Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation d’IAM
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Quick. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Présentation des concepts IAM](security_iam_concepts.md)
+ [Utilisation de Quick avec IAM](security_iam_service-with-iam.md)
+ [Transmission de rôles IAM à Quick](security-create-iam-role.md)
+ [Exemples de politiques IAM pour Quick](iam-policy-examples.md)
+ [Provisionnement d'utilisateurs pour Amazon Quick](provisioning-users.md)
+ [Résolution des problèmes Identité et accès rapides](security_iam_troubleshoot.md)
# Présentation des concepts IAM
Gestion des identités et des accès AWS (IAM) est un AWS service qui aide un administrateur à contrôler de manière plus sécurisée l'accès aux AWS ressources. Les administrateurs contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Quick. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.
L'IAM est utilisé avec Amazon Quick de plusieurs manières, notamment de la manière suivante :
+ Si votre entreprise utilise IAM pour gérer ses identités, les utilisateurs disposent peut-être de noms d'utilisateur et de mots de passe IAM qu'ils utilisent pour se connecter à Amazon Quick.
+ Si vous souhaitez que vos utilisateurs Amazon Quick soient automatiquement créés lors de la première connexion, vous pouvez utiliser IAM pour créer une politique pour les utilisateurs préautorisés à utiliser Amazon Quick.
+ Si vous souhaitez créer un accès spécialisé pour des groupes spécifiques d'utilisateurs Amazon Quick ou à des ressources spécifiques, vous pouvez utiliser les politiques IAM pour y parvenir.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
## Public ciblé
Les éléments suivants vous aideront à comprendre le contexte des informations fournies dans cette section et la manière dont elles s’appliquent à votre rôle. La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction du travail que vous effectuez dans Amazon Quick.
**Utilisateur du service** : dans certains cas, vous pouvez utiliser Amazon Quick en tant qu'auteur ou lecteur pour interagir avec les données, les analyses, les tableaux de bord, les espaces et les agents via Amazon Quick en utilisant l'interface du navigateur. Dans ces cas, cette section ne fournit que des informations générales. Vous n'interagissez pas directement avec le service IAM, sauf si vous utilisez IAM pour vous connecter à Amazon Quick.
**Administrateur Amazon Quick** — Si vous êtes responsable des ressources Amazon Quick au sein de votre entreprise, vous avez probablement un accès complet à Amazon Quick. C'est à vous de déterminer les fonctionnalités et les ressources d'Amazon Quick auxquelles les membres de votre équipe doivent accéder. Si vous avez des exigences spécifiques que vous ne pouvez pas résoudre en utilisant le panneau d'administration Amazon Quick, vous pouvez travailler avec votre administrateur pour créer des politiques d'autorisation pour vos utilisateurs Amazon Quick. Pour en savoir plus sur IAM, consultez cette page pour comprendre les concepts de base d’IAM. Pour en savoir plus sur la manière dont votre entreprise peut utiliser l'IAM avec Amazon Quick, consultez la section [Utilisation d'Amazon Quick avec IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrateur** — Si vous êtes administrateur système, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à Amazon Quick. Pour consulter des exemples de politiques basées sur l'identité Amazon Quick que vous pouvez utiliser dans IAM, consultez les politiques [basées sur l'identité IAM pour Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples).
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Compte AWS utilisateur root](#security_iam_authentication-rootuser)
+ [Utilisateurs et groupes IAM](#security_iam_authentication-iamuser)
+ [Rôles IAM](#security_iam_authentication-iamrole)
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Utilisation de Quick avec IAM
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
Avant d'utiliser IAM pour gérer l'accès à Amazon Quick, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Quick. Pour obtenir une vue d'ensemble de la manière dont Amazon Quick et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Amazon Quick Policies (basées sur l'identité)](#security_iam_service-with-iam-id-based-policies)
+ [Politiques Amazon Quick (basées sur les ressources)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les balises Amazon Quick](#security_iam_service-with-iam-tags)
+ [Rôles Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (basées sur l'identité)
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon Quick prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
Vous pouvez utiliser les informations d'identification AWS root ou les informations d'identification utilisateur IAM pour créer un compte Amazon Quick. AWS les informations d'identification root et administrateur disposent déjà de toutes les autorisations requises pour gérer l'accès Amazon Quick aux AWS ressources.
Toutefois, nous vous recommandons de protéger vos informations d’identification racine et d’utiliser plutôt des informations d’identification d’utilisateur IAM. Pour ce faire, vous pouvez créer une politique et l'associer à l'utilisateur IAM et aux rôles que vous prévoyez d'utiliser pour Amazon Quick. La politique doit inclure les déclarations appropriées pour les tâches administratives Amazon Quick que vous devez effectuer, comme décrit dans les sections suivantes.
**Important**
Tenez compte des points suivants lorsque vous utilisez des politiques Quick et IAM :
Évitez de modifier directement une politique créée par Quick. Lorsque vous le modifiez vous-même, Quick ne peut pas le modifier. Cette incapacité peut entraîner un problème lié à la stratégie. Pour résoudre ce problème, supprimez la stratégie précédemment modifiée.
Si vous recevez une erreur concernant les autorisations lorsque vous essayez de créer un compte Amazon Quick, consultez la section [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
Dans certains cas, vous pouvez avoir un compte Amazon Quick auquel vous ne pouvez pas accéder, même depuis le compte root (par exemple, si vous avez accidentellement supprimé son service d'annuaire). Dans ce cas, vous pouvez supprimer votre ancien compte Amazon Quick, puis le recréer. Pour plus d'informations, consultez [Supprimer votre abonnement Amazon Quick et fermer le compte](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Actions](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemples](#security_iam_service-with-iam-id-based-policies-examples)
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans Amazon Quick utilisent le préfixe suivant avant l'action : `quicksight:` Par exemple, pour accorder à une personne l’autorisation d’exécuter une instance Amazon EC2 avec l’opération d’API `RunInstances` Amazon EC2, vous incluez l’action `ec2:RunInstances` dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Amazon Quick définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Create`, incluez l’action suivante :
```
"Action": "quicksight:Create*"
```
Amazon Quick propose un certain nombre d'actions Gestion des identités et des accès AWS (IAM). Toutes les actions Amazon Quick sont précédées du préfixe`quicksight:`, tel que`quicksight:Subscribe`. Pour plus d'informations sur l'utilisation des actions Amazon Quick dans une politique IAM, consultez les [exemples de politique IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Pour consulter la up-to-date liste complète des actions Amazon Quick, consultez la section [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Voici un exemple de stratégie. Cela signifie que le mandataire auquel cette stratégie est attachée est en mesure d’invoquer l’opération `CreateGroupMembership` sur n’importe quel groupe, à condition que le nom d’utilisateur qu’il ajoute au groupe ne soit pas `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Certaines actions Amazon Quick, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Certaines actions d’API nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
```
Pour consulter la liste des types de ressources Amazon Quick et leurs noms de ressources Amazon (ARNs), consultez la section [Ressources définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Amazon Quick ne fournit aucune clé de condition spécifique à un service, mais il prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section [Clés contextuelles de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques Amazon Quick basées sur l'identité, consultez [Amazon Quick Policies (basées sur l'identité)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Politiques Amazon Quick (basées sur les ressources)
Amazon Quick ne prend pas en charge les politiques basées sur les ressources. Cependant, vous pouvez utiliser la console Amazon Quick pour configurer l'accès aux autres AWS ressources de votre Compte AWS.
## Autorisation basée sur les balises Amazon Quick
Amazon Quick ne prend pas en charge le balisage des ressources ni le contrôle d'accès en fonction des balises.
## Rôles Amazon Quick IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui possède des autorisations spécifiques. Vous pouvez utiliser les rôles IAM pour regrouper les autorisations afin de faciliter la gestion de l'accès des utilisateurs aux actions Amazon Quick.
Amazon Quick ne prend pas en charge les fonctionnalités de rôle suivantes :
+ Rôles liés à un service.
+ Rôles de service
+ Informations d'identification temporaires (utilisation directe) : Amazon Quick utilise toutefois des informations d'identification temporaires pour permettre aux utilisateurs d'assumer un rôle IAM afin d'accéder aux tableaux de bord intégrés. Pour plus d'informations, consultez la section [Analyses intégrées pour Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Pour plus d'informations sur la manière dont Amazon Quick utilise les rôles IAM, consultez la section [Utilisation d'Amazon Quick avec IAM et exemples](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) de [politiques IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Transmission de rôles IAM à Quick
| |
| --- |
| S’applique à : édition Enterprise |
Lorsque vos utilisateurs IAM s'inscrivent à Quick, ils peuvent choisir d'utiliser le rôle géré par Amazon Quick (il s'agit du rôle par défaut). Ils peuvent également transmettre un rôle IAM existant à Amazon Quick.
Utilisez les sections ci-dessous pour transmettre les rôles IAM existants à Amazon Quick
**Topics**
+ [Conditions préalables](#security-create-iam-role-prerequisites)
+ [Rattachement de politiques supplémentaires](#security-create-iam-role-athena-s3)
+ [Utilisation de rôles IAM existants dans Quick](#security-create-iam-role-use)
## Conditions préalables
Pour que vos utilisateurs puissent transmettre des rôles IAM à Amazon Quick, votre administrateur doit effectuer les tâches suivantes :
+ **Créez un rôle IAM.** Pour plus d’informations sur la création de rôles IAM, consultez la rubrique [Création de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) dans le *Guide de l’utilisateur IAM*.
+ **Associez une politique de confiance à votre rôle IAM qui permet à Amazon Quick d'assumer ce rôle**. Utilisez l’exemple suivant pour créer une politique d’approbation pour le rôle. L'exemple de politique de confiance suivant permet au Quick principal d'assumer le rôle IAM auquel il est attaché.
Pour plus d’informations sur la création de politiques d’approbation IAM et leur rattachement à des rôles, consultez la rubrique [Modification d’un rôle (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) dans le *Guide de l’utilisateur IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Attribuez les autorisations IAM suivantes à votre administrateur (utilisateurs ou rôles IAM)** :
+ `quicksight:UpdateResourcePermissions`— Cela donne aux utilisateurs IAM qui sont administrateurs Amazon Quick l'autorisation de mettre à jour les autorisations au niveau des ressources dans Amazon Quick. Pour plus d'informations sur les types de ressources définis par Amazon Quick, consultez la section [Actions, ressources et clés de condition pour Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) dans le *guide de l'utilisateur IAM*.
+ `iam:PassRole`— Cela autorise les utilisateurs à transmettre des rôles à Amazon Quick. Pour plus d'informations, consultez la section [Octroi à un utilisateur des autorisations lui permettant de transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*.
+ `iam:ListRoles`— (Facultatif) Cela autorise les utilisateurs à consulter la liste des rôles existants dans Amazon Quick. Si cette autorisation n’est pas donnée, ils peuvent utiliser un ARN pour utiliser les rôles IAM existants.
Voici un exemple de politique d'autorisations IAM qui permet de gérer les autorisations au niveau des ressources, de répertorier les rôles IAM et de transmettre des rôles IAM dans Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Pour plus d'exemples de politiques IAM que vous pouvez utiliser avec Amazon Quick, consultez les [exemples de politiques IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Pour plus d’informations sur l’attribution de politiques d’autorisation aux utilisateurs ou aux groupes d’utilisateurs, consultez la rubrique [Modification des autorisations d’un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) dans le *Guide de l’utilisateur IAM*.
## Rattachement de politiques supplémentaires
Si vous utilisez un autre AWS service, tel qu'Amazon Athena ou Amazon S3, vous pouvez créer une politique d'autorisation qui autorise Amazon Quick à effectuer des actions spécifiques. Vous pouvez ensuite associer la politique aux rôles IAM que vous transmettrez ultérieurement à Amazon Quick. Vous trouverez ci-dessous des exemples de la manière dont vous pouvez configurer et attacher des politiques d’autorisation supplémentaires à vos rôles IAM.
Pour un exemple de politique gérée pour Amazon Quick dans Athena, consultez la section [Politique AWSQuicksight AthenaAccess gérée](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) dans le guide de l'utilisateur d'*Amazon Athena*. Les utilisateurs IAM peuvent accéder à ce rôle dans Amazon Quick à l'aide de l'ARN suivant :`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`.
Voici un exemple de politique d'autorisation pour Amazon Quick dans Amazon S3. Pour plus d’informations sur l’utilisation d’IAM avec Amazon S3, consultez la rubrique [Gestion des identités et des accès dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) dans le *Guide de l’utilisateur d’Amazon S3*.
Pour plus d'informations sur la façon de créer un accès entre comptes depuis Amazon Quick vers un compartiment Amazon S3 d'un autre compte, consultez [Comment configurer l'accès entre comptes depuis Quick vers un compartiment Amazon S3 d'un autre](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) compte ? dans le AWS Knowledge Center.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Utilisation de rôles IAM existants dans Quick
Si vous êtes administrateur Amazon Quick et que vous êtes autorisé à mettre à jour les ressources Amazon Quick et à transmettre des rôles IAM, vous pouvez utiliser les rôles IAM existants dans Amazon Quick. Pour en savoir plus sur les conditions requises pour transmettre des rôles IAM dans Amazon Quick, consultez les [conditions requises](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) décrites dans la liste précédente.
Suivez la procédure suivante pour savoir comment transmettre des rôles IAM dans Amazon Quick.
**Pour utiliser un rôle IAM existant dans Amazon Quick**
1. Dans Amazon Quick, choisissez le nom de votre compte dans la barre de navigation en haut à droite, puis sélectionnez **Gérer QuickSight**.
1. Sur la page **Manage Amazon Quick** qui s'ouvre, choisissez **Security & Permissions** dans le menu de gauche.
1. Sur la page **Sécurité et autorisations** qui s'ouvre, sous **Amazon Quick access to AWS services**, sélectionnez **Manage**.
1. Pour le **rôle IAM**, choisissez **Utiliser un rôle existant**, puis effectuez l’une des opérations suivantes :
+ Choisissez le rôle que vous voulez utiliser dans la liste.
+ Ou, si vous ne voyez pas de liste des rôles IAM existants, vous avez la possibilité de saisir l’ARN IAM du rôle au format suivant : `arn:aws:iam::account-id:role/path/role-name`.
1. Choisissez **Enregistrer**.
# Exemples de politiques IAM pour Quick
Cette section fournit des exemples de politiques IAM que vous pouvez utiliser avec Quick.
## Politiques basées sur l'identité IAM pour Quick
Cette section présente des exemples de politiques basées sur l'identité à utiliser avec Quick.
**Topics**
+ [Politiques basées sur l'identité IAM pour l'administration de la console Amazon Quick IAM](#security_iam_conosole-administration)
### Politiques basées sur l'identité IAM pour l'administration de la console Amazon Quick IAM
L'exemple suivant montre les autorisations IAM nécessaires pour les actions d'administration de la console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : tableaux de bord
L’exemple suivant présente une politique IAM qui permet le partage et l’intégration de tableaux de bord spécifiques.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Politiques basées sur l'identité IAM pour les espaces de noms Quick :
Les exemples suivants présentent les politiques IAM qui permettent à un administrateur Amazon Quick de créer ou de supprimer des espaces de noms.
**Création d’espaces de noms**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Suppression d’espaces de noms**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : autorisations personnalisées
L'exemple suivant montre une politique IAM qui permet à un administrateur ou à un développeur Amazon Quick de gérer des autorisations personnalisées.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
L’exemple suivant présente une autre façon d’accorder les mêmes autorisations que dans l’exemple précédent.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : personnalisation des modèles de rapports par e-mail
L'exemple suivant montre une politique qui permet de consulter, de mettre à jour et de créer des modèles de rapports par e-mail dans Amazon Quick, ainsi que d'obtenir des attributs de vérification pour une identité Amazon Simple Email Service. Cette politique permet à un administrateur Amazon Quick de créer et de mettre à jour des modèles de rapports par e-mail personnalisés, et de confirmer que toute adresse e-mail personnalisée à partir de laquelle il souhaite envoyer des rapports par e-mail est une identité vérifiée dans SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : créer un compte d'entreprise avec des utilisateurs gérés par Amazon Quick
L'exemple suivant montre une politique qui permet aux administrateurs Amazon Quick de créer un compte Amazon Quick édition Enterprise avec des utilisateurs gérés par Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : création d'utilisateurs
L'exemple suivant montre une politique qui autorise uniquement la création d'utilisateurs Amazon Quick. Pour `quicksight:CreateReader`, `quicksight:CreateUser` et `quicksight:CreateAdmin`, vous pouvez limiter les autorisations à **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Pour toutes les autres autorisations décrites dans ce guide, utilisez **"Resource": "\$1"**. La ressource que vous spécifiez limite la portée des autorisations pour la ressource spécifiée.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : création et gestion de groupes
L'exemple suivant montre une politique qui permet aux administrateurs et aux développeurs Amazon Quick de créer et de gérer des groupes.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access pour l'édition Standard
L'exemple suivant pour l'édition Amazon Quick Standard montre une politique qui permet de s'abonner et de créer des auteurs et des lecteurs. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise edition avec IAM Identity Center (rôles Pro)
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet à un utilisateur d'Amazon Quick de s'abonner à Amazon Quick, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique permet également aux utilisateurs de s'abonner à des rôles Amazon Quick Pro qui accordent l'accès à Amazon Q dans le cadre des fonctionnalités de BI de Quick Generative. Pour plus d'informations sur les rôles Pro dans Amazon Quick, consultez [Commencer avec Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour l'édition Quick : All Access for Enterprise avec IAM Identity Center
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique n'autorise pas la création de rôles Pro dans Amazon Quick. Pour créer une politique autorisant l'abonnement à des rôles Pro dans Amazon Quick, consultez les politiques [basées sur l'identité IAM pour Amazon Quick : All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)rôles Pro).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise Edition avec Active Directory
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick qui utilise Active Directory pour la gestion des identités. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour les groupes Quick : Active Directory
L'exemple suivant montre une politique IAM qui permet la gestion de groupes Active Directory pour un compte Amazon Quick Enterprise Edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des actifs d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des actifs d’administration.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des clés d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des clés d’administration.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Les `"kms:ListAliases"` autorisations `"quicksight:ListKMSKeysForUser"` et sont requises pour accéder aux clés gérées par le client depuis la console Amazon Quick. `"quicksight:ListKMSKeysForUser"`et ne `"kms:ListAliases"` sont pas tenus d'utiliser le système de gestion des clés Amazon Quick APIs.
Pour spécifier les clés auxquelles vous souhaitez qu'un utilisateur puisse accéder, ajoutez les ARNs clés auxquelles vous souhaitez que l'utilisateur accède à la `UpdateKeyRegistration` condition à l'aide de la clé de `quicksight:KmsKeyArns` condition. Les utilisateurs ne peuvent accéder qu’aux clés spécifiées dans `UpdateKeyRegistration`. Pour plus d'informations sur les clés de condition prises en charge pour Amazon Quick, consultez la section [Clés de condition pour Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
L'exemple ci-dessous accorde des `Describe` autorisations à toutes CMKs les personnes enregistrées sur un compte Amazon Quick et des `Update` autorisations à des personnes spécifiques CMKs enregistrées sur le compte Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS ressources Quick : politiques de cadrage dans l'édition Enterprise
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de définir l'accès par défaut aux AWS ressources et de définir les politiques relatives aux autorisations d'accès aux AWS ressources.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Provisionnement d'utilisateurs pour Amazon Quick
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système et administrateurs Amazon Quick |
## Autoprovisionnement d'un administrateur Amazon Quick
Les administrateurs Amazon Quick sont des utilisateurs qui peuvent également gérer les fonctionnalités d'Amazon Quick, telles que les paramètres des comptes et les comptes. Ils peuvent également acheter des abonnements utilisateurs Amazon Quick supplémentaires, acheter [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) et annuler l'abonnement à Amazon Quick pour votre compte Compte AWS.
Vous pouvez utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de s'ajouter eux-mêmes en tant qu'administrateurs d'Amazon Quick. Les utilisateurs auxquels cette possibilité a été accordée ne peuvent s’ajouter qu’eux-mêmes en tant qu’administrateurs et ne peuvent pas utiliser cette politique pour ajouter d’autres personnes. Leurs comptes deviennent actifs et facturables la première fois qu'ils ouvrent Amazon Quick. Pour configurer l’auto-provisionnement, donnez à ces utilisateurs l’autorisation d’utiliser l’action `quicksight:CreateAdmin`.
Vous pouvez également utiliser la procédure suivante pour utiliser la console afin de définir ou de créer l'administrateur pour Amazon Quick.
**Pour définir un utilisateur comme administrateur Amazon Quick**
1. Créez l' AWS utilisateur :
+ Utilisez IAM pour créer l'utilisateur que vous souhaitez utiliser en tant qu'administrateur d'Amazon Quick. Sinon, identifiez un utilisateur existant dans IAM pour le rôle d’administrateur. Vous pouvez également placer l’utilisateur dans un nouveau groupe pour une plus grande facilité de gestion.
+ Accordez à l’utilisateur (ou au groupe) les autorisations suffisantes.
1. Connectez-vous à votre compte AWS Management Console avec les informations d'identification de l'utilisateur cible.
1. Accédez à [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), saisissez l’adresse e-mail de l’utilisateur cible, puis choisissez **Continuer**.
En cas de succès, l'utilisateur cible est désormais administrateur dans Amazon Quick.
## Autoprovisionnement d'un auteur Amazon Quick
Les auteurs d'Amazon Quick peuvent créer des sources de données, des ensembles de données, des analyses et des tableaux de bord. Ils peuvent partager des analyses et des tableaux de bord avec d'autres utilisateurs d'Amazon Quick sur votre compte Amazon Quick. Cependant, ils n'ont pas accès au menu **Manage Amazon Quick**. Ils ne peuvent pas modifier les paramètres du compte, gérer les comptes, acheter des abonnements utilisateurs Amazon Quick supplémentaires ou de la capacité [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ni annuler l'abonnement à Amazon Quick pour votre compte Compte AWS. Les utilisateurs d'Author Pro peuvent également créer du contenu en langage naturel, créer des bases de connaissances, configurer des actions et accéder à des fonctionnalités d'automatisation avancées.
Vous pouvez utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de créer eux-mêmes un compte d'auteur Amazon Quick. Leurs comptes deviennent actifs et facturables la première fois qu'ils ouvrent Amazon Quick. Pour configurer l’auto-provisionnement, vous devez les autoriser à utiliser l’action `quicksight:CreateUser`.
## Autoprovisionnement d'un utilisateur Amazon Quick en lecture seule
Les utilisateurs ou *lecteurs* d'Amazon Quick en lecture seule peuvent consulter et manipuler les tableaux de bord partagés avec eux, mais ils ne peuvent pas apporter de modifications ni enregistrer un tableau de bord pour une analyse plus approfondie. Les lecteurs Amazon Quick ne peuvent pas créer de sources de données, d'ensembles de données, d'analyses ou de visuels. Ils ne peuvent effectuer aucune tâche administrative. Choisissez ce rôle pour les personnes qui utilisent des tableaux de bord, mais qui ne créent pas leurs propres analyses, par exemple, les dirigeants. Les utilisateurs de Reader Pro ont accès à des fonctionnalités avancées, notamment des agents de chat basés sur l'IA, des espaces collaboratifs, des flux et des extensions.
Si vous utilisez Microsoft Active Directory avec Amazon Quick, vous pouvez gérer les autorisations de lecture seule à l'aide d'un groupe. Sinon, vous pouvez inviter des utilisateurs par lots à utiliser Amazon Quick. Vous pouvez également utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de créer eux-mêmes un compte Amazon Quick Reader.
Les comptes des lecteurs deviennent actifs et facturables dès qu'ils ouvrent Amazon Quick pour la première fois. Si vous décidez de mettre à niveau ou de rétrograder un utilisateur, la facturation pour cet utilisateur est calculée au prorata pour le mois. Pour configurer l’auto-provisionnement, vous devez les autoriser à utiliser l’action `quicksight:CreateReader`.
Les lecteurs qui sont utilisés pour actualiser automatiquement ou par programmation les tableaux de bord pour des cas d’utilisation en temps quasi réel doivent choisir la tarification à la capacité. Pour les lecteurs soumis à la tarification à l’utilisation, chaque lecteur est limité à l’utilisation manuelle par une seule personne.
# Résolution des problèmes Identité et accès rapides
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Quick et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon Quick
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide.
L'exemple d'erreur suivant se produit lorsque l'utilisateur IAM `mateojackson` tente d'utiliser la console pour afficher des informations détaillées concernant un élément *widget* mais ne dispose pas des autorisations `quicksight:GetWidget` nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `quicksight:GetWidget`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon Quick.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon Quick. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Quick
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon Quick prend en charge ces fonctionnalités, consultez[Utilisation de Quick avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.