Paso 1: configuración de permisos - Amazon QuickSight

Paso 1: configuración de permisos

importante

Amazon QuickSight tiene nuevas API para integrar análisis: GenerateEmbedUrlForAnonymousUser y GenerateEmbedUrlForRegisteredUser.

Puede seguir utilizando las API de GetDashboardEmbedUrl y GetSessionEmbedUrl para integrar los paneles y la consola de QuickSight, pero no incluyen las funciones de integración más recientes. Para obtener la experiencia de integración más reciente y actualizada, consulte Incrustación de análisis de QuickSight en sus aplicaciones.

 Se aplica a: Enterprise Edition 
   Público al que va dirigido: desarrolladores de Amazon QuickSight 

En la siguiente sección, puede encontrar cómo configurar los permisos de la aplicación de backend o del servidor web. Esta tarea requiere acceso administrativo a IAM.

Cada usuario que obtenga acceso a un panel asume un rol que le proporcione acceso a Amazon QuickSight y permisos para el panel. Para ello, cree un rol de IAM en su cuenta de AWS. Asocie una política de IAM al rol para proporcionar permisos a cualquier usuario que lo asuma.

La siguiente política de ejemplo ofrece estos permisos para usar con IdentityType=ANONYMOUS. Para que este enfoque funcione, también necesita un paquete de sesiones, o un precio por capacidad de sesión, en su cuenta de AWS. De lo contrario, cuando un usuario intenta acceder al panel de control, se devuelve el error UnsupportedPricingPlanException. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "quicksight:GetDashboardEmbedUrl",
              "quickSight:GetAnonymousUserEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

La identidad de IAM de su aplicación debe tener asociada una política de confianza para permitir el acceso al rol que acaba de crear. Esto significa que, cuando un usuario accede a su aplicación, esta puede asumir el rol en nombre del usuario para abrir el panel. En el siguiente ejemplo, se muestra un rol denominado QuickSightEmbeddingAnonymousPolicy, que cuenta con la política de ejemplo anterior como recurso. 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::11112222333:role/QuickSightEmbeddingAnonymousPolicy"
    }
}

Para obtener más información sobre las políticas de confianza, consulte Credenciales de seguridad temporales en IAM en la Guía del usuario de IAM.