ [Concesión de acceso a la consola de administración de AWS a los usuarios federados SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) en la *Guía del usuario de IAM*
# Configuración de la federación de IdP mediante IAM y Amazon Quick
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
Puedes usar un rol AWS Identity and Access Management (IAM) y una URL de estado de retransmisión para configurar un proveedor de identidad (IdP) que sea compatible con SAML 2.0. El rol otorga a los usuarios permisos para acceder a Amazon Quick. El estado de retransmisión es el portal al que se reenvía al usuario después de que se haya autenticado correctamente en AWS.
**Topics**
+ [Requisitos previos](#external-identity-providers-setting-up-prerequisites)
+ [Paso 1: Cree un proveedor de SAML en AWS](#external-identity-providers-create-saml-provider)
+ [Paso 2: Configure los permisos de entrada AWS para sus usuarios federados](#external-identity-providers-grantperms)
+ [Paso 3: configuración del IdP SAML](#external-identity-providers-config-idp)
+ [Paso 4: creación de las declaraciones para la respuesta de autenticación SAML](#external-identity-providers-create-assertions)
+ [Paso 5: configuración del estado de retransmisión de la federación](#external-identity-providers-relay-state)
## Requisitos previos
Antes de configurar la conexión SAML 2.0, haga lo siguiente:
+ Configure el IdP para establecer una relación de confianza con AWS:
+ Dentro de la red de su organización, configure su almacén de identidades, como Windows Active Directory, para trabajar con un proveedor de identidad (IdP) basado en SAML. IdPs Los basados en SAML incluyen Active Directory Federation Services, Shibboleth, etc.
+ Utilice el IdP para generar un documento de metadatos que describa a su organización como proveedor de identidades.
+ Configure la autenticación SAML 2.0 realizando los mismos pasos que para la Consola de administración de AWS. Cuando se complete este proceso, puede configurar el estado de retransmisión para que coincida con el estado de retransmisión de Quick. Para obtener más información, consulte [Configurar el estado de retransmisión de su federación](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Crea una cuenta Amazon Quick y anota el nombre que utilizarás al configurar la política de IAM y el IdP. Para obtener más información sobre cómo crear una cuenta Amazon Quick, consulta Cómo [suscribirse a Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Después de crear la configuración para federarse Consola de administración de AWS según lo descrito en el tutorial, puede editar el estado de retransmisión que se proporciona en el tutorial. Lo hace con el estado de retransmisión de Amazon Quick, que se describe en el paso 5 siguiente.
Para obtener más información, consulte los siguientes recursos:
+ [Integración de proveedores de soluciones SAML externos con AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) en la *Guía del usuario de IAM*.
+ [Solución de problemas de federación de SAML 2.0 con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), también en la Guía del *usuario de IAM*.
+ [Configurar la confianza entre ADFS AWS y utilizar las credenciales de Active Directory para conectarse a Amazon Athena con el controlador ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/): este artículo explicativo es útil, aunque no es necesario configurar Athena para utilizar Amazon Quick.
## Paso 1: Cree un proveedor de SAML en AWS
Su proveedor de identidad SAML define el AWS IdP de su organización para. Lo hace a través del documento de metadatos generado anteriormente con su IdP.
**Para crear un proveedor de SAML en AWS**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Cree un nuevo proveedor de SAML, que es una entidad de IAM que contiene la información sobre el proveedor de identidades de la organización. Para obtener más información, consulte [Creación de proveedores de identidad SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en la *Guía del usuario de IAM*.
1. Durante este proceso, cargue el documento de metadatos generado por el software de IdP de la organización que anotó en la sección anterior.
## Paso 2: Configure los permisos de entrada AWS para sus usuarios federados
A continuación, cree un rol de IAM que establezca una relación de confianza entre IAM y el IdP de su organización. Este rol identifica su IdP como una entidad de confianza (principal) a efectos de la federación. El rol también define qué usuarios autenticados por el IdP de su organización pueden acceder a Amazon Quick. Para obtener más información sobre cómo crear un rol para un IdP SAML, consulte [Creación de un rol para una federación SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) en la *Guía del usuario de IAM*.
Una vez que haya creado el rol, puede limitarlo para que solo tenga permisos para Amazon Quick adjuntando una política en línea al rol. El siguiente ejemplo de documento de política proporciona acceso a Amazon Quick. Esta política permite al usuario acceder a Amazon Quick y crear cuentas de autor y cuentas de lector.
**nota**
En el siguiente ejemplo, ** sustitúyalo por tu Cuenta de AWS ID de 12 dígitos (sin guiones «‐»).
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Si quieres proporcionar acceso a Amazon Quick y también la posibilidad de crear administradores, autores (usuarios estándar) y lectores de Amazon Quick, puedes usar el siguiente ejemplo de política.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Puedes ver los detalles de la Consola de administración de AWS cuenta en.
Una vez que haya configurado SAML y la política o políticas de IAM, no es necesario invitar a los usuarios manualmente. La primera vez que los usuarios abren Amazon Quick, se aprovisionan automáticamente con los permisos de nivel más alto de la política. Por ejemplo, si tienen permisos para `quicksight:CreateUser` y `quicksight:CreateReader`, se aprovisionan como autores. Si también tienen permisos para `quicksight:CreateAdmin`, se aprovisionan como administradores. Cada nivel de permiso incluye la capacidad de crear el mismo nivel de usuario e inferiores. Por ejemplo, un autor puede añadir otros autores o lectores.
Los usuarios que se invitan manualmente se crean en la función asignada por la persona que les invitó. No necesitan tener políticas que les concedan permisos.
## Paso 3: configuración del IdP SAML
Tras crear el rol de IAM, actualiza tu IdP de SAML AWS como proveedor de servicios. [Para ello, instala el `saml-metadata.xml` archivo que se encuentra en saml-metadata.xml. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml)
Para actualizar los metadatos del IdP, consulte las instrucciones proporcionadas por su IdP. Algunos proveedores ofrecen la opción de escribir la URL, después de la cual el IdP obtiene e instala el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.
Para obtener más información, consulte la documentación del IdP.
## Paso 4: creación de las declaraciones para la respuesta de autenticación SAML
A continuación, configure la información que el IdP transfiere como atributos de SAML AWS como parte de la respuesta de autenticación. Para obtener más información, consulte [Configuración de aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de IAM*.
## Paso 5: configuración del estado de retransmisión de la federación
Por último, configure el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión de Amazon Quick. Tras la autenticación correcta AWS, se dirige al usuario a Amazon Quick, que se define como el estado de retransmisión en la respuesta de autenticación de SAML.
La URL del estado de retransmisión de Amazon Quick es la siguiente.
```
https://quicksight.aws.amazon.com
```
# Iniciar el inicio de sesión desde Quick
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
En este escenario, el usuario inicia el proceso de inicio de sesión desde un portal de aplicaciones de Amazon Quick sin haber iniciado sesión en el proveedor de identidad. En este caso, el usuario tiene una cuenta federada administrada por un IdP de terceros. Es posible que el usuario tenga una cuenta de usuario en Quick. Quick envía una solicitud de autenticación al IdP. Una vez autenticado el usuario, se abre Quick.
Empezando por el inicio de sesión del usuario en Quick, la autenticación sigue estos pasos:
1. El usuario abre Quick. En este momento, el usuario no ha iniciado la sesión en el IdP.
1. El usuario intenta iniciar sesión en Amazon Quick.
1. Amazon Quick redirige la entrada del usuario al servicio de federación y solicita la autenticación.
1. El servicio de federación y el IdP autentican al usuario:
1. El servicio de federación solicita autenticación al almacén de identidades de la organización.
1. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.
1. Una vez realizada correctamente la autenticación, el servicio de federación publica la aserción de SAML en el navegador del usuario.
1. El navegador del usuario publica la declaración SAML en el punto de conexión SAML de la página de inicio de sesión de AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In recibe la solicitud de SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio Amazon Quick.
1. Amazon Quick acepta el token de autenticación AWS y se lo presenta al usuario.
Desde el punto de vista del usuario, el proceso se realiza de forma transparente. El usuario comienza en un portal de aplicaciones de Amazon Quick. Amazon Quick negocia la autenticación con el servicio de federación de su organización y AWS. Amazon Quick se abre sin que el usuario necesite proporcionar credenciales adicionales.
# Configuración de la federación iniciada por el proveedor de servicios con la edición Quick Enterprise
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
Cuando haya terminado de configurar su proveedor de identidad con AWS Identity and Access Management (IAM), podrá configurar el inicio de sesión iniciado por el proveedor de servicios a través de Amazon Quick Enterprise Edition. Para que la federación de IAM de inicio rápido funcione, debe autorizar a Quick a enviar la solicitud de autenticación a su IdP. Un administrador de Quick puede configurar esto agregando la siguiente información proporcionada por el IdP:
+ La URL del IdP: redirige rápidamente a los usuarios a esta URL para su autenticación.
+ El parámetro de estado de retransmisión: este parámetro transmite el estado en el que se encontraba la sesión del navegador cuando se redirigió para la autenticación. El IdP redirige al usuario al estado original después de la autenticación. El estado se proporciona como una URL.
En la siguiente tabla se muestran la URL de autenticación estándar y el parámetro de estado de retransmisión para redirigir al usuario a la URL rápida que usted proporcione.
| Proveedor de identidades | Parámetro | URL de autenticación |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Cuentas de Google | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick admite la conexión a un IdP por. Cuenta de AWS La página de configuración de Amazon Quick le proporciona una prueba URLs basada en sus entradas para que pueda probar la configuración antes de activar la función. Para que el proceso sea aún más fluido, Amazon Quick proporciona un parámetro (`enable-sso=0`) para desactivar temporalmente la federación de IAM iniciada por Amazon Quick, en caso de que necesite deshabilitarla temporalmente.
## Para configurar Amazon Quick como un proveedor de servicios que pueda iniciar la federación de IAM para un IdP existente
1. Asegúrese de que ya tiene configurada la federación de IAM en su IdP, en IAM y en Amazon Quick. Para probar esta configuración, compruebe si puede compartir un panel con otra persona del dominio de su empresa.
1. Abre Amazon Quick y selecciona **Administrar Amazon Quick** en el menú de tu perfil en la esquina superior derecha.
Para realizar este procedimiento, debe ser administrador de Amazon Quick. Si no lo estás, no podrás ver **Gestionar Amazon Quick** en el menú de tu perfil.
1. Seleccione **Inicio de sesión único (federación de IAM)** en el panel de navegación.
1. En **Configuración**, **URL de proveedor de identidad**, ingrese la URL que proporciona el IdP para autenticar a los usuarios.
1. En **URL de proveedor de identidad**, ingrese el parámetro que su IdP proporciona al estado de retransmisión, por ejemplo, `RelayState`. El nombre real del parámetro lo proporciona su IdP.
1. Pruebe el inicio de sesión:
+ Para probar el inicio de sesión con su proveedor de identidades, use la URL personalizada proporcionada en **Inicio de la prueba con el IdP**. Deberías llegar a la página de inicio de Amazon Quick, por ejemplo, https://quicksight.aws.amazon.com/sn/ start.
+ Para probar primero el inicio de sesión con Amazon Quick, usa la URL personalizada que se proporciona en **Prueba la end-to-end experiencia**. El parámetro `enable-sso` se adjunta a la URL. Si `enable-sso=1`, la federación de IAM intenta autenticarse.
1. Seleccione **Guardar** para conservar los ajustes.
## Habilitación del IdP de federación de IAM iniciado por el proveedor de servicios
1. Asegúrese de que los ajustes de federación de IAM estén configurados y probados. Si no está seguro de la configuración, pruebe la conexión mediante el URLs procedimiento anterior.
1. Abre Amazon Quick y selecciona **Administrar Amazon Quick** en el menú de tu perfil.
1. Seleccione **Inicio de sesión único (federación de IAM)** en el panel de navegación.
1. En **Estado**, elija **ACTIVADO**.
1. Comprueba que funciona desconectándote de tu IdP y abriendo Amazon Quick.
## Deshabilitación de la federación de IAM iniciada por el proveedor de servicios
1. Abre Amazon Quick y selecciona **Administrar Amazon Quick** en el menú de tu perfil.
1. Seleccione **Inicio de sesión único (federación de IAM)** en el panel de navegación.
1. En **Estado**, elija **DESACTIVADO**.
# Configuración de la sincronización del correo electrónico para usuarios federados en Quick
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Destinatarios: administradores de sistemas y administradores de Amazon Quick |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
En la edición Amazon Quick Enterprise, como administrador, puede impedir que los nuevos usuarios usen direcciones de correo electrónico personales cuando aprovisionen directamente a Quick a través de su proveedor de identidad (IdP). Luego, Quick usa las direcciones de correo electrónico preconfiguradas que se transfieren a través del IdP al aprovisionar nuevos usuarios a su cuenta. Por ejemplo, puedes hacer que solo se usen las direcciones de correo electrónico asignadas por la empresa cuando los usuarios se aprovisionen a tu cuenta de Amazon Quick a través de tu IdP.
**nota**
Asegúrese de que sus usuarios se federen directamente a Amazon Quick a través de su IdP. Al federarse a Consola de administración de AWS través de su IdP y, a continuación, hacer clic en Amazon Quick, se produce un error y no podrá acceder a Amazon Quick.
Al configurar la sincronización del correo electrónico para los usuarios federados en Amazon Quick, los usuarios que inician sesión en su cuenta de Amazon Quick por primera vez tienen direcciones de correo electrónico preasignadas. Se utilizan para registrar sus cuentas. Con este enfoque, los usuarios pueden omitir manualmente esto ingresando una dirección de correo electrónico. Además, los usuarios no pueden usar una dirección de correo electrónico que pueda diferir de la dirección de correo electrónico que indique en calidad de administrador.
Amazon Quick admite el aprovisionamiento a través de un IdP que admite la autenticación SAML u OpenID Connect (OIDC). Para configurar las direcciones de correo electrónico de los nuevos usuarios al aprovisionar a través de un IdP, debe actualizar la relación de confianza del rol de IAM que utilizan con `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. A continuación, agrega un atributo SAML o un token OIDC a su IdP. Por último, se activa la sincronización del correo electrónico para los usuarios federados en Amazon Quick.
Los siguientes procedimientos describen los pasos de manera más detallada.
## Paso 1: actualización de la relación de confianza del rol de IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity
Puede configurar las direcciones de correo electrónico para que las utilicen sus usuarios cuando aprovisionen a Amazon Quick a través de su IdP. Para ello, agregue la acción `sts:TagSession` a la relación de confianza del rol de IAM que utilice con `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. De este modo, puede transferir etiquetas `principal` cuando los usuarios asuman el rol.
El siguiente ejemplo ilustra un rol de IAM actualizado en el que el IdP es Okta. Para utilizar este ejemplo, actualice el nombre de recurso de Amazon (ARN) `Federated` con el ARN de su proveedor de servicios. Puede reemplazar los elementos en rojo con su información específica del servicio AWS y del IdP.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Paso 2: adición de un atributo SAML o un token OIDC para la etiqueta de la entidad principal de IAM en su IdP
Tras actualizar la relación de confianza del rol de IAM como se describe en la sección anterior, agregue un atributo SAML o un token OIDC para la etiqueta `Principal` de IAM en su IdP.
Los siguientes ejemplos ilustran un atributo SAML y un token OIDC. Para usar estos ejemplos, reemplace la dirección de correo electrónico por una variable en su IdP que apunte a la dirección de correo electrónico de un usuario. Puede reemplazar los elementos resaltados en rojo por su información.
+ **Atributo SAML**: el siguiente ejemplo ilustra un atributo SAML.
```
john.doe@example.com
```
**nota**
Si utiliza Okta como IdP, asegúrese de activar un indicador de característica en su cuenta de usuario de Okta para usar SAML. Para obtener más información, consulte [Okta y AWS su asociación para simplificar el acceso mediante etiquetas de sesión](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) en el blog de Okta.
+ **Token OIDC**: el siguiente ejemplo ilustra un ejemplo de token OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Paso 3: Activa la sincronización del correo electrónico para los usuarios federados en Amazon Quick
Como se ha descrito anteriormente, actualice la relación de confianza del rol de IAM y agregue un atributo SAML o un token OIDC para la etiqueta `Principal` de IAM en su IdP. A continuación, active la sincronización del correo electrónico para los usuarios federados en Amazon Quick tal y como se describe en el siguiente procedimiento.
**Activación de la sincronización del correo electrónico para los usuarios federados**
1. Desde cualquier página de Amazon Quick, elige tu nombre de usuario en la parte superior derecha y, a continuación, selecciona **Administrar Amazon Quick**.
1. Seleccione **Inicio de sesión único (federación de IAM)** en el menú de la izquierda.
1. En la página **Federación de IAM iniciada por el proveedor de servicios**, en **Sincronización de email para usuarios federados**, seleccione **ACTIVADO**.
Cuando la sincronización del correo electrónico para los usuarios federados está activada, Amazon Quick utiliza las direcciones de correo electrónico que configuró en los pasos 1 y 2 al aprovisionar nuevos usuarios a su cuenta. Los usuarios no pueden ingresar sus propias direcciones de correo electrónico.
Cuando la sincronización del correo electrónico para los usuarios federados está desactivada, Amazon Quick pide a los usuarios que introduzcan su dirección de correo electrónico manualmente al aprovisionar nuevos usuarios a su cuenta. Pueden usar las direcciones de correo electrónico que deseen.
# Tutorial: Federación de identidades de Amazon Quick e IAM
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público objetivo: administradores de Amazon Quick y desarrolladores de Amazon Quick |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
En el siguiente tutorial, encontrarás un tutorial sobre cómo configurar el IdP Okta como un servicio de federación para Amazon Quick. Si bien en este tutorial se muestra la integración de AWS Identity and Access Management (IAM) y Okta, también puede replicar esta solución con el SAML 2.0 que elija. IdPs
En el siguiente procedimiento, se crea una aplicación en el IdP de Okta mediante su atajo «Federación de cuentas AWS ». Okta describe esta aplicación de integración de la siguiente manera:
«Al federar Okta a las cuentas de Identity and Access Management (AWS) de Amazon Web Services () Identity and Access Management (IAM), los usuarios finales obtienen acceso mediante inicio de sesión único a todas las funciones que se les asignan con sus credenciales de Okta. AWS En cada una de ellas Cuenta de AWS, los administradores configuran la federación y configuran las funciones para confiar en Okta. AWS Cuando los usuarios inician sesión AWS, obtienen la experiencia de inicio de sesión único de Okta para ver las funciones asignadas. AWS A continuación, pueden seleccionar el rol que deseen, lo que definirá sus permisos durante la sesión autenticada. Los clientes con un gran número de AWS cuentas pueden utilizar la aplicación AWS Single Sign-On como alternativa». () https://www.okta.com/aws/
**Para crear una aplicación de Okta utilizando el acceso directo a la aplicación «Federación de AWS cuentas» de Okta**
1. Inicie sesión en el panel de Okta. Si no tienes una, crea una cuenta gratuita de Okta Developer Edition utilizando [esta URL de la marca Amazon Quick](https://developer.okta.com/quickstart/). Cuando haya activado su correo electrónico, inicie sesión en Okta.
1. En el sitio web de Okta, seleccione **Consola para desarrolladores <>** en la esquina superior izquierda y, a continuación, seleccione **IU clásica**.
1. Seleccione **Agregar aplicaciones** y, luego, **Agregar aplicación**.
1. Ingrese **aws** en **Search** y seleccione **AWS Account Federation** en los resultados de la búsqueda.
1. Seleccione **Agregar** para crear una instancia de esta aplicación.
1. En **Etiqueta de la application**, ingrese **AWS Account Federation - Amazon Quick**.
1. Elija **Siguiente**.
1. En **SAML 2.0**, **Estado de retransmisión predeterminado**, ingrese **https://quicksight.aws.amazon.com**.
1. Abra el menú contextual (haga clic con el botón derecho) de **Metadatos del proveedor de identidades** y guarde el archivo. Nombre el archivo `metadata.xml`. Necesita esto para el siguiente procedimiento.
El contenido del archivo es similar a este:
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Una vez guardado el archivo XML, desplácese hasta la parte inferior de la página de Okta y seleccione **Listo**.
1. Si es posible, mantenga abierta esta ventana del navegador. La necesitará más adelante en el tutorial.
A continuación, cree un proveedor de identidades en su Cuenta de AWS.
**Para crear un proveedor de SAML en (IAM) AWS Identity and Access Management**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, seleccione **Proveedores de identidades**, **Crear proveedor**.
1. Ingrese la siguiente configuración:
+ **Tipo de proveedor**: elija **SAML** de la lista.
+ **Nombre del proveedor**: ingrese **Okta**.
+ **Documento de metadatos**: cargue el archivo XML `manifest.xml` del procedimiento anterior.
1. Elija **Paso siguiente** y, a continuación, **Crear**.
1. Localice el IdP que creó y elíjalo para ver la configuración. Anote el **ARN del proveedor**. Lo necesita para terminar el tutorial.
1. Compruebe que el proveedor de identidades se haya creado con su configuración. En IAM, seleccione **Proveedores de identidades**, **Okta** (el IdP que ha agregado) y **Descargar los metadatos**. El archivo debe ser el que ha cargado recientemente.
A continuación, debe crear una función de IAM para permitir que la federación SAML 2.0 actúe como una entidad de confianza en su seno. Cuenta de AWS Para este paso, debe elegir cómo desea aprovisionar a los usuarios en Amazon Quick. Puede elegir una de las opciones siguientes:
+ Conceda permiso al rol de IAM para que quienes visiten Amazon Quick por primera vez se conviertan automáticamente en usuarios de Amazon Quick.
**Creación de un rol de IAM para una federación SAML 2.0 como entidad de confianza**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, elija **Roles**, **Crear rol**.
1. En **Seleccionar tipo de entidad de confianza**, elija **Federación SAML 2.0**.
1. En **Proveedor de SAML**, seleccione el IdP que creó en el procedimiento anterior, por ejemplo, `Okta`.
1. Active la opción **Permitir el acceso mediante programación y a la consola de administración de AWS **.
1. Elija **Siguiente: permisos**.
1. Pegue la siguiente política en el editor.
En el editor de políticas, actualice el JSON con el nombre de recurso de Amazon (ARN) de su proveedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Elija **Revisar política**.
1. En **Nombre**, escriba **QuicksightOktaFederatedPolicy** y, después, elija **Crear política**.
1. Seleccione **Crear una política**, **JSON** por segunda vez.
1. Pegue la siguiente política en el editor.
En el editor de políticas, actualiza el JSON con tu Cuenta de AWS ID. Debe ser el mismo identificador de cuenta que utilizó en la política anterior en el ARN del proveedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Puede omitir el Región de AWS nombre en el ARN, como se muestra a continuación.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Elija **Revisar política**.
1. En **Nombre**, escriba **QuicksightCreateReader** y, después, elija **Crear política**.
1. Actualice la lista de políticas seleccionando el icono de actualización de la derecha.
1. En **Buscar**, ingrese **QuicksightOktaFederatedPolicy**. Elija la política para habilitarlo (![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/checkbox-on.png)).
Si no desea utilizar el aprovisionamiento automático, puede omitir el siguiente paso.
Para añadir un usuario de Amazon Quick, usa [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Para añadir un grupo de Amazon Quick, usa [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Para añadir usuarios al grupo Amazon Quick, utiliza [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Opcional) En **Buscar**, ingrese **QuicksightCreateReader**. Elija la política para habilitarlo (![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/checkbox-on.png)).
Realice este paso si quiere aprovisionar a los usuarios de Amazon Quick automáticamente, en lugar de utilizar la API de Amazon Quick.
La política `QuicksightCreateReader` activa el aprovisionamiento automático al permitir el uso de la acción `quicksight:CreateReader`. Esta acción concede acceso de suscriptor (nivel de lector) al panel a los usuarios primerizos. Un administrador de Amazon Quick podrá actualizarlos posteriormente desde el menú del perfil de **Amazon Quick**, **Administrar usuarios**.
1. Para seguir asociando la política o las políticas de IAM, elija **Siguiente: etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre del rol**, ingrese **QuicksightOktaFederatedRole** y, luego, elija **Crear rol**.
1. Compruebe que lo ha realizado correctamente siguiendo estos pasos:
1. Vuelva a la página principal de la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Puede utilizar el botón **Atrás** de su navegador.
1. Elija **Roles**.
1. En **Buscar**, ingrese Okta. Elija uno **QuicksightOktaFederatedRole**de los resultados de la búsqueda.
1. En la página **Resumen** de la política, examine la pestaña **Permisos**. Compruebe que el rol tenga la política o las políticas que usted haya asignado. Debería tener `QuicksightOktaFederatedPolicy`. Si eligió agregar la capacidad de crear usuarios, también debería tener `QuicksightCreateReader`.
1. Utilice el icono ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/caret-right-filled.png) para abrir cada política. Compruebe que el texto coincida con lo que se muestra en este procedimiento. Comprueba que has añadido tu propio Cuenta de AWS número en lugar del número de cuenta del ejemplo: 1111.
1. En la pestaña **Relaciones de confianza**, compruebe que el campo **Entidades de confianza** contiene el ARN del proveedor de identidades. Puede comprobar el ARN en la consola de IAM abriendo **Proveedores de identidades**, **Okta**.
**Creación de una clave de acceso para Okta**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Agregue una política que permita a Okta mostrar al usuario una lista de roles de IAM. Para ello, elija **Política**, **Crear una política**.
1. Elija **JSON** y, a continuación, ingrese la siguiente política.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Elija **Revisar política**.
1. En **Nombre**, ingrese **OktaListRolesPolicy**. A continuación, elija **Crear política**.
1. Agregue un usuario para poder proporcionar a Okta una clave de acceso.
En el panel de navegación, elija **Usuarios**, **Agregar usuario**.
1. Utilice los siguientes valores:
+ En **Nombre de usuario**, escriba `OktaSSOUser`.
+ En **Tipo de acceso**, elija **Acceso mediante programación**.
1. Elija **Siguiente: permisos**.
1. Elija **Adjuntar directamente políticas existentes**.
1. En **Buscar****OktaListRolesPolicy**, introduzca y elija uno de los resultados **OktaListRolesPolicy**de la búsqueda.
1. Elija **Siguiente: Etiquetas** y, a continuación, seleccione **Siguiente: Revisar**.
1. Seleccione la opción **Crear usuario**. Ahora puede obtener la clave de acceso.
1. Para descargar el par de claves, elija **Descargar archivo .csv**. El archivo contiene el mismo ID de clave de acceso y la misma clave de acceso secreta que se muestra en esta pantalla. Sin embargo, dado que AWS no muestra esta información por segunda vez, asegúrese de descargar el archivo.
1. Compruebe que haya completado este paso correctamente haciendo lo siguiente:
1. Abra la consola de IAM y elija **Usuarios**. Busca **Okta** y SSOUser ábrelo eligiendo el nombre de usuario de los resultados de la búsqueda.
1. En la pestaña **Permisos**, comprueba que **OktaListRolesPolicy**esté adjunto.
1. Utilice el icono ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/quick/latest/userguide/images/caret-right-filled.png) para abrir la política. Compruebe que el texto coincida con lo que se muestra en este procedimiento.
1. En la pestaña **Credenciales de seguridad**, puede comprobar la clave de acceso, aunque ya la haya descargado. Puede volver a esta pestaña para crear una clave de acceso cuando necesite una nueva.
En el siguiente procedimiento, vuelva a Okta para proporcionar la clave de acceso. La clave de acceso funciona con la nueva configuración de seguridad para permitir que AWS el IDP de Okta funcione en conjunto.
**Para terminar de configurar la aplicación Okta con los ajustes AWS**
1. Vuelva al panel de Okta. Inicie sesión si se le solicita. Si la consola para desarrolladores ya no está abierta, seleccione **Administrador** para volver a abrirla.
1. Si tiene que volver a abrir Okta, puede volver a esta sección siguiendo estos pasos:
1. Inicie sesión en Okta. Elija **Aplicaciones**.
1. Elija **AWS Account Federation - Amazon Quick**, la aplicación que creó al principio de este tutorial.
1. Elija la pestaña **Iniciar sesión**, entre **General** y **Móvil**.
1. Vaya a **Configuración de inicio de sesión avanzada**.
1. En **ARN del proveedor de identidades (obligatorio solo para la federación de IAM de SAML)**, ingrese el ARN del proveedor del procedimiento anterior, por ejemplo:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Seleccione **Listo** o **Guardar**. El nombre del botón varía en función de si está creando o editando la aplicación.
1. Seleccione la pestaña **Aprovisionamiento** y, en la parte inferior de la pestaña, elija **Configurar la integración de la API**.
1. Active **Habilitar la integración de la API** para mostrar la configuración.
1. En **Clave de acceso** y **Clave secreta**, proporcione la clave de acceso y la clave secreta que descargó anteriormente en un archivo con el nombre **OktaSSOUser**`_credentials.csv`.
1. Seleccione **Probar las credenciales de la API**. Consulte la configuración **Habilitar la integración de la API** para ver un mensaje que confirme que **AWS Account Federation se verificó correctamente**.
1. Seleccione **Guardar**.
1. Asegúrese de que la opción **Para la aplicación** esté resaltada a la izquierda y seleccione **Editar** a la derecha.
1. En **Crear usuarios**, active la opción **Habilitar**.
1. Seleccione **Save**.
1. En la pestaña **Asignaciones**, cerca de **Aprovisionamiento** e **Importar**, seleccione **Asignar**.
1. Realice una o varias de las siguientes acciones para habilitar el acceso federado:
+ Para trabajar con usuarios individuales, elija **Asignar a personas**.
+ Para trabajar con grupos de IAM, elija **Asignar a grupos**. Puede elegir grupos de IAM específicos o **Todos (todos los usuarios de su organización)**.
1. Realice lo siguiente para cada usuario o grupo de IAM:
1. Elija **Asignar**, **Rol**.
1. Seleccione una función **QuicksightOktaFederatedRole**de la lista de funciones de IAM.
1. Para las **funciones de usuario de SAML, habilite**. **QuicksightOktaFederatedRole**
1. Seleccione **Guardar y volver** y, a continuación, seleccione, **Listo**.
1. Compruebe que ha completado este paso correctamente. Para ello, seleccione el filtro **Personas** o **Grupos** de la izquierda y compruebe los usuarios o grupos que ha introducido. Si no puede completar este proceso porque el rol que creó no aparece en la lista, vuelva a los procedimientos anteriores para comprobar la configuración.
**Para iniciar sesión en Amazon Quick mediante Okta (inicio de sesión del IdP al proveedor de servicios)**
1. Si utiliza una cuenta de administrador de Okta, cambie al modo de usuario.
1. Inicie sesión en el panel de aplicaciones de Okta con un usuario al que se le haya concedido acceso federado. Deberías ver una nueva aplicación con tu etiqueta, por ejemplo, **AWS Account Federation - Amazon Quick**.
1. Seleccione el icono de la aplicación para iniciar **AWS Account Federation - Amazon Quick**.
Ahora puede gestionar las identidades con Okta y utilizar el acceso federado con Quick.
El siguiente procedimiento es una parte opcional de este tutorial. Si sigues sus pasos, autorizas a Amazon Quick a reenviar las solicitudes de autorización al IdP en nombre de tus usuarios. Con este método, los usuarios pueden iniciar sesión en Amazon Quick sin necesidad de iniciar sesión primero con la página de IdP.
**(Opcional) Para configurar Amazon Quick para enviar solicitudes de autenticación a Okta**
1. Abre Amazon Quick y selecciona **Administrar Amazon Quick** en el menú de tu perfil.
1. Seleccione **Inicio de sesión único (federación de IAM)** en el panel de navegación.
1. En **Configuración**, URL del **IdP, introduzca la URL** que proporciona el IdP para autenticar a los usuarios, por ejemplo, https://dev - .okta. *1-----0* com/home/amazon\$1aws/. *0oabababababaGQei5d5/282* Puede encontrarla en la página la aplicación Okta, en la pestaña **General**, en **Insertar enlace**.
1. En **URL de proveedor de identidad**, ingrese `RelayState`.
1. Realice una de las siguientes acciones:
+ Para probar primero el inicio de sesión con su proveedor de identidades, use la URL personalizada que se proporciona en **Inicio de la prueba con el IdP**. Deberías llegar a la página de inicio de Amazon Quick, por ejemplo, https://quicksight.aws.amazon.com/sn/ start.
+ Para probar primero el inicio de sesión con Amazon Quick, usa la URL personalizada que se proporciona en **Prueba la end-to-end experiencia**. El parámetro `enable-sso` se adjunta a la URL. Si `enable-sso=1`, la federación de IAM intenta autenticarse. Si`enable-sso=0`, Amazon Quick no envía la solicitud de autenticación y tú inicias sesión en Amazon Quick como antes.
1. En **Estado**, elija **ACTIVADO**.
1. Seleccione **Guardar** para conservar los ajustes.
Puede crear un enlace directo a un panel de Amazon Quick para permitir a los usuarios utilizar la federación de IAM para conectarse directamente a paneles específicos. Para ello, agregue el indicador de estado de la retransmisión y la URL del panel a la URL de inicio de sesión único de Okta, tal y como se describe a continuación.
**Para crear un enlace directo a un panel de Amazon Quick para el inicio de sesión único**
1. Busque la URL de inicio de sesión único (federación de IAM) de la aplicación Okta en el archivo `metadata.xml` que descargó al principio del tutorial. Encontrará la URL cerca de la parte inferior del archivo, en el elemento denominado `md:SingleSignOnService`. Se asigna el nombre `Location` al atributo y el valor termina en `/sso/saml`, como se muestra en el siguiente ejemplo.
```
```
1. Toma el valor de la URL de federación de IAM y `?RelayState=` añádelo seguido de la URL de tu panel de Amazon Quick. El parámetro `RelayState` transmite el estado (la URL) en el que se encontraba el usuario cuando se le redirigió a la URL de autenticación.
1. A la nueva federación de IAM con el estado de retransmisión agregado, añada la URL de su Amazon Quick Dashboard. La URL resultante debería ser similar a la siguiente:
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Si el enlace que ha creado no se abre, compruebe que está utilizando la URL de federación de IAM más reciente de `metadata.xml`. Compruebe también que el nombre de usuario que utiliza para iniciar sesión no esté asignado a más de una aplicación Okta de la federación de IAM.
# Uso de Active Directory con la edición Amazon Quick Enterprise
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
La edición Amazon Quick Enterprise es compatible con [AWS Directory Service para Microsoft Active Directory y Active](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) [Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Para crear un nuevo directorio que sea su administrador de identidades para Quick, utilice AWS Directory Service for Microsoft Active Directory, también conocido como AWS Managed Microsoft AD. Se trata de un host de Active Directory en la nube de AWS que ofrece casi la misma funcionalidad que Active Directory. Actualmente, puede conectarse a Active Directory en cualquier AWS región compatible con Amazon Quick, excepto en Asia Pacífico (Singapur). Al crear un directorio, lo utiliza con una nube privada virtual (VPC). Para obtener más información, consulte [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Si ya tiene un directorio que quiere usar para Quick, puede usar Active Directory Connector. Este servicio redirige las solicitudes de directorio a su Active Directory (en otro servidor Región de AWS o local) sin almacenar en caché ninguna información en la nube.
Para ver un tutorial sobre cómo crear y administrar un directorio con AWS Managed Microsoft AD, consulte ¿Cómo [usar un Microsoft AD AWS administrado con Quick?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) en el Centro de AWS conocimiento.
Cuando utilizas AWS Directory Service para lanzar un directorio, AWS crea una unidad organizativa (OU) con el mismo nombre que tu dominio. AWS también crea una cuenta administrativa con derechos administrativos delegados para la OU. Puede crear cuentas, grupos y políticas en la OU con usuarios y grupos de Active Directory. Para obtener más información, consulte [Prácticas recomendadas para Microsoft AD AWS administrado](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) en la *Guía de administración de Directory Service.*
Después de establecer el directorio, úselo con Quick creando grupos para los usuarios. Amazon Quick tiene seis funciones de usuario específicas que se pueden asignar, incluidas las versiones Pro que proporcionan acceso a funciones avanzadas:
+ **Administradores rápidos: los** administradores pueden cambiar la configuración de la cuenta y administrar las cuentas. Los administradores también pueden adquirir suscripciones de usuario adicionales de Amazon Quick o capacidad de [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), o cancelar la suscripción a Amazon Quick para usted Cuenta de AWS. Los usuarios de Admin Pro disponen de capacidades adicionales, como la creación de contenido en lenguaje natural, la creación de bases de conocimiento, la configuración de acciones y el acceso a flujos de trabajo de automatización avanzados.
+ **Autores rápidos: los** autores de Amazon Quick pueden crear fuentes de datos, conjuntos de datos, análisis y paneles. Pueden compartir análisis y paneles con otros usuarios de Amazon Quick. Los usuarios de Author Pro también pueden crear contenido con lenguaje natural, crear bases de conocimiento, configurar acciones y acceder a funciones de automatización avanzadas.
+ **Lectores rápidos**: los lectores pueden ver los paneles creados por otra persona e interactuar con ellos. Los usuarios de Reader Pro tienen acceso a funciones avanzadas, como agentes de chat de IA, espacios de colaboración, flujos y extensiones.
Puede añadir o ajustar el acceso aplicando las políticas de IAM. Por ejemplo, puede utilizar las políticas de IAM para permitir a los usuarios suscribirse.
Cuando se suscribe a la edición Amazon Quick Enterprise y elige Active Directory como su proveedor de identidad, puede asociar sus grupos de AD a Amazon Quick. También puede añadir o cambiar los grupos de AD más adelante.
**Topics**
+ [Integración de directorios con la edición Quick Enterprise](#directory-integration)
## Integración de directorios con la edición Quick Enterprise
| |
| --- |
| Se aplica a: Enterprise Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
Quick Enterprise admite las siguientes opciones:
+ AWS Directory Service
+ AWS Directory Service con AD Connector
+ Active Directory en las instalaciones con federación de IAM o Conector AD
+ Federación de IAM mediante AWS IAM Identity Center otro servicio de federación de terceros
Si desea utilizar la federación de IAM con un Active Directory local, implemente Directory Service como un AWS Active Directory independiente con una relación de confianza con el Active Directory local.
Si desea evitar el uso de una relación de confianza, puede implementar un dominio independiente para la autenticación en AWS. A continuación, puede crear usuarios y grupos en Active Directory. A continuación, los asignaría a usuarios y grupos en Quick. En este ejemplo, los usuarios se autentican con sus credenciales de inicio de sesión de Active Directory. Para que el acceso a Quick sea transparente para sus usuarios, utilice la federación de IAM en este escenario.
# Uso de la autenticación multifactorial (MFA) con Amazon Quick
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
**importante**
Amazon Quick recomienda integrar las nuevas suscripciones rápidas con el Centro de identidades de IAM para la administración de identidades. Esta guía del usuario de la federación de identidades de IAM se proporciona como referencia para las configuraciones de cuentas existentes. Para obtener más información sobre la integración de su cuenta Quick con el Centro de Identidad de IAM, consulte [Configurar su cuenta Quick con el Centro de Identidad de IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**nota**
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick.
Hay varias formas de utilizar la autenticación multifactor (MFA) con Quick. Puede utilizarla con AWS Identity and Access Management (IAM). Puede usarlo con AD Connector o su [AWS Directory Service](https://aws.amazon.com/directoryservice/) para Microsoft Active Directory, también conocido como AWS Microsoft Active Directory o AWS Managed Microsoft Active Directory. Y si utiliza un proveedor de identidad (IdP) externo, AWS no necesita tener ninguna información sobre la MFA porque forma parte de la autenticación gestionada por el IdP.
Para obtener más información, consulte los siguientes temas:
+ [Uso de autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la Guía del usuario de IAM
+ [Habilite la autenticación multifactor para Microsoft AD AWS administrado](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) en la Guía de AWS Directory Service administración
+ [Habilitación de la autenticación multifactor para Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) en la Guía de administración de AWS Directory Service
Si es un desarrollador, consulte lo siguiente:
+ [¿Cómo utilizo un token de MFA para autenticar el acceso a mis AWS recursos a través de la AWS CLI en el Knowledge Center](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/)[?AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Configuración del acceso a una API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la Guía de usuario de IAM
# Permitir publicar dominios de Amazon Quick
Si sus usuarios finales inician sesión en Amazon Quick con credenciales AWS root (no se recomienda), AWS Identity and Access Management (IAM), Active Directory corporativo o Quick nativas, asegúrese de incluir los siguientes dominios en la red de su organización.
| Tipo de usuario | Dominio o dominios que desee incluir en la lista |
| --- | --- |
| Usuarios que inician sesión directamente a través de los usuarios de Amazon Quick y Active Directory | `signin.aws` y `awsapps.com` |
| AWS usuario root | `signin.aws.amazon.com` y `amazon.com` |
| Usuarios de IAM | `signin.aws.amazon.com` |
**importante**
Le recomendamos encarecidamente que no utilice el usuario AWS root para sus tareas diarias, ni siquiera las administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios. Para obtener más información, consulte [Usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) en la *Guía del usuario de IAM*.