IAMejemplos de políticas para Amazon QuickSight - Amazon QuickSight

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMejemplos de políticas para Amazon QuickSight

En esta sección se proporcionan ejemplos de IAM políticas que puedes usar con Amazon QuickSight.

IAMpolíticas basadas en identidad para Amazon QuickSight

En esta sección se muestran ejemplos de políticas basadas en la identidad para usar con Amazon. QuickSight

Temas

IAMpolíticas basadas en la identidad para la administración de consolas QuickSight IAM

El siguiente ejemplo muestra los IAM permisos necesarios para las acciones de administración de QuickSight IAM la consola.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }

IAMpolíticas basadas en identidad para Amazon QuickSight: paneles

El siguiente ejemplo muestra una IAM política que permite compartir e incrustar paneles para paneles específicos.

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }

IAMpolíticas basadas en identidad para Amazon QuickSight: espacios de nombres

Los siguientes ejemplos muestran IAM políticas que permiten a un QuickSight administrador crear o eliminar espacios de nombres.

Creación de espacios de nombres

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }

Eliminación de espacios de nombres

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: permisos personalizados

El siguiente ejemplo muestra una IAM política que permite a un QuickSight administrador o desarrollador gestionar los permisos personalizados.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }

En el siguiente ejemplo se muestra otra forma de conceder los mismos permisos que se muestran en el ejemplo anterior.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: personalización de plantillas de informes de correo electrónico

El siguiente ejemplo muestra una política que permite ver, actualizar y crear plantillas de informes de correo electrónico QuickSight, así como obtener los atributos de verificación de una identidad de Amazon Simple Email Service. Esta política permite al QuickSight administrador crear y actualizar plantillas de informes de correo electrónico personalizadas y confirmar que cualquier dirección de correo electrónico personalizada desde la que desee enviar informes por correo electrónico es una identidad verificadaSES.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: cree una cuenta empresarial con QuickSight usuarios gestionados

El siguiente ejemplo muestra una política que permite a QuickSight los administradores crear una QuickSight cuenta de la edición Enterprise con usuarios QuickSight gestionados.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: creación de usuarios

El siguiente ejemplo muestra una política que permite crear únicamente QuickSight usuarios de Amazon. En quicksight:CreateReader, quicksight:CreateUser y quicksight:CreateAdmin, puede limitar los permisos a "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}". Para el resto de los permisos que se describen en esta guía, utilice "Resource": "*". El recurso que especifique limita el alcance de los permisos para el recurso especificado.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: creación y gestión de grupos

El siguiente ejemplo muestra una política que permite a QuickSight los administradores y desarrolladores crear y gestionar grupos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total para la edición estándar

El siguiente ejemplo de la edición Amazon QuickSight Standard muestra una política que permite suscribirse y crear autores y lectores. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro)

El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite a un QuickSight usuario suscribirse QuickSight, crear usuarios y administrar Active Directory en una QuickSight cuenta integrada con IAM Identity Center.

Esta política también permite a los usuarios suscribirse a los roles QuickSight Pro que otorgan acceso a Amazon Q en las capacidades de BI QuickSight generativa. Para obtener más información sobre los puestos profesionales en Amazon QuickSight, consulteComience a utilizar la BI generativa.

En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }

IAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center

El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta integrada con IAM Identity Center.

Esta política no concede permisos para crear roles profesionales en QuickSight. Para crear una política que conceda permiso para suscribirse a los roles profesionales en QuickSight, consulteIAMpolíticas basadas en la identidad para Amazon QuickSight: acceso total a la edición Enterprise con IAM Identity Center (funciones Pro).

En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }

IAMpolíticas basadas en identidad para Amazon QuickSight: acceso total para la edición Enterprise con Active Directory

El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite suscribirse, crear usuarios y administrar Active Directory en una QuickSight cuenta que usa Active Directory para la administración de identidades. En este ejemplo se deniega explícitamente el permiso para cancelar la suscripción a Amazon QuickSight.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAMpolíticas basadas en identidad para Amazon QuickSight: grupos de Active Directory

El siguiente ejemplo muestra una IAM política que permite la administración de grupos de Active Directory para una cuenta de Amazon QuickSight Enterprise Edition.

{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de activos

El siguiente ejemplo muestra una IAM política que permite el acceso a la consola de administración de activos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }

IAMpolíticas basadas en identidad para Amazon QuickSight: uso de la consola de administración de claves de administración

El siguiente ejemplo muestra una IAM política que permite el acceso a la consola de administración de claves de administración.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }

Se requieren "kms:ListAliases" los permisos "quicksight:ListKMSKeysForUser" y permisos para acceder a las claves administradas por el cliente desde la QuickSight consola. "quicksight:ListKMSKeysForUser"y no "kms:ListAliases" son necesarios para usar la administración de QuickSight clavesAPIs.

Para especificar a qué claves desea que un usuario pueda acceder, añada a ARNs la UpdateKeyRegistration condición las claves a las que desea que el usuario acceda con la clave de quicksight:KmsKeyArns condición. Los usuarios solo pueden acceder a las claves especificadas enUpdateKeyRegistration. Para obtener más información sobre las claves de estado compatibles QuickSight, consulta Claves de condición de Amazon QuickSight.

En el siguiente ejemplo, se conceden Describe permisos a todos los CMKs que estén registrados en una QuickSight cuenta y Update permisos a personas específicas CMKs que estén registradas en la QuickSight cuenta.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }

AWS recursos Amazon QuickSight: políticas de alcance en la edición Enterprise

El siguiente ejemplo de la edición Amazon QuickSight Enterprise muestra una política que permite establecer el acceso predeterminado a AWS los recursos y establecer el alcance de las políticas para los permisos a los AWS recursos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }