Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de IAM
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de Amazon Quick. El IAM es un Servicio de AWS servicio que puede utilizar sin coste adicional.
**Topics**
+ [Introducción a conceptos de IAM](security_iam_concepts.md)
+ [Uso de Quick con IAM](security_iam_service-with-iam.md)
+ [Transferir las funciones de IAM a Quick](security-create-iam-role.md)
+ [Ejemplos de políticas de IAM para Quick](iam-policy-examples.md)
+ [Aprovisionamiento de usuarios para Amazon Quick](provisioning-users.md)
+ [Solución de problemas de identidad y acceso rápidos](security_iam_troubleshoot.md)
# Introducción a conceptos de IAM
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma más segura el acceso a los AWS recursos. Los administradores controlan quién puede *autenticarse (iniciar* sesión) y quién *está autorizado* (tiene permisos) para usar los recursos de Amazon Quick. IAM es un servicio de AWS que puede utilizar sin cargo adicional.
IAM se usa con Amazon Quick de varias maneras, incluidas las siguientes:
+ Si su empresa utiliza IAM para la gestión de identidades, es posible que las personas tengan nombres de usuario y contraseñas de IAM que utilicen para iniciar sesión en Amazon Quick.
+ Si quieres que tus usuarios de Amazon Quick se creen automáticamente al iniciar sesión por primera vez, puedes usar IAM para crear una política para los usuarios que tienen autorización previa para usar Amazon Quick.
+ Si desea crear un acceso especializado para grupos específicos de usuarios de Amazon Quick o a recursos específicos, puede utilizar las políticas de IAM para lograrlo.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
## Público
Utilice el siguiente contenido de ayuda para comprender el contexto de la información que se proporciona en esta sección, y cómo se aplica a su rol. La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo que realices en Amazon Quick.
**Usuario del servicio**: en algunos casos, puede utilizar Amazon Quick como autor o lector para interactuar con los datos, los análisis y los paneles, los espacios y los agentes a través de Amazon Quick mediante la interfaz del navegador. En estos casos, esta sección solo le proporciona información básica. No interactúas directamente con el servicio de IAM, excepto si utilizas IAM para iniciar sesión en Amazon Quick.
**Administrador de Amazon Quick**: si está a cargo de los recursos de Amazon Quick en su empresa, probablemente tenga acceso completo a Amazon Quick. Es tu trabajo determinar a qué funciones y recursos de Amazon Quick deben acceder los miembros de tu equipo. Si tiene requisitos especializados que no puede resolver mediante el panel de administración de Amazon Quick, puede trabajar con su administrador para crear políticas de permisos para sus usuarios de Amazon Quick. Para obtener más información sobre IAM, lea esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con Amazon Quick, consulte [Uso de Amazon Quick con IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrador**: si eres administrador del sistema, quizás te interese obtener más información sobre cómo puedes redactar políticas para administrar el acceso a Amazon Quick. Para ver ejemplos de políticas basadas en la identidad de Amazon Quick que puede utilizar en IAM, consulte Políticas de IAM [basadas en la identidad](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) de Amazon Quick.
## Autenticación con identidades
La autenticación es la forma de iniciar sesión con sus credenciales de identidad. AWS Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Cuenta de AWS usuario root](#security_iam_authentication-rootuser)
+ [Usuarios y grupos de IAM](#security_iam_authentication-iamuser)
+ [Roles de IAM](#security_iam_authentication-iamrole)
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Uso de Quick con IAM
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
Antes de utilizar IAM para gestionar el acceso a Amazon Quick, debe saber qué funciones de IAM están disponibles para su uso con Amazon Quick. Para obtener una visión general de cómo Amazon Quick y otros AWS servicios funcionan con IAM, consulte [AWS Servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Topics**
+ [Políticas rápidas de Amazon (basadas en la identidad)](#security_iam_service-with-iam-id-based-policies)
+ [Políticas de Amazon Quick (basadas en recursos)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas rápidas de Amazon](#security_iam_service-with-iam-tags)
+ [Funciones de Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Políticas rápidas de Amazon (basadas en la identidad)
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Quick admite claves de condición, recursos y acciones específicas. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Puedes usar credenciales AWS raíz o credenciales de usuario de IAM para crear una cuenta Amazon Quick. AWS Las credenciales root y de administrador ya cuentan con todos los permisos necesarios para gestionar el acceso rápido a AWS los recursos de Amazon.
No obstante, es aconsejable que proteja sus credenciales raíz y en su lugar utilice credenciales de usuario de IAM. Para ello, puede crear una política y adjuntarla al usuario y las funciones de IAM que piensa utilizar para Amazon Quick. La política debe incluir las declaraciones adecuadas para las tareas administrativas de Amazon Quick que debe realizar, tal y como se describe en las siguientes secciones.
**importante**
Tenga en cuenta lo siguiente cuando trabaje con las políticas de Quick e IAM:
Evite modificar directamente una política creada por Quick. Si la modifica usted mismo, Quick no podrá editarla. Esta incapacidad puede provocar un problema con la política. Para solucionar este problema, elimine la política modificada anteriormente.
Si aparece un error en los permisos al intentar crear una cuenta de Amazon Quick, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) en la *Guía del usuario de IAM*.
En algunos casos, es posible que tengas una cuenta Amazon Quick a la que no puedas acceder ni siquiera desde la cuenta raíz (por ejemplo, si has eliminado accidentalmente su servicio de directorio). En este caso, puedes eliminar tu antigua cuenta de Amazon Quick y volver a crearla. Para obtener más información, consulta [Eliminar tu suscripción a Amazon Quick y cerrar la cuenta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Acciones](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Ejemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en Amazon Quick utilizan el siguiente prefijo antes de la acción:`quicksight:`. Por ejemplo, para conceder a alguien permiso para ejecutar una instancia de Amazon EC2 con la operación `RunInstances` de la API de Amazon EC2, debe incluir la acción `ec2:RunInstances` en la política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Quick define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Create`, incluya la siguiente acción:
```
"Action": "quicksight:Create*"
```
Amazon Quick proporciona una serie de acciones AWS Identity and Access Management (IAM). Todas las acciones rápidas de Amazon llevan el prefijo`quicksight:`, por ejemplo`quicksight:Subscribe`. Para obtener información sobre el uso de las acciones rápidas de Amazon en una política de IAM, consulta los [ejemplos de políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Para ver la mayor parte de la up-to-date lista de acciones rápidas de Amazon, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El siguiente es un ejemplo de política. Significa que el intermediario que tiene esta política asociada puede invocar la operación `CreateGroupMembership` para cualquier grupo, siempre que el nombre de usuario que se añade al grupo no sea `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Algunas acciones rápidas de Amazon, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Algunas acciones de la API de se utilizan varios recursos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver una lista de los tipos de recursos de Amazon Quick y sus nombres de recursos de Amazon (ARNs), consulte [Recursos definidos por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) en la *Guía del usuario de IAM*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Amazon Quick no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) del usuario de *IAM*.
### Ejemplos
Para ver ejemplos de políticas de Amazon Quick basadas en la identidad, consulta [Amazon Quick Policies (basadas en la identidad)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Políticas de Amazon Quick (basadas en recursos)
Amazon Quick no admite políticas basadas en recursos. Sin embargo, puede utilizar la consola Amazon Quick para configurar el acceso a otros AWS recursos de su Cuenta de AWS.
## Autorización basada en etiquetas rápidas de Amazon
Amazon Quick no admite el etiquetado de recursos ni el control del acceso en función de las etiquetas.
## Funciones de Amazon Quick IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de su AWS cuenta que tiene permisos específicos. Puedes usar las funciones de IAM para agrupar los permisos y facilitar la administración del acceso de los usuarios a Amazon Quick Actions.
Amazon Quick no admite las siguientes funciones de rol:
+ Roles vinculados a servicios.
+ Roles de servicio.
+ Credenciales temporales (uso directo): sin embargo, Amazon Quick usa credenciales temporales para permitir a los usuarios asumir una función de IAM para acceder a los paneles integrados. Para obtener más información, consulte [Análisis integrados para Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Para obtener más información sobre cómo Amazon Quick utiliza las funciones de IAM, consulte [Uso de Amazon Quick con IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) y ejemplos de [políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Transferir las funciones de IAM a Quick
| |
| --- |
| Se aplica a: Enterprise Edition |
Cuando sus usuarios de IAM se registran en Quick, pueden optar por utilizar la función gestionada por Amazon Quick (esta es la función predeterminada). O bien, pueden transferir una función de IAM existente a Amazon Quick.
Utilice las siguientes secciones para transferir las funciones de IAM existentes a Amazon Quick
**Topics**
+ [Requisitos previos](#security-create-iam-role-prerequisites)
+ [Asociación de políticas adicionales](#security-create-iam-role-athena-s3)
+ [Uso de las funciones de IAM existentes en Quick](#security-create-iam-role-use)
## Requisitos previos
Para que los usuarios transfieran las funciones de IAM a Amazon Quick, el administrador debe realizar las siguientes tareas:
+ **Cree un rol de IAM.** Para obtener más información sobre la creación de roles, consulte [Creación de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) en la *Guía del usuario de IAM*.
+ **Adjunta una política de confianza a tu función de IAM que permita a Amazon Quick asumir esa función**. Use el siguiente ejemplo para crear una política de confianza para el rol. El siguiente ejemplo de política de confianza permite al director de Quick asumir la función de IAM a la que está vinculado.
Para obtener más información sobre cómo crear políticas de confianza de IAM y asociarlas a los roles, consulte [Modificación de un rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) en la *Guía del usuario de IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Asigne los siguientes permisos de IAM a su administrador (usuarios o roles de IAM)**:
+ `quicksight:UpdateResourcePermissions`— Esto concede a los usuarios de IAM que son administradores de Amazon Quick el permiso para actualizar los permisos a nivel de recursos en Amazon Quick. Para obtener más información sobre los tipos de recursos definidos por Amazon Quick, consulte [Acciones, recursos y claves de condición de Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) en la *Guía del usuario de IAM*.
+ `iam:PassRole`— Esto otorga a los usuarios permiso para transferir funciones a Amazon Quick. Para obtener más información, consulte [Otorgar permisos a un usuario para transferir un rol a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) en la *Guía del usuario de IAM*.
+ `iam:ListRoles`— (Opcional) Esto otorga a los usuarios permiso para ver una lista de las funciones existentes en Amazon Quick. Si no se proporciona este permiso, pueden usar un ARN para usar los roles de IAM existentes.
El siguiente es un ejemplo de una política de permisos de IAM que permite gestionar los permisos a nivel de recursos, enumerar las funciones de IAM y transferir las funciones de IAM en Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Para ver más ejemplos de políticas de IAM que puedes usar con Amazon Quick, consulta [Ejemplos de políticas de IAM para Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Para obtener más información sobre cómo asignar políticas de permisos a usuarios y grupos de usuarios, consulte [Cambio de los permisos de un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de IAM*.
## Asociación de políticas adicionales
Si utiliza otro AWS servicio, como Amazon Athena o Amazon S3, puede crear una política de permisos que conceda permiso a Amazon Quick para realizar acciones específicas. A continuación, puede adjuntar la política a las funciones de IAM y transferirlas posteriormente a Amazon Quick. Los siguientes son ejemplos de cómo puede configurar y asociar políticas de permisos adicionales a sus roles de IAM.
Para ver un ejemplo de política gestionada para Amazon Quick en Athena, consulte [Política AWSQuicksight AthenaAccess gestionada](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) en la Guía del usuario de *Amazon Athena*. Los usuarios de IAM pueden acceder a este rol en Amazon Quick mediante el siguiente ARN`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`:.
El siguiente es un ejemplo de una política de permisos para Amazon Quick en Amazon S3. Para obtener más información sobre el uso de IAM con Amazon S3, consulte [Identity and Access Management en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) en la *Guía del usuario de Amazon S3*.
Para obtener información sobre cómo crear un acceso multicuenta desde Amazon Quick a un bucket de Amazon S3 de otra cuenta, consulte [¿Cómo configuro el acceso multicuenta desde Quick a un bucket de Amazon S3 de otra](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) cuenta? en el Centro de AWS conocimiento.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Uso de las funciones de IAM existentes en Quick
Si es administrador de Amazon Quick y tiene permisos para actualizar los recursos de Amazon Quick y transferir funciones de IAM, puede utilizar las funciones de IAM existentes en Amazon Quick. Para obtener más información sobre los requisitos previos para pasar a las funciones de IAM en Amazon Quick, consulte los [requisitos previos](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritos en la lista anterior.
Utilice el siguiente procedimiento para obtener información sobre cómo transferir funciones de IAM en Amazon Quick.
**Para usar un rol de IAM existente en Amazon Quick**
1. En Amazon Quick, elige el nombre de tu cuenta en la barra de navegación de la parte superior derecha y selecciona **Administrar QuickSight**.
1. En la página **Gestionar Amazon Quick** que se abre, selecciona **Seguridad y permisos** en el menú de la izquierda.
1. En la página **Seguridad y permisos** que se abre, en **Amazon Quick access to AWS services**, selecciona **Administrar**.
1. En **Rol de IAM**, elija **Usar un rol existente** y, a continuación, realice una de las siguientes acciones:
+ Seleccione el rol que quiera utilizar de la lista.
+ O bien, si no ve una lista de los roles de IAM existentes, puede introducir el ARN de IAM para el rol en el siguiente formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Seleccione **Save**.
# Ejemplos de políticas de IAM para Quick
En esta sección se proporcionan ejemplos de políticas de IAM que puede utilizar con Quick.
## Políticas de IAM basadas en la identidad para Quick
En esta sección se muestran ejemplos de políticas basadas en la identidad para usar con Quick.
**Topics**
+ [Políticas de IAM basadas en la identidad para la administración de la consola Amazon Quick IAM](#security_iam_conosole-administration)
### Políticas de IAM basadas en la identidad para la administración de la consola Amazon Quick IAM
El siguiente ejemplo muestra los permisos de IAM necesarios para las acciones de administración de la consola Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: paneles
El ejemplo siguiente muestra una política de IAM que permite el uso compartido y la integración de paneles específicos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: espacios de nombres
Los siguientes ejemplos muestran las políticas de IAM que permiten a un administrador de Amazon Quick crear o eliminar espacios de nombres.
**Creación de espacios de nombres**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Eliminación de espacios de nombres**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: permisos personalizados
El siguiente ejemplo muestra una política de IAM que permite a un administrador o desarrollador de Amazon Quick gestionar permisos personalizados.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: personalización de las plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico en Amazon Quick, así como obtener atributos de verificación para una identidad de Amazon Simple Email Service. Esta política permite a un administrador de Amazon Quick crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificada en SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: cree una cuenta empresarial con los usuarios gestionados por Amazon Quick
El siguiente ejemplo muestra una política que permite a los administradores de Amazon Quick crear una cuenta Amazon Quick de la edición Enterprise con los usuarios gestionados por Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente usuarios de Amazon Quick. En `quicksight:CreateReader`, `quicksight:CreateUser` y `quicksight:CreateAdmin`, puede limitar los permisos a **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Para el resto de los permisos que se describen en esta guía, utilice **"Resource": "\$1"**. El recurso que especifique limita el alcance de los permisos para el recurso especificado.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: creación y gestión de grupos
El siguiente ejemplo muestra una política que permite a los administradores y desarrolladores de Amazon Quick crear y gestionar grupos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Standard
El siguiente ejemplo de la edición Amazon Quick Standard muestra una política que permite suscribirse y crear autores y lectores. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite a un usuario de Amazon Quick suscribirse a Amazon Quick, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles de Amazon Quick Pro que otorgan acceso a Amazon Q en las capacidades de BI de generación rápida. Para obtener más información sobre los roles profesionales en Amazon Quick, consulte [Comenzar con la BI generativa](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para la edición Quick: acceso total para empresas con IAM Identity Center
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y gestionar Active Directory en una cuenta de Amazon Quick integrada con IAM Identity Center.
Esta política no concede permisos para crear roles Pro en Amazon Quick. Para crear una política que conceda permiso para suscribirse a los roles Pro en Amazon Quick, consulte las políticas de [IAM basadas en la identidad de Amazon Quick: All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)roles Pro).
Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una cuenta de Amazon Quick que usa Active Directory para la administración de identidades. Este ejemplo deniega explícitamente el permiso para cancelar la suscripción a Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: grupos de Active Directory
El siguiente ejemplo muestra una política de IAM que permite la administración de grupos de Active Directory para una cuenta de Amazon Quick Enterprise Edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de activos
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de activos de administrador.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM basadas en la identidad para Quick: uso de la consola de administración de claves
En el siguiente ejemplo se muestra una política de IAM que permite el acceso a la consola de administración de claves de administrador.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Los `"kms:ListAliases"` permisos `"quicksight:ListKMSKeysForUser"` y son necesarios para acceder a las claves gestionadas por el cliente desde la consola Amazon Quick. `"quicksight:ListKMSKeysForUser"`y no `"kms:ListAliases"` están obligados a utilizar la gestión de claves rápidas de Amazon APIs.
Para especificar a qué claves quiere que un usuario pueda acceder, añada a ARNs la `UpdateKeyRegistration` condición las claves a las que desea que el usuario acceda con la clave de `quicksight:KmsKeyArns` condición. Los usuarios solo pueden acceder a las claves especificadas en `UpdateKeyRegistration`. Para obtener más información sobre las claves de estado compatibles con Amazon Quick, consulta [Claves de estado de Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
El siguiente ejemplo concede `Describe` permisos a todos los CMKs que estén registrados en una cuenta Amazon Quick y `Update` permisos a determinados CMKs que estén registrados en la cuenta Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS Resources Quick: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon Quick Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Aprovisionamiento de usuarios para Amazon Quick
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Destinatarios: administradores de sistemas y administradores de Amazon Quick |
## Autoaprovisionamiento de un administrador de Amazon Quick
Los administradores de Amazon Quick son usuarios que también pueden gestionar las funciones de Amazon Quick, como la configuración de la cuenta y las cuentas. También pueden comprar suscripciones de usuario de Amazon Quick adicionales, comprar [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) y cancelar la suscripción a Amazon Quick para usted Cuenta de AWS.
Puedes usar una política de AWS usuario o grupo para que los usuarios puedan añadirse a sí mismos como administradores de Amazon Quick. Los usuarios a los que se les haya concedido esta capacidad solo pueden agregarse a sí mismos como administradores y no pueden usar esta política para agregar a otros. Sus cuentas se activan y se pueden facturar la primera vez que abren Amazon Quick. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateAdmin`.
Como alternativa, puede usar el siguiente procedimiento para usar la consola y configurar o crear el administrador de Amazon Quick.
**Para convertir a un usuario en administrador de Amazon Quick**
1. Cree el AWS usuario:
+ Utilice IAM para crear el usuario que desee que sea el administrador de Amazon Quick. O bien, identifique un usuario existente de IAM para el rol de administrador. También puede poner al usuario dentro de un nuevo grupo para facilitar su gestión.
+ Otorgue al usuario (o grupo) permisos suficientes.
1. Inicie sesión en su cuenta Consola de administración de AWS con las credenciales del usuario objetivo.
1. Vaya a [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), escriba la dirección de correo electrónico del usuario de destino y, a continuación, elija **Continuar**.
En caso de éxito, el usuario objetivo pasa a ser administrador de Amazon Quick.
## Autoaprovisionamiento de un autor de Amazon Quick
Los autores de Amazon Quick pueden crear fuentes de datos, conjuntos de datos, análisis y paneles. Pueden compartir análisis y paneles con otros usuarios de Amazon Quick en su cuenta de Amazon Quick. Sin embargo, no tienen acceso al menú **rápido Gestionar Amazon**. No pueden cambiar la configuración de la cuenta, administrar cuentas, comprar suscripciones de usuario adicionales de Amazon Quick o capacidad de [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ni cancelar la suscripción a Amazon Quick por ti Cuenta de AWS. Los usuarios de Author Pro también pueden crear contenido en lenguaje natural, crear bases de conocimiento, configurar acciones y acceder a funciones de automatización avanzadas.
Puedes usar una política de AWS usuario o grupo para que los usuarios puedan crear una cuenta de autor de Amazon Quick para sí mismos. Sus cuentas se activan y se pueden facturar la primera vez que abren Amazon Quick. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateUser`.
## Autoaprovisionamiento de un usuario de solo lectura de Amazon Quick
Los usuarios o *lectores* de Amazon Quick de solo lectura pueden ver y manipular los paneles que se comparten con ellos, pero no pueden realizar ningún cambio ni guardar un panel para analizarlo más a fondo. Los lectores rápidos de Amazon no pueden crear fuentes de datos, conjuntos de datos, análisis ni imágenes. No pueden hacer ninguna tarea administrativa. Elija esta función para las personas que son consumidores de los paneles pero no crean sus propios análisis, como por ejemplo, ejecutivos. Los usuarios de Reader Pro tienen acceso a funciones avanzadas, como agentes de chat de IA, espacios de colaboración, flujos y extensiones.
Si utiliza Microsoft Active Directory con Amazon Quick, puede gestionar los permisos de solo lectura mediante un grupo. De lo contrario, puedes invitar a usuarios de forma masiva a utilizar Amazon Quick. También puedes usar una política de AWS usuario o grupo para que las personas puedan crear una cuenta de Amazon Quick Reader para sí mismas.
Las cuentas de los lectores se activan y se pueden facturar la primera vez que abren Amazon Quick. Si decide cambiar el tipo de usuario de alguien, la facturación de ese usuario se prorratea para un mes. Para configurar el autoaprovisionamiento, tiene que proporcionarles permiso para usar la acción `quicksight:CreateReader`.
Los lectores que se utilizan para actualizar los paneles de forma automática o mediante programación para casos de uso prácticamente en tiempo real deben elegir el precio de la capacidad. En el caso de los lectores con precios de usuario inferiores, cada lector está limitado al uso manual por parte de una sola persona.
# Solución de problemas de identidad y acceso rápidos
| |
| --- |
| Se aplica a: Enterprise Edition y Standard Edition |
| |
| --- |
| Público al que va dirigido: administradores de sistemas |
Usa la siguiente información para ayudarte a diagnosticar y solucionar problemas comunes que puedas encontrar al trabajar con Amazon Quick e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Amazon Quick
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM, `mateojackson`, intenta utilizar la consola para ver detalles sobre una *widget*, pero no tiene permisos `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `quicksight:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibes un error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Amazon Quick.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon Quick. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Quick
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon Quick admite estas funciones, consulta[Uso de Quick con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.