Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
IAMejemplos de políticas para Amazon QuickSight
En esta sección se proporcionan ejemplos de IAM políticas que puedes usar con Amazon QuickSight.
IAMpolíticas basadas en identidad para Amazon QuickSight
En esta sección se muestran ejemplos de políticas basadas en la identidad para usar con Amazon. QuickSight
Temas
- IAMpolíticas basadas en la identidad para la administración de consolas QuickSight IAM
- IAMpolíticas basadas en identidad para Amazon QuickSight: paneles
- IAMpolíticas basadas en identidad para Amazon QuickSight: espacios de nombres
- IAMpolíticas basadas en la identidad para Amazon QuickSight: permisos personalizados
- IAMpolíticas basadas en la identidad para Amazon QuickSight: personalización de plantillas de informes de correo electrónico
- IAMpolíticas basadas en la identidad para Amazon QuickSight: cree una cuenta empresarial con QuickSight usuarios gestionados
- IAMpolíticas basadas en la identidad para Amazon QuickSight: creación de usuarios
- IAMpolíticas basadas en la identidad para Amazon QuickSight: creación y gestión de grupos
- IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total para la edición estándar
- IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
- IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center
- IAMpolíticas basadas en identidad para Amazon QuickSight: acceso total para la edición Enterprise con Active Directory
- IAMpolíticas basadas en identidad para Amazon QuickSight: grupos de Active Directory
- IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de activos
- IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de claves de administración
- AWS recursos Amazon QuickSight: políticas de alcance en la edición Enterprise
IAMpolíticas basadas en la identidad para la administración de consolas QuickSight IAM
El siguiente ejemplo muestra los IAM permisos necesarios para las acciones de administración de QuickSight IAM la consola.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
IAMpolíticas basadas en identidad para Amazon QuickSight: paneles
El siguiente ejemplo muestra una IAM política que permite compartir e incrustar paneles para paneles específicos.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:
111122223333
:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89
", "Effect": "Allow" } ] }
IAMpolíticas basadas en identidad para Amazon QuickSight: espacios de nombres
Los siguientes ejemplos muestran IAM políticas que permiten a un QuickSight administrador crear o eliminar espacios de nombres.
Creación de espacios de nombres
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminación de espacios de nombres
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: permisos personalizados
El siguiente ejemplo muestra una IAM política que permite a un QuickSight administrador o desarrollador gestionar los permisos personalizados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: personalización de plantillas de informes de correo electrónico
El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico QuickSight, así como obtener los atributos de verificación de una identidad de Amazon Simple Email Service. Esta política permite al QuickSight administrador crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificadaSES.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: cree una cuenta empresarial con QuickSight usuarios gestionados
El siguiente ejemplo muestra una política que permite a QuickSight los administradores crear una QuickSight cuenta de la edición Enterprise con usuarios QuickSight gestionados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: creación de usuarios
El siguiente ejemplo muestra una política que permite crear únicamente QuickSight usuarios de Amazon. En quicksight:CreateReader
, quicksight:CreateUser
y quicksight:CreateAdmin
, puede limitar los permisos a "Resource":
"arn:aws:quicksight::
. Para el resto de los permisos que se describen en esta guía, utilice <YOUR_AWS_ACCOUNTID>
:user/${aws:userid}""Resource":
"*"
. El recurso que especifique limita el alcance de los permisos para el recurso especificado.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<
YOUR_AWS_ACCOUNTID
>:user/${aws:userid}" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: creación y gestión de grupos
El siguiente ejemplo muestra una política que permite a QuickSight los administradores y desarrolladores crear y gestionar grupos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total para la edición estándar
El siguiente ejemplo de la edición Amazon QuickSight Standard muestra una política que permite suscribirse y crear autores y lectores. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite a un QuickSight usuario suscribirse QuickSight, crear usuarios y administrar Active Directory en una QuickSight cuenta integrada con IAM Identity Center.
Esta política también permite a los usuarios suscribirse a los roles QuickSight Pro que otorgan acceso a Amazon Q en las capacidades de BI QuickSight generativa. Para obtener más información sobre los puestos profesionales en Amazon QuickSight, consulteComience a utilizar la BI generativa.
En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }
IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta integrada con IAM Identity Center.
Esta política no concede permisos para crear roles profesionales en QuickSight. Para crear una política que conceda permiso para suscribirse a los roles profesionales en QuickSight, consulteIAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro).
En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
IAMpolíticas basadas en identidad para Amazon QuickSight: acceso total para la edición Enterprise con Active Directory
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta que usa Active Directory para la administración de identidades. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAMpolíticas basadas en identidad para Amazon QuickSight: grupos de Active Directory
El siguiente ejemplo muestra una IAM política que permite la administración de grupos de Active Directory para una cuenta de Amazon QuickSight Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de activos
El siguiente ejemplo muestra una IAM política que permite el acceso a la consola de administración de activos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de claves de administración
El siguiente ejemplo muestra una IAM política que permite el acceso a la consola de administración de claves de administración.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Se requieren "kms:ListAliases"
los permisos "quicksight:ListKMSKeysForUser"
y permisos para acceder a las claves administradas por el cliente desde la QuickSight consola. "quicksight:ListKMSKeysForUser"
y no "kms:ListAliases"
son necesarios para usar la administración de QuickSight clavesAPIs.
Para especificar a qué claves desea que un usuario pueda acceder, añada a ARNs la UpdateKeyRegistration
condición las claves a las que desea que el usuario acceda con la clave de quicksight:KmsKeyArns
condición. Los usuarios solo pueden acceder a las claves especificadas enUpdateKeyRegistration
. Para obtener más información sobre las claves de estado compatibles QuickSight, consulta Claves de condición de Amazon QuickSight.
En el siguiente ejemplo, se conceden Describe
permisos a todos los CMKs que estén registrados en una QuickSight cuenta y Update
permisos a personas específicas CMKs que estén registradas en la QuickSight cuenta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"
arn:aws:quicksight:us-west-2:123456789012:*
" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*
", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1
", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2
", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*
" } ] }
AWS recursos Amazon QuickSight: políticas de alcance en la edición Enterprise
El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }