Paso 1: configuración de permisos

importante

Amazon QuickSight tiene nuevas API para integrar análisis: GenerateEmbedUrlForAnonymousUser y GenerateEmbedUrlForRegisteredUser.

Puede seguir utilizando las API de GetDashboardEmbedUrl y GetSessionEmbedUrl para integrar los paneles y la consola de QuickSight, pero no incluyen las funciones de integración más recientes. Para obtener la experiencia de integración más reciente y actualizada, consulte Incrustación de análisis de QuickSight en sus aplicaciones.

En la siguiente sección, puede encontrar cómo configurar los permisos de la aplicación de backend o del servidor web. Esta tarea requiere acceso administrativo a IAM.

Cada usuario que accede a QuickSight asume un rol que le da acceso a Amazon QuickSight y permisos para la sesión de consola. Para ello, cree un rol de IAM en su cuenta de AWS. Asocie una política de IAM al rol para proporcionar permisos a cualquier usuario que lo asuma. Añada permisos quicksight:RegisterUser para asegurarse de que el usuario tenga acceso de lectura a QuickSight y no a otras posibilidades de datos o de creación. El rol de IAM también debe proporcionar permisos para recuperar las URL de las sesiones de consola. Para ello, añada quicksight:GetSessionEmbedUrl.

La siguiente política de ejemplo ofrece estos permisos para usar con IdentityType=IAM.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

El siguiente ejemplo de política proporciona permiso para recuperar la URL de una sesión de consola. Utilice la política sin quicksight:RegisterUser si va a crear usuarios antes de que accedan a una sesión integrada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

Si utiliza QUICKSIGHT como su identityType, y proporciona el Nombre de recurso de Amazon (ARN) del usuario, también debe permitir la acción quicksight:GetAuthCode en su política. La siguiente política de ejemplo proporciona este permiso.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

La identidad de IAM de su aplicación debe tener asociada una política de confianza para permitir el acceso al rol que acaba de crear. Esto significa que, cuando un usuario accede a su aplicación, esta puede asumir el rol en nombre del usuario e incluir al usuario en QuickSight. En el siguiente ejemplo, se muestra un rol denominado embedding_quicksight_console_session_role, que cuenta con la política de ejemplo anterior como recurso.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_console_session_role"
    }
}

Para obtener más información sobre las políticas de confianza para la autenticación de OpenID Connect o SAML, consulte las siguientes secciones de la Guía del usuario de IAM:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Integración de la consola de QuickSight mediante GetSessionEmbedUrl (API antigua)

Paso 2: obtención de la URL