Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès dans Quick
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système et administrateurs Amazon Quick |
Vous pouvez utiliser les outils suivants pour vous identifier et accéder à Quick :
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (édition Enterprise uniquement)
+ [Fédération IAM](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (éditions Standard et Enterprise)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (édition Enterprise uniquement)
+ [Authentification unique basée sur SAML (éditions](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) Standard et Enterprise)
+ [Authentification multi-facteurs (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (éditions Standard et Enterprise)
**Note**
Dans les régions répertoriées ci-dessous, les comptes Amazon Quick ne peuvent utiliser [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) que pour la gestion des identités et des accès.
`af-south-1` Afrique (Le Cap)
`ap-southeast-3` Asie-Pacifique (Jakarta)
`ap-southeast-5`Asie-Pacifique (Malaisie)
`eu-south-1` Europe (Milan)
`eu-central-2` Europe (Zurich)
Les sections suivantes vous aident à configurer la méthode de gestion des identités de votre choix pour Quick.
**Topics**
+ [Utilisation d’IAM](iam.md)
+ [Utilisation d'IAM Identity Center](setting-up-sso.md)
+ [Fédération IAM](iam-federation.md)
+ [Utilisation d'Active Directory avec l'édition Amazon Quick Enterprise](aws-directory-service.md)
+ [Utilisation de l'authentification multifactorielle (MFA) avec Amazon Quick](using-multi-factor-authentication-mfa.md)
# Utilisation d’IAM
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Quick. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Présentation des concepts IAM](security_iam_concepts.md)
+ [Utilisation de Quick avec IAM](security_iam_service-with-iam.md)
+ [Transmission de rôles IAM à Quick](security-create-iam-role.md)
+ [Exemples de politiques IAM pour Quick](iam-policy-examples.md)
+ [Provisionnement d'utilisateurs pour Amazon Quick](provisioning-users.md)
+ [Résolution des problèmes Identité et accès rapides](security_iam_troubleshoot.md)
# Présentation des concepts IAM
Gestion des identités et des accès AWS (IAM) est un AWS service qui aide un administrateur à contrôler de manière plus sécurisée l'accès aux AWS ressources. Les administrateurs contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Quick. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.
L'IAM est utilisé avec Amazon Quick de plusieurs manières, notamment de la manière suivante :
+ Si votre entreprise utilise IAM pour gérer ses identités, les utilisateurs disposent peut-être de noms d'utilisateur et de mots de passe IAM qu'ils utilisent pour se connecter à Amazon Quick.
+ Si vous souhaitez que vos utilisateurs Amazon Quick soient automatiquement créés lors de la première connexion, vous pouvez utiliser IAM pour créer une politique pour les utilisateurs préautorisés à utiliser Amazon Quick.
+ Si vous souhaitez créer un accès spécialisé pour des groupes spécifiques d'utilisateurs Amazon Quick ou à des ressources spécifiques, vous pouvez utiliser les politiques IAM pour y parvenir.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
## Public ciblé
Les éléments suivants vous aideront à comprendre le contexte des informations fournies dans cette section et la manière dont elles s’appliquent à votre rôle. La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction du travail que vous effectuez dans Amazon Quick.
**Utilisateur du service** : dans certains cas, vous pouvez utiliser Amazon Quick en tant qu'auteur ou lecteur pour interagir avec les données, les analyses, les tableaux de bord, les espaces et les agents via Amazon Quick en utilisant l'interface du navigateur. Dans ces cas, cette section ne fournit que des informations générales. Vous n'interagissez pas directement avec le service IAM, sauf si vous utilisez IAM pour vous connecter à Amazon Quick.
**Administrateur Amazon Quick** — Si vous êtes responsable des ressources Amazon Quick au sein de votre entreprise, vous avez probablement un accès complet à Amazon Quick. C'est à vous de déterminer les fonctionnalités et les ressources d'Amazon Quick auxquelles les membres de votre équipe doivent accéder. Si vous avez des exigences spécifiques que vous ne pouvez pas résoudre en utilisant le panneau d'administration Amazon Quick, vous pouvez travailler avec votre administrateur pour créer des politiques d'autorisation pour vos utilisateurs Amazon Quick. Pour en savoir plus sur IAM, consultez cette page pour comprendre les concepts de base d’IAM. Pour en savoir plus sur la manière dont votre entreprise peut utiliser l'IAM avec Amazon Quick, consultez la section [Utilisation d'Amazon Quick avec IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrateur** — Si vous êtes administrateur système, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à Amazon Quick. Pour consulter des exemples de politiques basées sur l'identité Amazon Quick que vous pouvez utiliser dans IAM, consultez les politiques [basées sur l'identité IAM pour Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples).
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Compte AWS utilisateur root](#security_iam_authentication-rootuser)
+ [Utilisateurs et groupes IAM](#security_iam_authentication-iamuser)
+ [Rôles IAM](#security_iam_authentication-iamrole)
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Utilisation de Quick avec IAM
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
Avant d'utiliser IAM pour gérer l'accès à Amazon Quick, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Quick. Pour obtenir une vue d'ensemble de la manière dont Amazon Quick et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Amazon Quick Policies (basées sur l'identité)](#security_iam_service-with-iam-id-based-policies)
+ [Politiques Amazon Quick (basées sur les ressources)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les balises Amazon Quick](#security_iam_service-with-iam-tags)
+ [Rôles Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (basées sur l'identité)
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon Quick prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
Vous pouvez utiliser les informations d'identification AWS root ou les informations d'identification utilisateur IAM pour créer un compte Amazon Quick. AWS les informations d'identification root et administrateur disposent déjà de toutes les autorisations requises pour gérer l'accès Amazon Quick aux AWS ressources.
Toutefois, nous vous recommandons de protéger vos informations d’identification racine et d’utiliser plutôt des informations d’identification d’utilisateur IAM. Pour ce faire, vous pouvez créer une politique et l'associer à l'utilisateur IAM et aux rôles que vous prévoyez d'utiliser pour Amazon Quick. La politique doit inclure les déclarations appropriées pour les tâches administratives Amazon Quick que vous devez effectuer, comme décrit dans les sections suivantes.
**Important**
Tenez compte des points suivants lorsque vous utilisez des politiques Quick et IAM :
Évitez de modifier directement une politique créée par Quick. Lorsque vous le modifiez vous-même, Quick ne peut pas le modifier. Cette incapacité peut entraîner un problème lié à la stratégie. Pour résoudre ce problème, supprimez la stratégie précédemment modifiée.
Si vous recevez une erreur concernant les autorisations lorsque vous essayez de créer un compte Amazon Quick, consultez la section [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
Dans certains cas, vous pouvez avoir un compte Amazon Quick auquel vous ne pouvez pas accéder, même depuis le compte root (par exemple, si vous avez accidentellement supprimé son service d'annuaire). Dans ce cas, vous pouvez supprimer votre ancien compte Amazon Quick, puis le recréer. Pour plus d'informations, consultez [Supprimer votre abonnement Amazon Quick et fermer le compte](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Actions](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemples](#security_iam_service-with-iam-id-based-policies-examples)
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans Amazon Quick utilisent le préfixe suivant avant l'action : `quicksight:` Par exemple, pour accorder à une personne l’autorisation d’exécuter une instance Amazon EC2 avec l’opération d’API `RunInstances` Amazon EC2, vous incluez l’action `ec2:RunInstances` dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Amazon Quick définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Create`, incluez l’action suivante :
```
"Action": "quicksight:Create*"
```
Amazon Quick propose un certain nombre d'actions Gestion des identités et des accès AWS (IAM). Toutes les actions Amazon Quick sont précédées du préfixe`quicksight:`, tel que`quicksight:Subscribe`. Pour plus d'informations sur l'utilisation des actions Amazon Quick dans une politique IAM, consultez les [exemples de politique IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Pour consulter la up-to-date liste complète des actions Amazon Quick, consultez la section [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Voici un exemple de stratégie. Cela signifie que le mandataire auquel cette stratégie est attachée est en mesure d’invoquer l’opération `CreateGroupMembership` sur n’importe quel groupe, à condition que le nom d’utilisateur qu’il ajoute au groupe ne soit pas `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Certaines actions Amazon Quick, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Certaines actions d’API nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
```
Pour consulter la liste des types de ressources Amazon Quick et leurs noms de ressources Amazon (ARNs), consultez la section [Ressources définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Amazon Quick ne fournit aucune clé de condition spécifique à un service, mais il prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section [Clés contextuelles de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques Amazon Quick basées sur l'identité, consultez [Amazon Quick Policies (basées sur l'identité)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Politiques Amazon Quick (basées sur les ressources)
Amazon Quick ne prend pas en charge les politiques basées sur les ressources. Cependant, vous pouvez utiliser la console Amazon Quick pour configurer l'accès aux autres AWS ressources de votre Compte AWS.
## Autorisation basée sur les balises Amazon Quick
Amazon Quick ne prend pas en charge le balisage des ressources ni le contrôle d'accès en fonction des balises.
## Rôles Amazon Quick IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui possède des autorisations spécifiques. Vous pouvez utiliser les rôles IAM pour regrouper les autorisations afin de faciliter la gestion de l'accès des utilisateurs aux actions Amazon Quick.
Amazon Quick ne prend pas en charge les fonctionnalités de rôle suivantes :
+ Rôles liés à un service.
+ Rôles de service
+ Informations d'identification temporaires (utilisation directe) : Amazon Quick utilise toutefois des informations d'identification temporaires pour permettre aux utilisateurs d'assumer un rôle IAM afin d'accéder aux tableaux de bord intégrés. Pour plus d'informations, consultez la section [Analyses intégrées pour Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Pour plus d'informations sur la manière dont Amazon Quick utilise les rôles IAM, consultez la section [Utilisation d'Amazon Quick avec IAM et exemples](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) de [politiques IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Transmission de rôles IAM à Quick
| |
| --- |
| S’applique à : édition Enterprise |
Lorsque vos utilisateurs IAM s'inscrivent à Quick, ils peuvent choisir d'utiliser le rôle géré par Amazon Quick (il s'agit du rôle par défaut). Ils peuvent également transmettre un rôle IAM existant à Amazon Quick.
Utilisez les sections ci-dessous pour transmettre les rôles IAM existants à Amazon Quick
**Topics**
+ [Conditions préalables](#security-create-iam-role-prerequisites)
+ [Rattachement de politiques supplémentaires](#security-create-iam-role-athena-s3)
+ [Utilisation de rôles IAM existants dans Quick](#security-create-iam-role-use)
## Conditions préalables
Pour que vos utilisateurs puissent transmettre des rôles IAM à Amazon Quick, votre administrateur doit effectuer les tâches suivantes :
+ **Créez un rôle IAM.** Pour plus d’informations sur la création de rôles IAM, consultez la rubrique [Création de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) dans le *Guide de l’utilisateur IAM*.
+ **Associez une politique de confiance à votre rôle IAM qui permet à Amazon Quick d'assumer ce rôle**. Utilisez l’exemple suivant pour créer une politique d’approbation pour le rôle. L'exemple de politique de confiance suivant permet au Quick principal d'assumer le rôle IAM auquel il est attaché.
Pour plus d’informations sur la création de politiques d’approbation IAM et leur rattachement à des rôles, consultez la rubrique [Modification d’un rôle (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) dans le *Guide de l’utilisateur IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Attribuez les autorisations IAM suivantes à votre administrateur (utilisateurs ou rôles IAM)** :
+ `quicksight:UpdateResourcePermissions`— Cela donne aux utilisateurs IAM qui sont administrateurs Amazon Quick l'autorisation de mettre à jour les autorisations au niveau des ressources dans Amazon Quick. Pour plus d'informations sur les types de ressources définis par Amazon Quick, consultez la section [Actions, ressources et clés de condition pour Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) dans le *guide de l'utilisateur IAM*.
+ `iam:PassRole`— Cela autorise les utilisateurs à transmettre des rôles à Amazon Quick. Pour plus d'informations, consultez la section [Octroi à un utilisateur des autorisations lui permettant de transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*.
+ `iam:ListRoles`— (Facultatif) Cela autorise les utilisateurs à consulter la liste des rôles existants dans Amazon Quick. Si cette autorisation n’est pas donnée, ils peuvent utiliser un ARN pour utiliser les rôles IAM existants.
Voici un exemple de politique d'autorisations IAM qui permet de gérer les autorisations au niveau des ressources, de répertorier les rôles IAM et de transmettre des rôles IAM dans Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Pour plus d'exemples de politiques IAM que vous pouvez utiliser avec Amazon Quick, consultez les [exemples de politiques IAM pour Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Pour plus d’informations sur l’attribution de politiques d’autorisation aux utilisateurs ou aux groupes d’utilisateurs, consultez la rubrique [Modification des autorisations d’un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) dans le *Guide de l’utilisateur IAM*.
## Rattachement de politiques supplémentaires
Si vous utilisez un autre AWS service, tel qu'Amazon Athena ou Amazon S3, vous pouvez créer une politique d'autorisation qui autorise Amazon Quick à effectuer des actions spécifiques. Vous pouvez ensuite associer la politique aux rôles IAM que vous transmettrez ultérieurement à Amazon Quick. Vous trouverez ci-dessous des exemples de la manière dont vous pouvez configurer et attacher des politiques d’autorisation supplémentaires à vos rôles IAM.
Pour un exemple de politique gérée pour Amazon Quick dans Athena, consultez la section [Politique AWSQuicksight AthenaAccess gérée](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) dans le guide de l'utilisateur d'*Amazon Athena*. Les utilisateurs IAM peuvent accéder à ce rôle dans Amazon Quick à l'aide de l'ARN suivant :`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`.
Voici un exemple de politique d'autorisation pour Amazon Quick dans Amazon S3. Pour plus d’informations sur l’utilisation d’IAM avec Amazon S3, consultez la rubrique [Gestion des identités et des accès dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) dans le *Guide de l’utilisateur d’Amazon S3*.
Pour plus d'informations sur la façon de créer un accès entre comptes depuis Amazon Quick vers un compartiment Amazon S3 d'un autre compte, consultez [Comment configurer l'accès entre comptes depuis Quick vers un compartiment Amazon S3 d'un autre](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) compte ? dans le AWS Knowledge Center.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Utilisation de rôles IAM existants dans Quick
Si vous êtes administrateur Amazon Quick et que vous êtes autorisé à mettre à jour les ressources Amazon Quick et à transmettre des rôles IAM, vous pouvez utiliser les rôles IAM existants dans Amazon Quick. Pour en savoir plus sur les conditions requises pour transmettre des rôles IAM dans Amazon Quick, consultez les [conditions requises](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) décrites dans la liste précédente.
Suivez la procédure suivante pour savoir comment transmettre des rôles IAM dans Amazon Quick.
**Pour utiliser un rôle IAM existant dans Amazon Quick**
1. Dans Amazon Quick, choisissez le nom de votre compte dans la barre de navigation en haut à droite, puis sélectionnez **Gérer QuickSight**.
1. Sur la page **Manage Amazon Quick** qui s'ouvre, choisissez **Security & Permissions** dans le menu de gauche.
1. Sur la page **Sécurité et autorisations** qui s'ouvre, sous **Amazon Quick access to AWS services**, sélectionnez **Manage**.
1. Pour le **rôle IAM**, choisissez **Utiliser un rôle existant**, puis effectuez l’une des opérations suivantes :
+ Choisissez le rôle que vous voulez utiliser dans la liste.
+ Ou, si vous ne voyez pas de liste des rôles IAM existants, vous avez la possibilité de saisir l’ARN IAM du rôle au format suivant : `arn:aws:iam::account-id:role/path/role-name`.
1. Choisissez **Enregistrer**.
# Exemples de politiques IAM pour Quick
Cette section fournit des exemples de politiques IAM que vous pouvez utiliser avec Quick.
## Politiques basées sur l'identité IAM pour Quick
Cette section présente des exemples de politiques basées sur l'identité à utiliser avec Quick.
**Topics**
+ [Politiques basées sur l'identité IAM pour l'administration de la console Amazon Quick IAM](#security_iam_conosole-administration)
### Politiques basées sur l'identité IAM pour l'administration de la console Amazon Quick IAM
L'exemple suivant montre les autorisations IAM nécessaires pour les actions d'administration de la console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : tableaux de bord
L’exemple suivant présente une politique IAM qui permet le partage et l’intégration de tableaux de bord spécifiques.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Politiques basées sur l'identité IAM pour les espaces de noms Quick :
Les exemples suivants présentent les politiques IAM qui permettent à un administrateur Amazon Quick de créer ou de supprimer des espaces de noms.
**Création d’espaces de noms**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Suppression d’espaces de noms**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : autorisations personnalisées
L'exemple suivant montre une politique IAM qui permet à un administrateur ou à un développeur Amazon Quick de gérer des autorisations personnalisées.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
L’exemple suivant présente une autre façon d’accorder les mêmes autorisations que dans l’exemple précédent.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : personnalisation des modèles de rapports par e-mail
L'exemple suivant montre une politique qui permet de consulter, de mettre à jour et de créer des modèles de rapports par e-mail dans Amazon Quick, ainsi que d'obtenir des attributs de vérification pour une identité Amazon Simple Email Service. Cette politique permet à un administrateur Amazon Quick de créer et de mettre à jour des modèles de rapports par e-mail personnalisés, et de confirmer que toute adresse e-mail personnalisée à partir de laquelle il souhaite envoyer des rapports par e-mail est une identité vérifiée dans SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : créer un compte d'entreprise avec des utilisateurs gérés par Amazon Quick
L'exemple suivant montre une politique qui permet aux administrateurs Amazon Quick de créer un compte Amazon Quick édition Enterprise avec des utilisateurs gérés par Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : création d'utilisateurs
L'exemple suivant montre une politique qui autorise uniquement la création d'utilisateurs Amazon Quick. Pour `quicksight:CreateReader`, `quicksight:CreateUser` et `quicksight:CreateAdmin`, vous pouvez limiter les autorisations à **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Pour toutes les autres autorisations décrites dans ce guide, utilisez **"Resource": "\$1"**. La ressource que vous spécifiez limite la portée des autorisations pour la ressource spécifiée.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : création et gestion de groupes
L'exemple suivant montre une politique qui permet aux administrateurs et aux développeurs Amazon Quick de créer et de gérer des groupes.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access pour l'édition Standard
L'exemple suivant pour l'édition Amazon Quick Standard montre une politique qui permet de s'abonner et de créer des auteurs et des lecteurs. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise edition avec IAM Identity Center (rôles Pro)
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet à un utilisateur d'Amazon Quick de s'abonner à Amazon Quick, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique permet également aux utilisateurs de s'abonner à des rôles Amazon Quick Pro qui accordent l'accès à Amazon Q dans le cadre des fonctionnalités de BI de Quick Generative. Pour plus d'informations sur les rôles Pro dans Amazon Quick, consultez [Commencer avec Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour l'édition Quick : All Access for Enterprise avec IAM Identity Center
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick intégré à IAM Identity Center.
Cette politique n'autorise pas la création de rôles Pro dans Amazon Quick. Pour créer une politique autorisant l'abonnement à des rôles Pro dans Amazon Quick, consultez les politiques [basées sur l'identité IAM pour Amazon Quick : All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)rôles Pro).
Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : All Access for Enterprise Edition avec Active Directory
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de s'abonner, de créer des utilisateurs et de gérer Active Directory dans un compte Amazon Quick qui utilise Active Directory pour la gestion des identités. Cet exemple refuse explicitement l'autorisation de se désabonner d'Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour les groupes Quick : Active Directory
L'exemple suivant montre une politique IAM qui permet la gestion de groupes Active Directory pour un compte Amazon Quick Enterprise Edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des actifs d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des actifs d’administration.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Politiques basées sur l'identité IAM pour Quick : utilisation de la console de gestion des clés d'administration
L’exemple suivant présente une politique IAM qui autorise l’accès à la console de gestion des clés d’administration.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Les `"kms:ListAliases"` autorisations `"quicksight:ListKMSKeysForUser"` et sont requises pour accéder aux clés gérées par le client depuis la console Amazon Quick. `"quicksight:ListKMSKeysForUser"`et ne `"kms:ListAliases"` sont pas tenus d'utiliser le système de gestion des clés Amazon Quick APIs.
Pour spécifier les clés auxquelles vous souhaitez qu'un utilisateur puisse accéder, ajoutez les ARNs clés auxquelles vous souhaitez que l'utilisateur accède à la `UpdateKeyRegistration` condition à l'aide de la clé de `quicksight:KmsKeyArns` condition. Les utilisateurs ne peuvent accéder qu’aux clés spécifiées dans `UpdateKeyRegistration`. Pour plus d'informations sur les clés de condition prises en charge pour Amazon Quick, consultez la section [Clés de condition pour Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
L'exemple ci-dessous accorde des `Describe` autorisations à toutes CMKs les personnes enregistrées sur un compte Amazon Quick et des `Update` autorisations à des personnes spécifiques CMKs enregistrées sur le compte Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS ressources Quick : politiques de cadrage dans l'édition Enterprise
L'exemple suivant pour l'édition Amazon Quick Enterprise montre une politique qui permet de définir l'accès par défaut aux AWS ressources et de définir les politiques relatives aux autorisations d'accès aux AWS ressources.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Provisionnement d'utilisateurs pour Amazon Quick
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système et administrateurs Amazon Quick |
## Autoprovisionnement d'un administrateur Amazon Quick
Les administrateurs Amazon Quick sont des utilisateurs qui peuvent également gérer les fonctionnalités d'Amazon Quick, telles que les paramètres des comptes et les comptes. Ils peuvent également acheter des abonnements utilisateurs Amazon Quick supplémentaires, acheter [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) et annuler l'abonnement à Amazon Quick pour votre compte Compte AWS.
Vous pouvez utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de s'ajouter eux-mêmes en tant qu'administrateurs d'Amazon Quick. Les utilisateurs auxquels cette possibilité a été accordée ne peuvent s’ajouter qu’eux-mêmes en tant qu’administrateurs et ne peuvent pas utiliser cette politique pour ajouter d’autres personnes. Leurs comptes deviennent actifs et facturables la première fois qu'ils ouvrent Amazon Quick. Pour configurer l’auto-provisionnement, donnez à ces utilisateurs l’autorisation d’utiliser l’action `quicksight:CreateAdmin`.
Vous pouvez également utiliser la procédure suivante pour utiliser la console afin de définir ou de créer l'administrateur pour Amazon Quick.
**Pour définir un utilisateur comme administrateur Amazon Quick**
1. Créez l' AWS utilisateur :
+ Utilisez IAM pour créer l'utilisateur que vous souhaitez utiliser en tant qu'administrateur d'Amazon Quick. Sinon, identifiez un utilisateur existant dans IAM pour le rôle d’administrateur. Vous pouvez également placer l’utilisateur dans un nouveau groupe pour une plus grande facilité de gestion.
+ Accordez à l’utilisateur (ou au groupe) les autorisations suffisantes.
1. Connectez-vous à votre compte AWS Management Console avec les informations d'identification de l'utilisateur cible.
1. Accédez à [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), saisissez l’adresse e-mail de l’utilisateur cible, puis choisissez **Continuer**.
En cas de succès, l'utilisateur cible est désormais administrateur dans Amazon Quick.
## Autoprovisionnement d'un auteur Amazon Quick
Les auteurs d'Amazon Quick peuvent créer des sources de données, des ensembles de données, des analyses et des tableaux de bord. Ils peuvent partager des analyses et des tableaux de bord avec d'autres utilisateurs d'Amazon Quick sur votre compte Amazon Quick. Cependant, ils n'ont pas accès au menu **Manage Amazon Quick**. Ils ne peuvent pas modifier les paramètres du compte, gérer les comptes, acheter des abonnements utilisateurs Amazon Quick supplémentaires ou de la capacité [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ni annuler l'abonnement à Amazon Quick pour votre compte Compte AWS. Les utilisateurs d'Author Pro peuvent également créer du contenu en langage naturel, créer des bases de connaissances, configurer des actions et accéder à des fonctionnalités d'automatisation avancées.
Vous pouvez utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de créer eux-mêmes un compte d'auteur Amazon Quick. Leurs comptes deviennent actifs et facturables la première fois qu'ils ouvrent Amazon Quick. Pour configurer l’auto-provisionnement, vous devez les autoriser à utiliser l’action `quicksight:CreateUser`.
## Autoprovisionnement d'un utilisateur Amazon Quick en lecture seule
Les utilisateurs ou *lecteurs* d'Amazon Quick en lecture seule peuvent consulter et manipuler les tableaux de bord partagés avec eux, mais ils ne peuvent pas apporter de modifications ni enregistrer un tableau de bord pour une analyse plus approfondie. Les lecteurs Amazon Quick ne peuvent pas créer de sources de données, d'ensembles de données, d'analyses ou de visuels. Ils ne peuvent effectuer aucune tâche administrative. Choisissez ce rôle pour les personnes qui utilisent des tableaux de bord, mais qui ne créent pas leurs propres analyses, par exemple, les dirigeants. Les utilisateurs de Reader Pro ont accès à des fonctionnalités avancées, notamment des agents de chat basés sur l'IA, des espaces collaboratifs, des flux et des extensions.
Si vous utilisez Microsoft Active Directory avec Amazon Quick, vous pouvez gérer les autorisations de lecture seule à l'aide d'un groupe. Sinon, vous pouvez inviter des utilisateurs par lots à utiliser Amazon Quick. Vous pouvez également utiliser une politique AWS d'utilisateur ou de groupe pour permettre aux utilisateurs de créer eux-mêmes un compte Amazon Quick Reader.
Les comptes des lecteurs deviennent actifs et facturables dès qu'ils ouvrent Amazon Quick pour la première fois. Si vous décidez de mettre à niveau ou de rétrograder un utilisateur, la facturation pour cet utilisateur est calculée au prorata pour le mois. Pour configurer l’auto-provisionnement, vous devez les autoriser à utiliser l’action `quicksight:CreateReader`.
Les lecteurs qui sont utilisés pour actualiser automatiquement ou par programmation les tableaux de bord pour des cas d’utilisation en temps quasi réel doivent choisir la tarification à la capacité. Pour les lecteurs soumis à la tarification à l’utilisation, chaque lecteur est limité à l’utilisation manuelle par une seule personne.
# Résolution des problèmes Identité et accès rapides
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Quick et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon Quick
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide.
L'exemple d'erreur suivant se produit lorsque l'utilisateur IAM `mateojackson` tente d'utiliser la console pour afficher des informations détaillées concernant un élément *widget* mais ne dispose pas des autorisations `quicksight:GetWidget` nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `quicksight:GetWidget`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon Quick.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon Quick. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Quick
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon Quick prend en charge ces fonctionnalités, consultez[Utilisation de Quick avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation d'IAM Identity Center
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système et administrateurs Amazon Quick |
L'édition Amazon Quick Enterprise s'intègre à vos annuaires existants, à l'aide de Microsoft Active Directory ou de l'authentification unique (IAM Identity Center) à l'aide du langage SAML (Security Assertion Markup Language). Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour améliorer encore votre sécurité ou pour des options personnalisées telles que l'intégration de tableaux de bord.
Dans l'édition Quick Standard, vous pouvez gérer les utilisateurs entièrement dans Quick. Si vous le préférez, vous pouvez intégrer vos utilisateurs, groupes et rôles existants dans IAM.
Vous pouvez utiliser les outils suivants pour vous identifier et accéder à Amazon Quick :
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (édition Enterprise uniquement)
+ [Fédération IAM](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (éditions Standard et Enterprise)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (édition Enterprise uniquement)
+ [Authentification unique basée sur SAML (éditions](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) Standard et Enterprise)
+ [Authentification multi-facteurs (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (éditions Standard et Enterprise)
**Note**
Dans les régions répertoriées ci-dessous, les comptes Amazon Quick ne peuvent utiliser [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) que pour la gestion des identités et des accès.
`af-south-1` Afrique (Le Cap)
`ap-southeast-3` Asie-Pacifique (Jakarta)
`ap-southeast-5`Asie-Pacifique (Malaisie)
`eu-south-1` Europe (Milan)
`eu-central-2` Europe (Zurich)
IAM Identity Center vous aide à créer ou à connecter en toute sécurité les identités de vos employés et à gérer leur accès sur l'ensemble AWS des comptes et des applications.
Avant d'intégrer votre compte Amazon Quick à IAM Identity Center, configurez IAM Identity Center dans votre AWS compte. Si vous n'avez pas configuré IAM Identity Center dans votre AWS organisation, consultez la section [Getting started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans le *guide de l'AWS IAM Identity Center utilisateur*.
Si vous souhaitez configurer un fournisseur d’identité externe à IAM Identity Center, consultez la rubrique [Fournisseurs d’identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) pour consulter la liste des étapes de configuration des fournisseurs d’identité pris en charge.
**Topics**
+ [Configurez votre compte Amazon Quick avec IAM Identity Center](#sec-identity-management-identity-center)
## Configurez votre compte Amazon Quick avec IAM Identity Center
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
IAM Identity Center vous aide à créer ou à configurer en toute sécurité les identités de vos employés existants et à gérer leur accès sur l'ensemble AWS des comptes et des applications. L'IAM Identity Center est l'approche recommandée pour l'authentification et l'autorisation du personnel AWS pour les organisations de toutes tailles et de tous types. Pour en savoir plus sur IAM Identity Center, consultez la rubrique [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/).
Configurez Amazon Quick et IAM Identity Center afin de pouvoir créer un nouveau compte Amazon Quick avec une source d'identité configurée par IAM Identity Center. IAM Identity Center vous permet de configurer votre fournisseur d’identité externe comme source d’identité. Vous pouvez également utiliser IAM Identity Center comme magasin d'identités si vous ne souhaitez pas faire appel à un fournisseur d'identité tiers avec Amazon Quick. Une fois votre compte créé, le code d’identité ne peut pas être modifié.
Lorsque vous intégrez votre compte Amazon Quick à IAM Identity Center, les administrateurs de compte Amazon Quick peuvent créer un nouveau compte Amazon Quick qui met automatiquement à disposition les groupes du fournisseur d'identité. Cela simplifie le partage des actifs à grande échelle dans Amazon Quick.
L'accès à certaines sections de la console d'administration Amazon Quick est limité par des autorisations IAM. Le tableau suivant récapitule les actions d'administration que vous pouvez effectuer dans Amazon Quick en fonction du type d'accès que vous choisissez.
Pour en savoir plus sur la création d'un compte Amazon Quick auprès d'IAM Identity Center, consultez la section [Inscription à un abonnement Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Action de l’administrateur | Autorisations IAM | Autorisations relatives au rôle d'administrateur Amazon Quick |
| --- | --- | --- |
| **Gestion des actifs** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non |
| **Sécurité et autorisations** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non |
| **Gestion des connexions VPC** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non |
| **Clés KMS** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non |
| **Paramètres du compte** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non |
| **Personnalisation du compte** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui |
| **Gestion des utilisateurs** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui (Utilisateurs IAM Identity Center) | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg)Oui (utilisateurs d'Amazon Quick et IAM) |
| **Vos abonnements** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui |
| **Paramètres de mobilité** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui |
| **Domaines et intégrations** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui |
| **Capacité SPICE** | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/success_icon.svg) Oui |
L'application mobile Amazon Quick n'est pas prise en charge avec les comptes Amazon Quick intégrés à IAM Identity Center.
### Considérations
Les actions suivantes empêchent définitivement les utilisateurs d'Amazon Quick de se connecter à Amazon Quick. Amazon Quick ne recommande pas aux utilisateurs d'Amazon Quick d'effectuer ces actions.
+ Désactivation ou suppression de l'application Amazon Quick dans la console IAM Identity Center. Si vous souhaitez supprimer votre compte Amazon Quick, consultez la section [Fermeture de votre compte Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ Migration du compte Amazon Quick contenant votre configuration IAM Identity Center vers une AWS organisation ne contenant pas l'instance IAM Identity Center pour laquelle votre compte Amazon Quick est configuré.
+ Suppression de l'instance IAM Identity Center configurée pour votre compte Amazon Quick.
+ Modification des attributs de l’application IAM Identity Center, par exemple l’attribut **requires assignment (nécessite une affectation)**.
# Fédération IAM
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
**Important**
Amazon Quick vous recommande d'intégrer les nouveaux abonnements Amazon Quick à IAM Identity Center pour la gestion des identités. Ce guide de l'utilisateur de la fédération d'identités IAM est fourni à titre de référence pour les configurations de comptes existantes. Pour plus d'informations sur l'intégration de votre compte Amazon Quick à IAM Identity Center, consultez [Configurer votre compte Amazon Quick avec IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Amazon Quick prend en charge la fédération des identités dans les éditions Standard et Enterprise. Lorsque vous utilisez des utilisateurs fédérés, vous pouvez gérer les utilisateurs avec votre fournisseur d'identité d'entreprise (IdP) et Gestion des identités et des accès AWS utiliser (IAM) pour authentifier les utilisateurs lorsqu'ils se connectent à Quick. Vous pouvez utiliser un fournisseur d'identité tiers qui prend en charge le langage SAML 2.0 (Security Assertion Markup Language 2.0) pour fournir un flux d'intégration à vos utilisateurs Amazon Quick. Parmi ces fournisseurs d’identité figurent Microsoft Active Directory Federation Services, Ping One Federation Server et Okta. Grâce à la fédération d'identité, vos utilisateurs peuvent accéder en un clic à leurs applications Amazon Quick à l'aide de leurs identifiants d'identité existants. Vous bénéficiez également d’un avantage de sécurité pour l’authentification d’identité par votre fournisseur d’identité. Vous pouvez contrôler quels utilisateurs ont accès à Amazon Quick à l'aide de votre fournisseur d'identité existant.
**Topics**
+ [Lancement de la connexion à partir du fournisseur d’identité (IdP)](federated-identities-idp-to-sp.md)
+ [Configuration de la fédération IdP à l'aide d'IAM et d'Amazon Quick](external-identity-providers-setting-up-saml.md)
+ [Initiation de la connexion depuis Quick](federated-identities-sp-to-idp.md)
+ [Configuration de la fédération initiée par le fournisseur de services avec l'édition Quick Enterprise](setup-quicksight-to-idp.md)
+ [Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick](jit-email-syncing.md)
+ [Tutoriel : Amazon Quick et fédération d'identités IAM](tutorial-okta-quicksight.md)
# Lancement de la connexion à partir du fournisseur d’identité (IdP)
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Dans ce scénario, vos utilisateurs lancent le processus de connexion à partir du portail du fournisseur d’identité. Une fois que les utilisateurs sont authentifiés, ils se connectent à Amazon Quick. Une fois que Quick a vérifié qu'ils sont autorisés, vos utilisateurs peuvent accéder à Quick.
À partir de la connexion d’un utilisateur au fournisseur d’identité (IdP), le processus d’authentification se déroule en plusieurs étapes :
1. L’utilisateur se rend sur le site `https://applications.example.com` et se connecte à l’IdP. À ce stade, l’utilisateur n’est pas connecté au fournisseur de services.
1. Le service de fédération et l’IdP authentifient l’utilisateur :
1. Le service de fédération demande l’authentification à partir de la base d’identités de l’organisation.
1. La base d’identités authentifie l’utilisateur et renvoie la réponse d’authentification au service de fédération.
1. Une fois l’authentification effectuée, le service de fédération publie l’assertion SAML sur le navigateur de l’utilisateur.
1. L'utilisateur ouvre Amazon Quick :
1. Le navigateur de l’utilisateur envoie l’assertion SAML au point de terminaison SAML de connexion AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In reçoit la demande SAML, traite la demande, authentifie l'utilisateur et transmet le jeton d'authentification au service Amazon Quick.
1. Amazon Quick accepte le jeton d'authentification fourni par Amazon Quick AWS et le présente à l'utilisateur.
Du point de vue de l’utilisateur, le processus est entièrement transparent. L'utilisateur commence par le portail interne de votre organisation et accède à un portail d'applications Amazon Quick, sans avoir à fournir d' AWS informations d'identification.
Dans le schéma suivant, vous pouvez trouver un flux d'authentification entre Amazon Quick et un fournisseur d'identité (IdP) tiers. Dans cet exemple, l'administrateur a créé une page de connexion pour accéder à Amazon Quick, appelée`applications.example.com`. Lorsqu’un utilisateur se connecte, la page de connexion envoie une demande à un service de fédération conforme à SAML 2.0. L’utilisateur final lance l’authentification à partir de la page de connexion de l’IdP.
![\[Schéma SAML rapide. Le schéma contient deux cadres. Le premier décrit un processus d’authentification au sein de l’entreprise. Le deuxième décrit l’authentification au sein de AWS. Le processus est décrit en dessous du tableau.\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Pour plus d’informations sur les fournisseurs les plus courants, consultez la documentation tierce suivante :
+ CA : [Activation de la liaison HTTP Post SAML 2.0](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta : [Planification d’un déploiement SAML](https://developer.okta.com/docs/concepts/saml/)
+ Ping : [Intégrations Amazon](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
Consultez les rubriques suivantes pour comprendre l'utilisation d'une fédération existante avec AWS :
+ [Fédération des identités AWS](https://aws.amazon.com/identity/federation/) sur le AWS site
+ [Fourniture d’accès aux utilisateurs authentifiés de l’extérieur (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*
+ [Autorisation des utilisateurs fédérés SAML 2.0 d’accéder à la console de gestion AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) dans le *Guide de l’utilisateur IAM*
# Configuration de la fédération IdP à l'aide d'IAM et d'Amazon Quick
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Vous pouvez utiliser un rôle Gestion des identités et des accès AWS (IAM) et une URL d'état de relais pour configurer un fournisseur d'identité (IdP) conforme à SAML 2.0. Le rôle accorde aux utilisateurs l'autorisation d'accéder à Amazon Quick. RelayState est le portail vers lequel l’utilisateur est transféré après avoir été authentifié par AWS.
**Topics**
+ [Conditions préalables](#external-identity-providers-setting-up-prerequisites)
+ [Étape 1 : créer un fournisseur SAML dans AWS](#external-identity-providers-create-saml-provider)
+ [Étape 2 : configurer les autorisations AWS pour vos utilisateurs fédérés](#external-identity-providers-grantperms)
+ [Étape 3 : Configurer le fournisseur d’identité SAML](#external-identity-providers-config-idp)
+ [Étape 4 : Créer des assertions pour la réponse d’authentification SAML](#external-identity-providers-create-assertions)
+ [Étape 5 : Configurer l’état des relais de votre fédération](#external-identity-providers-relay-state)
## Conditions préalables
Avant de configurer votre connexion SAML 2.0, effectuez les opérations suivantes :
+ Configurez votre IdP pour établir une relation d’approbation avec AWS:
+ A l’intérieur du réseau de votre organisation, configurez votre base d’identités, par exemple Windows Active Directory, de telle sorte qu’elle fonctionne avec un fournisseur d’identité SAML. Les services SAML IdPs incluent Active Directory Federation Services, Shibboleth, etc.
+ Via votre fournisseur d’identité, générez un document de métadonnées décrivant votre organisation comme fournisseur d’identité.
+ Configurez l’authentification SAML 2.0 en procédant de la même manière que pour la AWS Management Console. Lorsque ce processus est terminé, vous pouvez configurer l'état de votre relais pour qu'il corresponde à l'état du relais de Quick. Pour plus d'informations, consultez [Configurer l'état du relais de votre fédération](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Créez un compte Amazon Quick et notez le nom à utiliser lorsque vous configurez votre politique IAM et votre IdP. Pour plus d'informations sur la création d'un compte Amazon Quick, consultez [la section Inscription à un abonnement Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Après avoir créé la configuration pour fédérer selon AWS Management Console les instructions du didacticiel, vous pouvez modifier l'état du relais indiqué dans le didacticiel. Pour ce faire, utilisez l'état de relais d'Amazon Quick, décrit à l'étape 5 ci-dessous.
Pour plus d’informations, consultez les ressources suivantes :
+ [Intégration de fournisseurs de solutions SAML tiers à AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) dans le *Guide de l’utilisateur IAM*.
+ [Résolution des problèmes liés à la fédération SAML 2.0 avec AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), également dans le guide de l'*utilisateur IAM*.
+ [Configuration de la confiance entre ADFS et Active Directory AWS et utilisation des informations d'identification Active Directory pour se connecter à Amazon Athena avec le pilote ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) — Cet article de présentation est utile, même si vous n'avez pas besoin de configurer Athena pour utiliser Amazon Quick.
## Étape 1 : créer un fournisseur SAML dans AWS
Votre fournisseur d'identité SAML définit l' AWS IdP de votre organisation pour. Pour ce faire, il utilise le document de métadonnées que vous avez généré précédemment par l’intermédiaire de votre IdP.
**Pour créer un fournisseur SAML dans AWS**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Créez un nouveau fournisseur SAML, c’est-à-dire une entité dans IAM qui contienne des informations sur le fournisseur d’identité de votre organisation. Pour plus d’informations, consultez la rubrique [Création de fournisseurs d’identité SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) du *Guide de l’utilisateur IAM*.
1. Au cours du processus, téléchargez le document de métadonnées généré par le logiciel IdP de votre organisation, noté à la section précédente.
## Étape 2 : configurer les autorisations AWS pour vos utilisateurs fédérés
Ensuite, créez un rôle &IAM qui établit une relation d’approbation entre IAM et le fournisseur d’identité de votre organisation. Ce rôle identifie votre fournisseur d’identité en tant que principal (entité de confiance) pour les besoins de la fédération. Le rôle définit également quels utilisateurs authentifiés par l'IdP de votre organisation sont autorisés à accéder à Amazon Quick. Pour plus d’informations sur la création d’un rôle pour un IdP SAML, consultez la rubrique [Création d’un rôle pour la fédération SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) dans le *Guide de l’utilisateur IAM*.
Une fois que vous avez créé le rôle, vous pouvez le limiter afin d'avoir des autorisations uniquement pour Amazon Quick en attachant une politique intégrée au rôle. L'exemple de document de politique suivant fournit un accès à Amazon Quick. Cette politique permet aux utilisateurs d'accéder à Amazon Quick et de créer à la fois des comptes d'auteur et des comptes de lecteur.
**Note**
Dans l'exemple suivant, remplacez-le ** par votre Compte AWS identifiant à 12 chiffres (sans tiret « ‐ »).
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Si vous souhaitez fournir un accès à Amazon Quick et également la possibilité de créer des administrateurs, des auteurs (utilisateurs standard) et des lecteurs Amazon Quick, vous pouvez utiliser l'exemple de politique suivant.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Vous pouvez consulter les détails du compte dans le AWS Management Console.
Une fois que vous avez configuré SAML et la ou les politiques IAM, vous n’avez plus besoin d’inviter les utilisateurs manuellement. La première fois que les utilisateurs ouvrent Amazon Quick, ils sont approvisionnés automatiquement, en utilisant les autorisations les plus élevées définies dans la politique. Par exemple, s’ils disposent des autorisations à la fois pour `quicksight:CreateUser` et `quicksight:CreateReader`, ils sont provisionnés en tant qu’auteurs. S’ils disposent également des autorisations pour `quicksight:CreateAdmin`, ils sont provisionnés en tant qu’administrateurs. Chaque niveau d’autorisation inclut la possibilité de créer le même niveau d’utilisateur et les niveaux inférieurs. Par exemple, un auteur peut ajouter d’autres auteurs ou des lecteurs.
Les utilisateurs qui sont invités manuellement sont créés dans le rôle attribué par la personne qui les a invités. Ils n’ont pas besoin d’avoir des stratégies qui leur accordent les autorisations.
## Étape 3 : Configurer le fournisseur d’identité SAML
Après avoir créé le rôle IAM, mettez à jour votre idP SAML en AWS tant que fournisseur de services. Pour ce faire, installez le `saml-metadata.xml` fichier qui se trouve dans le fichier [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
Pour mettre à jour les métadonnées de votre fournisseur d’identité, consultez les instructions qu’il vous a fournies. Certains fournisseurs vous permettent d’entrer l’URL, après quoi ils récupèrent et installent le fichier automatiquement. D’autres fournisseurs exigent que vous téléchargiez le fichier à partir de l’URL afin de le fournir en tant que fichier local.
Pour de plus amples informations, veuillez consulter la documentation de votre fournisseur d’identité.
## Étape 4 : Créer des assertions pour la réponse d’authentification SAML
Configurez ensuite les informations que l'IdP transmet sous forme d'attributs SAML dans le AWS cadre de la réponse d'authentification. Pour plus d’informations, veuillez consulter la rubrique [Configuration des assertions SAML pour la réponse d’authentificatio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)n dans le *Guide de l’utilisateur IAM*.
## Étape 5 : Configurer l’état des relais de votre fédération
Enfin, configurez l'état du relais de votre fédération pour qu'il pointe vers l'URL de l'état du relais Amazon Quick. Une fois l'authentification réussie AWS, l'utilisateur est dirigé vers Amazon Quick, défini comme l'état du relais dans la réponse d'authentification SAML.
L'URL de l'état du relais pour Amazon Quick est la suivante.
```
https://quicksight.aws.amazon.com
```
# Initiation de la connexion depuis Quick
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Dans ce scénario, votre utilisateur lance le processus de connexion depuis un portail d'application Amazon Quick sans être connecté au fournisseur d'identité. Dans ce cas, l’utilisateur dispose d’un compte fédéré géré par un IdP tiers. L'utilisateur possède peut-être un compte utilisateur sur Quick. Quick envoie une demande d'authentification à l'IdP. Une fois l'utilisateur authentifié, Quick s'ouvre.
En commençant par la connexion de l'utilisateur à Quick, l'authentification passe par les étapes suivantes :
1. L'utilisateur ouvre Quick. À ce stade, l’utilisateur n’est pas connecté à l’IdP.
1. L'utilisateur tente de se connecter à Amazon Quick.
1. Amazon Quick redirige les entrées de l'utilisateur vers le service de fédération et demande l'authentification.
1. Le service de fédération et l’IdP authentifient l’utilisateur :
1. Le service de fédération demande l’authentification à partir de la base d’identités de l’organisation.
1. La base d’identités authentifie l’utilisateur et renvoie la réponse d’authentification au service de fédération.
1. Une fois l’authentification effectuée, le service de fédération publie l’assertion SAML sur le navigateur de l’utilisateur.
1. Le navigateur de l’utilisateur envoie l’assertion SAML au point de terminaison SAML de connexion AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In reçoit la demande SAML, traite la demande, authentifie l'utilisateur et transmet le jeton d'authentification au service Amazon Quick.
1. Amazon Quick accepte le jeton d'authentification fourni par Amazon Quick AWS et le présente à l'utilisateur.
Du point de vue de l’utilisateur, le processus est entièrement transparent. L'utilisateur démarre sur un portail d'applications Amazon Quick. Amazon Quick négocie l'authentification avec le service de fédération de votre organisation et AWS. Amazon Quick s'ouvre sans que l'utilisateur n'ait besoin de fournir d'informations d'identification supplémentaires.
# Configuration de la fédération initiée par le fournisseur de services avec l'édition Quick Enterprise
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Une fois que vous avez fini de configurer votre fournisseur d'identité avec Gestion des identités et des accès AWS (IAM), vous pouvez configurer la connexion initiée par le fournisseur de services via Amazon Quick Enterprise Edition. Pour que la fédération IAM initiée par Quick fonctionne, vous devez autoriser Quick à envoyer la demande d'authentification à votre IdP. Un administrateur Quick peut configurer cela en ajoutant les informations suivantes fournies par l'IdP :
+ L'URL de l'IdP — Quick redirige les utilisateurs vers cette URL à des fins d'authentification.
+ Le paramètre d’état de relais : ce paramètre indique l’état dans lequel se trouvait la session du navigateur lorsqu’elle a été redirigée pour authentification. L’IdP redirige l’utilisateur vers l’état initial après l’authentification. L’état est fourni sous forme d’URL.
Le tableau suivant indique l'URL d'authentification standard et le paramètre d'état du relais permettant de rediriger l'utilisateur vers l'URL rapide que vous fournissez.
| Fournisseur d’identité | Paramètre | URL d’authentification |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Comptes Google | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick prend en charge la connexion à un IdP par. Compte AWS La page de configuration d'Amazon Quick vous propose un test URLs basé sur vos entrées, afin que vous puissiez tester les paramètres avant d'activer la fonctionnalité. Pour rendre le processus encore plus fluide, Amazon Quick fournit un paramètre (`enable-sso=0`) permettant de désactiver temporairement la fédération IAM initiée par Amazon Quick, au cas où vous auriez besoin de la désactiver temporairement.
## Pour configurer Amazon Quick en tant que fournisseur de services capable de lancer une fédération IAM pour un IdP existant
1. Assurez-vous que la fédération IAM est déjà configurée dans votre IdP, dans IAM et Amazon Quick. Pour tester cette configuration, vérifiez si vous pouvez partager un tableau de bord avec une autre personne dans le domaine de votre entreprise.
1. Ouvrez Amazon Quick, puis choisissez **Gérer Amazon Quick** dans le menu de votre profil en haut à droite.
Pour effectuer cette procédure, vous devez être un administrateur Amazon Quick. Si ce n'est pas le cas, **Manage Amazon Quick** ne s'affiche pas dans le menu de votre profil.
1. Choisissez **Authentification unique (fédération IAM)** dans le volet de navigation.
1. Dans **Configuration**, **URL IdP**, saisissez l’URL fournie par votre IdP pour authentifier les utilisateurs.
1. Pour **URL IdP**, saisissez le paramètre que votre IdP fournit à l’état de relais, par exemple `RelayState`. Le nom réel du paramètre est fourni par votre IdP.
1. Testez la connexion :
+ Pour tester la connexion avec votre fournisseur d’identité, utilisez l’URL personnalisée fournie dans **Test en commençant par votre IdP**. Vous devriez accéder à la page de démarrage d'Amazon Quick, par exemple https://quicksight.aws.amazon.com/sn/ Start.
+ Pour tester d'abord la connexion à Amazon Quick, utilisez l'URL personnalisée fournie dans **Tester l' end-to-endexpérience**. Le paramètre `enable-sso` est ajouté à l’URL. Si `enable-sso=1`, la fédération IAM tente de s’authentifier.
1. Choisissez **Enregistrer** pour conserver vos paramètres.
## Activation de la fédération IAM initiée par le fournisseur de services IdP
1. Assurez-vous que vos paramètres de fédération IAM sont configurés et testés. Si vous n'êtes pas sûr de la configuration, testez la connexion à l'aide URLs de la procédure décrite précédemment.
1. Ouvrez Amazon Quick, puis choisissez **Gérer Amazon Quick** dans le menu de votre profil.
1. Choisissez **Authentification unique (fédération IAM)** dans le volet de navigation.
1. Pour **État**, sélectionnez **Activé**.
1. Vérifiez qu'il fonctionne en vous déconnectant de votre IdP et en ouvrant Amazon Quick.
## Désactivation de la fédération IAM initiée par le fournisseur de services
1. Ouvrez Amazon Quick, puis choisissez **Gérer Amazon Quick** dans le menu de votre profil.
1. Choisissez **Authentification unique (fédération IAM)** dans le volet de navigation.
1. Pour **État**, sélectionnez **Désactivé**.
# Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Quick
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système et administrateurs Amazon Quick |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Dans l'édition Amazon Quick Enterprise, en tant qu'administrateur, vous pouvez empêcher les nouveaux utilisateurs d'utiliser des adresses e-mail personnelles lorsqu'ils fournissent des informations via leur fournisseur d'identité (IdP) directement à Quick. Quick utilise ensuite les adresses e-mail préconfigurées transmises via l'IdP lors de l'attribution de nouveaux utilisateurs à votre compte. Par exemple, vous pouvez faire en sorte que seules les adresses e-mail attribuées à l'entreprise soient utilisées lorsque les utilisateurs sont connectés à votre compte Amazon Quick via votre IdP.
**Note**
Assurez-vous que vos utilisateurs se fédèrent directement vers Amazon Quick par le biais de leur IdP. Le fait de se fédérer AWS Management Console via leur IdP puis de cliquer sur Amazon Quick entraîne une erreur et ils ne pourront pas accéder à Amazon Quick.
Lorsque vous configurez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick, les utilisateurs qui se connectent à votre compte Amazon Quick pour la première fois disposent d'adresses e-mail préattribuées. Celles-ci sont utilisées pour enregistrer leurs comptes. Avec cette approche, les utilisateurs peuvent contourner manuellement en saisissant une adresse e-mail. En outre, les utilisateurs ne peuvent pas utiliser une adresse e-mail qui pourrait différer de l’adresse e-mail prescrite par vous, l’administrateur.
Amazon Quick prend en charge le provisionnement via un IdP qui prend en charge l'authentification SAML ou OpenID Connect (OIDC). Pour configurer les adresses e-mail des nouveaux utilisateurs lors du provisionnement via un IdP, vous devez mettre à jour la relation d’approbation du rôle IAM qu’ils utilisent avec `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. Ensuite, ajoutez un attribut SAML ou un jeton OIDC dans leur IdP. Enfin, vous activez la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick.
Les procédures suivantes décrivent ces étapes en détail.
## Étape 1 : Mettre à jour la relation d’approbation du rôle IAM avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity
Vous pouvez configurer les adresses e-mail que vos utilisateurs utiliseront lors du provisionnement via votre IdP auprès d'Amazon Quick. Pour ce faire, ajoutez l’action `sts:TagSession` à la relation d’approbation du rôle IAM que vous utilisez avec `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. Ce faisant, vous pouvez transmettre des balises `principal` lorsque les utilisateurs assument le rôle.
L’exemple suivant illustre un rôle IAM mis à jour où l’IdP est Okta. Pour utiliser cet exemple, mettez à jour l’Amazon Resource Name (ARN) `Federated` avec l’ARN de votre fournisseur de services. Vous pouvez remplacer les éléments en rouge par vos informations AWS et celles spécifiques au service IdP.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Étape 2 : Ajouter un attribut SAML ou un jeton OIDC pour la balise principale IAM dans votre IdP
Après avoir mis à jour la relation d’approbation du rôle IAM comme décrit dans la section précédente, ajoutez un attribut SAML ou un jeton OIDC pour la balise `Principal` IAM dans votre IdP.
Les exemples suivants illustrent un attribut SAML et un jeton OIDC. Pour utiliser ces exemples, remplacez l’adresse e-mail par une variable dans votre IdP qui pointe vers l’adresse e-mail d’un utilisateur. Vous pouvez remplacer les éléments surlignés en rouge par vos informations.
+ **Attribut SAML** : l’exemple suivant illustre un attribut SAML.
```
john.doe@example.com
```
**Note**
Si vous utilisez Okta comme IdP, assurez-vous d’activer un indicateur de fonctionnalité dans votre compte utilisateur Okta pour utiliser le protocole SAML. Pour plus d'informations, consultez [Okta et AWS son partenariat pour simplifier l'accès via des balises de session](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) sur le blog d'Okta.
+ **Jeton OIDC** : l’exemple suivant illustre un exemple de jeton OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Étape 3 : activer la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick
Comme décrit précédemment, mettez à jour la relation d’approbation du rôle IAM et ajoutez un attribut SAML ou un jeton OIDC pour la balise `Principal` IAM dans votre IdP. Activez ensuite la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon Quick, comme décrit dans la procédure suivante.
**Activation de la synchronisation des e-mails pour les utilisateurs fédérés**
1. Sur n'importe quelle page d'Amazon Quick, choisissez votre nom d'utilisateur en haut à droite, puis sélectionnez **Gérer Amazon Quick**.
1. Choisissez **Authentification unique (fédération IAM)** dans le menu de gauche.
1. Sur la page **Fédération IAM initiée par le fournisseur de services**, pour **Synchronisation des e-mails pour les utilisateurs fédérés**, choisissez **Activé**.
Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est activée, Amazon Quick utilise les adresses e-mail que vous avez configurées aux étapes 1 et 2 lors de l'attribution de nouveaux utilisateurs à votre compte. Les utilisateurs ne peuvent pas saisir leur propre adresse e-mail.
Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est désactivée, Amazon Quick demande aux utilisateurs de saisir leur adresse e-mail manuellement lors de l'attribution de nouveaux utilisateurs à votre compte. Ils peuvent utiliser toutes les adresses e-mail qu’ils souhaitent.
# Tutoriel : Amazon Quick et fédération d'identités IAM
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : Amazon Quick Administrators et développeurs Amazon Quick |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Dans le didacticiel suivant, vous trouverez une procédure pas à pas pour configurer l'IdP Okta en tant que service de fédération pour Amazon Quick. Bien que ce didacticiel montre l'intégration de Gestion des identités et des accès AWS (IAM) et d'Okta, vous pouvez également répliquer cette solution en utilisant le SAML 2.0 de votre choix. IdPs
Dans la procédure suivante, vous allez créer une application dans l'IdP Okta à l'aide du raccourci « Fédération de comptes AWS ». Okta décrit cette application d’intégration comme suit :
« En fédérant les comptes Okta et Amazon Web Services (AWS) Identity and Access Management (IAM) (IAM), les utilisateurs finaux obtiennent un accès par authentification unique à tous les rôles qui leur sont assignés grâce à leurs AWS informations d'identification Okta. Dans chacune d'entre elles Compte AWS, les administrateurs mettent en place la fédération et configurent les AWS rôles de manière à faire confiance à Okta. Lorsque les utilisateurs se connectent à AWS, ils bénéficient de l'expérience de connexion unique d'Okta qui leur permet de voir les rôles qui leur sont assignés AWS . Ils peuvent ensuite sélectionner le rôle souhaité, qui définit leurs autorisations pour la durée de leur session authentifiée. Pour les clients possédant un grand nombre de AWS comptes, optez pour l' AWS application Single Sign-On comme alternative. » (https://www.okta.com/aws/)
**Pour créer une application Okta à l'aide du raccourci d'application « Fédération de AWS comptes » d'Okta**
1. Connectez-vous à votre tableau de bord Okta. Si vous n'en avez pas, créez un compte Okta Developer Edition gratuit en utilisant [cette URL de marque Amazon Quick](https://developer.okta.com/quickstart/). Lorsque vous avez activé votre e-mail, connectez-vous à Okta.
1. Sur le site web d’Okta, choisissez la **<> Console du développeur** en haut à gauche, puis **Interface utilisateur classique**.
1. Choisissez **Ajouter des applications**, puis **Ajouter une application**.
1. Saisissez **aws** dans le champ **Recherche**, puis choisissez **Fédération de comptes AWS ** dans les résultats de la recherche.
1. Choisissez **Ajouter** pour créer une instance de cette application.
1. Dans le champ **Nom de l’application**, saisissez **AWS Account Federation - Amazon Quick**.
1. Choisissez **Suivant**.
1. Pour **SAML 2.0**, **État de relais par défaut**, saisissez **https://quicksight.aws.amazon.com**.
1. Ouvrez le menu contextuel (par un clic droit) pour les **métadonnées du fournisseur d’identité** et choisissez d’enregistrer le fichier. Nommez le fichier `metadata.xml`. Vous aurez besoin de ce fichier pour la procédure suivante.
Le contenu du fichier ressemble à ce qui suit.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Après avoir enregistré le fichier XML, faites défiler la page Okta vers le bas, puis choisissez **OK**.
1. Laissez cette fenêtre de navigateur ouverte, si possible. Vous en aurez besoin ultérieurement dans le didacticiel.
Ensuite, créez un fournisseur d’identité dans votre Compte AWS.
**Pour créer un fournisseur SAML dans Gestion des identités et des accès AWS (IAM)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Fournisseurs d’identité**, **Créer un fournisseur**.
1. Définissez les paramètres suivants :
+ **Type de fournisseur** : choisissez **SAML** dans la liste.
+ **Nom du fournisseur** : saisissez **Okta**.
+ **Document de métadonnées** : chargez le fichier XML `manifest.xml` de la procédure précédente.
1. Choisissez **Étape suivante**, **Créer**.
1. Localisez l’IdP que vous avez créé et choisissez-le pour consulter les paramètres. Notez l’**ARN du fournisseur**. Vous en avez besoin pour terminer le didacticiel.
1. Vérifiez que le fournisseur d’identité est créé avec vos paramètres. Dans IAM, choisissez **Fournisseurs d’identité**, **Okta** (l’IdP que vous avez ajouté), **Télécharger les métadonnées**. Le fichier doit être celui que vous avez récemment chargé.
Ensuite, vous créez un rôle IAM pour permettre à la fédération SAML 2.0 d'agir en tant qu'entité de confiance dans votre. Compte AWS Pour cette étape, vous devez choisir le mode de provisionnement des utilisateurs dans Amazon Quick. Vous pouvez effectuer l’une des actions suivantes :
+ Accordez l'autorisation au rôle IAM afin que les nouveaux visiteurs deviennent automatiquement des utilisateurs d'Amazon Quick.
**Création déun rôle IAM pour une fédération SAML 2.0 en tant qu’entité approuvée**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Rôles**, puis **Créer un rôle**.
1. Pour **Sélectionner le type d’entité approuvée**, choisissez **Fédération SAML 2.0**.
1. Pour **Fournisseur SAML**, sélectionnez l’IdP que vous avez créé lors de la procédure précédente, par exemple `Okta`.
1. Activez l’option **Autoriser l’accès par programmation et l’accès à la console de gestion AWS **.
1. Choisissez **Suivant : Autorisations**.
1. Collez le politique suivante dans l’éditeur.
Dans l’éditeur de politique, mettez à jour le fichier JSON avec l’Amazon Resource Name (ARN) de votre fournisseur.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Choisissez **Examiner une politique**.
1. Pour **Name (Nom)**, saisissez **QuicksightOktaFederatedPolicy**, puis choisissez **Create policy (Créer une stratégie)**.
1. Choisissez une deuxième fois **Créer une politique**, **JSON**.
1. Collez le politique suivante dans l’éditeur.
Dans l'éditeur de règles, mettez à jour le JSON avec votre Compte AWS identifiant. Il doit s’agir du même ID de compte que celui que vous avez utilisé dans la politique précédente dans l’ARN du fournisseur.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Vous pouvez omettre le Région AWS nom dans l'ARN, comme indiqué ci-dessous.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Choisissez **Examiner une politique**.
1. Pour **Name (Nom)**, saisissez **QuicksightCreateReader**, puis choisissez **Create policy (Créer une stratégie)**.
1. Actualisez la liste des politiques en cliquant sur l’icône d’actualisation à droite.
1. Dans le champ **Recherche**, saisissez **QuicksightOktaFederatedPolicy**. Choisissez la politique pour l’activer (![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/checkbox-on.png)).
Si vous ne voulez pas utiliser le provisionnement automatique, vous pouvez ignorer l’étape suivante.
Pour ajouter un utilisateur Amazon Quick, utilisez [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Pour ajouter un groupe Amazon Quick, utilisez [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Pour ajouter des utilisateurs au groupe Amazon Quick, utilisez [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Facultatif) Dans le champ **Recherche**, saisissez **QuicksightCreateReader**. Choisissez la politique pour l’activer (![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/checkbox-on.png)).
Effectuez cette étape si vous souhaitez configurer automatiquement les utilisateurs d'Amazon Quick, plutôt que d'utiliser l'API Amazon Quick.
La politique `QuicksightCreateReader` active le provisionnement automatique en autorisant l’utilisation de l’action `quicksight:CreateReader`. Cette action permet d’accorder aux nouveaux utilisateurs un accès au tableau de bord en tant qu’abonné (niveau lecteur). Un administrateur Amazon Quick peut ensuite les mettre à niveau depuis le menu de profil Amazon Quick, **Manage Amazon Quick**, **Manage users**.
1. Pour continuer à attacher la ou les politiques IAM, choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Pour **Nom du rôle**, saisissez **QuicksightOktaFederatedRole**, puis choisissez **Créer un rôle**.
1. Vérifiez que vous avez effectué cette opération avec succès en suivant les étapes ci-dessous :
1. Retournez à la page principale de la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Vous pouvez utiliser le bouton **Retour** de votre navigateur.
1. Sélectionnez **Rôles**.
1. Dans le champ **Recherche**, saisissez Okta. Choisissez **QuicksightOktaFederatedRole**parmi les résultats de recherche.
1. Sur la page **Résumé** de la politique, examinez l’onglet **Autorisations**. Vérifiez que le rôle possède la ou les politiques que vous lui avez associées. Il devrait avoir `QuicksightOktaFederatedPolicy`. Si vous avez choisi d’ajouter la possibilité de créer des utilisateurs, il devrait également avoir `QuicksightCreateReader`.
1. Utilisez l’icône ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/caret-right-filled.png) pour ouvrir chaque politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure. Vérifiez que vous avez ajouté votre propre Compte AWS numéro à la place du numéro de compte d'exemple 111111111111.
1. Dans l’onglet **Relations d’approbation**, vérifiez que le champ **Entités approuvée** contient l’ARN du fournisseur d’identité. Vous pouvez vérifier à nouveau l’ARN dans la console IAM en ouvrant **Fournisseurs d’identité**, **Okta**.
**Création d’une clé d’accès pour Okta**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Ajoutez une politique qui permet à Okta d’afficher une liste de rôles IAM à l’utilisateur. Pour ce faire, choisissez **Politique**, **Créer une nouvelle politique**.
1. Choisissez **JSON** puis saisissez la politique suivante.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Choisissez **Review Policy (Examiner une stratégie)**.
1. Pour **Nom**, saisissez **OktaListRolesPolicy**. Sélectionnez ensuite **Créer une politique**.
1. Ajoutez un utilisateur afin de fournir à Okta une clé d’accès.
Dans le volet de navigation, choisissez **Utilisateurs**, **Ajouter un utilisateur**.
1. Utilisez les paramètres suivants :
+ Dans **User name** (Nom d’utilisateur), saisissez `OktaSSOUser`.
+ Pour **Type d’accès**, activez **Accès par programmation**.
1. Choisissez **Suivant : Autorisations**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Dans le champ **Rechercher****OktaListRolesPolicy**, entrez et choisissez **OktaListRolesPolicy**parmi les résultats de recherche.
1. Sélectionnez **Suivant : Balises**, puis **Suivant : Vérification)**.
1. Choisissez **Create user (Créer un utilisateur)**. Vous pouvez maintenant obtenir la clé d’accès.
1. Téléchargez le fichier clé en choisissant **Télécharger .csv**. Le fichier contient le même ID de clé d’accès et la même clé d’accès secrète que ceux affichés sur cet écran. Toutefois, comme cette information AWS n'est pas affichée une seconde fois, assurez-vous de télécharger le fichier.
1. Vérifiez que vous avez correctement effectué cette étape en procédant comme suit :
1. Ouvrez la console IAM et choisissez **Utilisateurs**. Recherchez **OktaSSOUser, puis** ouvrez-le en choisissant le nom d'utilisateur dans les résultats de recherche.
1. Dans l'onglet **Autorisations**, vérifiez que le **OktaListRolesPolicy**est joint.
1. Utilisez l’icône ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/caret-right-filled.png) pour ouvrir la politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure.
1. Dans l’onglet **Informations d’identification de sécurité**, vous pouvez vérifier la clé d’accès, même si vous l’avez déjà téléchargée. Vous pouvez revenir à cet onglet pour créer une clé d’accès lorsque vous en avez besoin d’une nouvelle.
Dans la procédure suivante, vous retournez à Okta pour fournir la clé d’accès. La clé d'accès fonctionne avec vos nouveaux paramètres de sécurité pour permettre AWS à Okta IdP de fonctionner ensemble.
**Pour terminer la configuration de l'application Okta avec les AWS paramètres**
1. Retournez à votre tableau de bord Okta. Si vous y êtes invité, connectez-vous. Si la console du développeur n’est plus ouverte, choisissez **Admin** pour la rouvrir.
1. Si vous devez rouvrir Okta, vous pouvez revenir à cette section en suivant les étapes ci-dessous :
1. Connectez-vous à Okta. Choisissez **Applications**.
1. Choisissez **AWS Account Federation - Amazon Quick**, l'application que vous avez créée au début de ce didacticiel.
1. Choisissez l’onglet **Authentification**, entre **Général** et **Mobile**.
1. Faites défiler l’écran jusqu’à **Paramètres d’authentification avancés**.
1. Dans le champ **ARN du fournisseur d’identité (obligatoire uniquement pour la fédération IAM SAML)**, saisissez l’ARN du fournisseur indiqué dans la procédure précédente, par exemple :
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Choisissez **Terminer** ou **Enregistrer**. Le nom du bouton varie selon que vous créez ou modifiez l’application.
1. Choisissez l’onglet **Provisionnement** et, dans la partie inférieure de cet onglet, choisissez **Configurer l’intégration API**.
1. Activez l’option **Activer l’intégration API** pour afficher les paramètres.
1. Pour la **clé d’accès** et la **clé secrète**, indiquez la clé d’accès et la clé secrète que vous avez précédemment téléchargées dans un fichier nommé **OktaSSOUser**`_credentials.csv`.
1. Choisissez **Test des informations d’identification API**. Au-dessus du paramètre **Activer l’intégration API**, vous trouverez un message confirmant que la **Fédération de comptes AWS a été vérifiée avec succès**.
1. Choisissez **Enregistrer**.
1. Assurez-vous que **Vers l’application** est en surbrillance à gauche, puis choisissez **Modifier** à droite.
1. Pour **Créer des utilisateurs**, activez l’option **Activer**.
1. Choisissez **Enregistrer**.
1. Dans l’onglet **Attributions**, près de **Provisionnement** et **Importation**, choisissez **Attribuer**.
1. Effectuez une ou plusieurs des opérations suivantes pour activer l’accès fédéré :
+ Pour travailler avec des utilisateurs individuels, choisissez **Attribuer à des personnes**.
+ Pour travailler avec des groupes IAM, choisissez **Attribuer à des groupes**. Vous pouvez choisir des groupes IAM spécifiques ou **Tout le monde (tous les utilisateurs de votre organisation)**.
1. Pour chaque utilisateur ou groupe IAM, procédez de la façon suivante :
1. Choisissez **Attribuer**, **Rôle**.
1. Sélectionnez un **QuicksightOktaFederatedRole**rôle dans la liste des rôles IAM.
1. Pour les **rôles utilisateur SAML**, activez **QuicksightOktaFederatedRole**.
1. Choisissez **Enregistrer et revenir en arrière**, puis cliquez sur **OK**.
1. Vérifiez que vous avez effectué cette étape correctement en choisissant le filtre **Personnes** ou **Groupes** à gauche et en vérifiant les utilisateurs ou les groupes que vous avez saisis. Si vous ne parvenez pas à terminer ce processus parce que le rôle que vous avez créé ne figure pas dans la liste, revenez aux procédures précédentes pour vérifier les paramètres.
**Pour vous connecter à Amazon Quick à l'aide d'Okta (connexion de l'IdP au fournisseur de services)**
1. Si vous utilisez un compte administrateur Okta, passez en mode utilisateur.
1. Connectez-vous à votre tableau de bord Okta Applications avec un utilisateur auquel un accès fédéré a été accordé. Vous devriez voir une nouvelle application avec votre étiquette, par exemple **AWS Account Federation - Amazon Quick**.
1. Choisissez l'icône de l'application pour lancer **AWS Account Federation - Amazon Quick**.
Vous pouvez désormais gérer les identités avec Okta et utiliser l'accès fédéré avec Quick.
La procédure suivante est une partie facultative de ce didacticiel. Si vous suivez ses étapes, vous autorisez Amazon Quick à transmettre les demandes d'autorisation à l'IdP au nom de vos utilisateurs. Grâce à cette méthode, les utilisateurs peuvent se connecter à Amazon Quick sans avoir à se connecter au préalable via la page IdP.
**(Facultatif) Pour configurer Amazon Quick afin d'envoyer des demandes d'authentification à Okta**
1. Ouvrez Amazon Quick, puis choisissez **Gérer Amazon Quick** dans le menu de votre profil.
1. Choisissez **Authentification unique (fédération IAM)** dans le volet de navigation.
1. Dans **Configuration**, URL de l'**IdP, entrez l'URL** fournie par votre IdP pour authentifier les utilisateurs, par exemple https://dev - .okta. *1-----0* com/home/amazon\$1frais/. *0oabababababaGQei5d5/282* Vous pouvez le trouver sur la page de votre application Okta, sous l’onglet **Général**, dans **Lien d’intégration**.
1. Dans le champ **URL IdP**, saisissez `RelayState`.
1. Effectuez l’une des actions suivantes :
+ Pour tester d’abord la connexion avec votre fournisseur d’identité, utilisez l’URL personnalisée fournie dans **Test en commençant par votre IdP**. Vous devriez accéder à la page de démarrage d'Amazon Quick, par exemple https://quicksight.aws.amazon.com/sn/ Start.
+ Pour tester d'abord la connexion à Amazon Quick, utilisez l'URL personnalisée fournie dans **Tester l' end-to-endexpérience**. Le paramètre `enable-sso` est ajouté à l’URL. Si `enable-sso=1`, la fédération IAM tente de s’authentifier. Si `enable-sso=0` Amazon Quick n'envoie pas la demande d'authentification, vous vous connectez à Amazon Quick comme avant.
1. Pour **État**, sélectionnez **Activé**.
1. Choisissez **Enregistrer** pour conserver vos paramètres.
Vous pouvez créer un lien profond vers un tableau de bord Amazon Quick pour permettre aux utilisateurs d'utiliser la fédération IAM pour se connecter directement à des tableaux de bord spécifiques. Pour ce faire, vous devez ajouter l’indicateur d’état de relais et l’URL du tableau de bord à l’URL de l’authentification unique Okta, comme décrit ci-dessous.
**Pour créer un lien profond vers un tableau de bord Amazon Quick pour l'authentification unique**
1. Localisez l’URL d’authentification unique (fédération IAM) de l’application Okta dans le fichier `metadata.xml` que vous avez téléchargé au début du didacticiel. Vous pouvez trouver l’URL au bas du fichier, dans l’élément nommé `md:SingleSignOnService`. L’attribut est nommé `Location` et la valeur se termine par `/sso/saml`, comme illustré dans l’exemple suivant.
```
```
1. Prenez la valeur de l'URL de fédération IAM et ajoutez-la, `?RelayState=` suivie de l'URL de votre tableau de bord Amazon Quick. Le paramètre `RelayState` transmet l’état (l’URL) dans lequel se trouvait l’utilisateur lorsqu’il a été redirigé vers l’URL d’authentification.
1. À la nouvelle fédération IAM avec l'état du relais ajouté, ajoutez l'URL de votre tableau de bord Amazon Quick. L’URL obtenue doit ressembler à ce qui suit.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Si le lien que vous créez ne s’ouvre pas, vérifiez que vous utilisez l’URL de fédération IAM la plus récente du `metadata.xml`. Vérifiez également que le nom d’utilisateur que vous utilisez pour vous connecter n’est pas attribué dans plus d’une application Okta de la fédération IAM.
# Utilisation d'Active Directory avec l'édition Amazon Quick Enterprise
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
L'édition Amazon Quick Enterprise prend en charge à la fois le [service d'AWS annuaire pour Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) et le [connecteur Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Pour créer un nouveau répertoire qui sera votre gestionnaire d'identité pour Quick, utilisez AWS Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD. Il s’agit d’un hôte Active Directory dans le cloud AWS qui offre la plupart des fonctionnalités d’Active Directory. Actuellement, vous pouvez vous connecter à Active Directory dans toutes les AWS régions prises en charge par Amazon Quick, à l'exception de l'Asie-Pacifique (Singapour). Lorsque vous créez un annuaire, vous pouvez l’utiliser avec un VPC (virtual private cloud). Pour plus d’informations, consultez [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Si vous avez un répertoire existant que vous souhaitez utiliser pour Quick, vous pouvez utiliser Active Directory Connector. Ce service redirige les demandes d'annuaire vers votre Active Directory (dans un autre répertoire Région AWS ou sur site) sans mettre en cache aucune information dans le cloud.
Pour une présentation détaillée de la création et de la gestion d'un annuaire avec AWS Managed Microsoft AD, voir [Utiliser un Microsoft AD AWS géré avec Quick ?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) dans le AWS Knowledge Center.
Lorsque vous utilisez AWS Directory Service pour lancer un annuaire, il AWS crée une unité organisationnelle (UO) portant le même nom que votre domaine. AWS crée également un compte administratif avec des droits administratifs délégués pour l'unité d'organisation. Vous pouvez créer des comptes, des groupes et des politiques au sein de l’UO en utilisant les utilisateurs et les groupes d’Active Directory. Pour plus d'informations, consultez [Best Practices for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) dans le *Guide d'administration du Directory Service.*
Après avoir créé votre répertoire, vous pouvez l'utiliser avec Quick en créant des groupes pour les utilisateurs. Amazon Quick dispose de six rôles d'utilisateur spécifiques qui peuvent être attribués, y compris les versions Pro qui donnent accès à des fonctionnalités avancées :
+ **Administrateurs rapides — Les administrateurs** peuvent modifier les paramètres du compte, gérer les comptes. Les administrateurs peuvent également acheter des abonnements utilisateur Amazon Quick supplémentaires ou de la capacité [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ou annuler l'abonnement à Amazon Quick pour votre Compte AWS compte. Les utilisateurs d'Admin Pro disposent de fonctionnalités supplémentaires, notamment la création de contenu en langage naturel, la création de bases de connaissances, la configuration d'actions et l'accès à des flux de travail automatisés avancés.
+ **Auteurs rapides : les auteurs** Amazon Quick peuvent créer des sources de données, des ensembles de données, des analyses et des tableaux de bord. Ils peuvent partager des analyses et des tableaux de bord avec d'autres utilisateurs d'Amazon Quick. Les utilisateurs d'Author Pro peuvent également créer du contenu en langage naturel, créer des bases de connaissances, configurer des actions et accéder à des fonctionnalités d'automatisation avancées.
+ **Lecteurs rapides** — Les lecteurs peuvent consulter des tableaux de bord créés par quelqu'un d'autre et interagir avec eux. Les utilisateurs de Reader Pro ont accès à des fonctionnalités avancées, notamment des agents de chat basés sur l'IA, des espaces collaboratifs, des flux et des extensions.
Vous pouvez ajouter ou affiner l’accès en appliquant des stratégies IAM. Par exemple, vous pouvez utiliser des stratégies IAM afin d’autoriser les utilisateurs à s’inscrire eux-mêmes.
Lorsque vous vous abonnez à l'édition Amazon Quick Enterprise et que vous choisissez Active Directory comme fournisseur d'identité, vous pouvez associer vos groupes AD à Amazon Quick. Vous pouvez également ajouter ou modifier vos groupes AD par la suite.
**Topics**
+ [Intégration de l'annuaire avec l'édition Quick Enterprise](#directory-integration)
## Intégration de l'annuaire avec l'édition Quick Enterprise
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Quick Enterprise prend en charge les options suivantes :
+ AWS Service de répertoire
+ AWS Directory Service avec AD Connector
+ Active Directory sur site avec fédération IAM ou AD Connector
+ Utilisation de la fédération IAM AWS IAM Identity Center ou d'un autre service de fédération tiers
Si vous souhaitez utiliser la fédération IAM avec un Active Directory local, vous devez implémenter le service d' AWS annuaire en tant qu'Active Directory distinct avec une relation de confiance avec l'Active Directory local.
Si vous préférez ne pas utiliser de relation d’approbation, vous pouvez déployer un domaine autonome pour l’authentification au sein d’ AWS. Vous pouvez ensuite créer des utilisateurs et des groupes dans Active Directory. Vous les associeriez ensuite aux utilisateurs et aux groupes dans Quick. Dans cet exemple, les utilisateurs s’authentifient en utilisant leurs informations d’identification de connexion Active Directory. Pour rendre l'accès à Quick transparent pour vos utilisateurs, utilisez la fédération IAM dans ce scénario.
# Utilisation de l'authentification multifactorielle (MFA) avec Amazon Quick
| |
| --- |
| S’applique à : édition Enterprise et édition Standard |
| |
| --- |
| Public cible : administrateurs système |
**Important**
Amazon Quick vous recommande d'intégrer les nouveaux abonnements Quick à IAM Identity Center pour la gestion des identités. Ce guide de l'utilisateur de la fédération d'identités IAM est fourni à titre de référence pour les configurations de comptes existantes. Pour plus d'informations sur l'intégration de votre compte Quick à IAM Identity Center, voir [Configurer votre compte Quick avec IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**Note**
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon Quick.
Vous pouvez utiliser l'authentification multifactorielle (MFA) de plusieurs manières avec Quick. Vous pouvez l'utiliser avec Gestion des identités et des accès AWS (IAM). Vous pouvez l'utiliser avec AD Connector ou votre [service d'AWS annuaire](https://aws.amazon.com/directoryservice/) pour Microsoft Active Directory, également connu sous le nom de AWS Microsoft Active Directory ou AWS Managed Microsoft Active Directory. Et si vous utilisez un fournisseur d'identité (IdP) externe, vous AWS n'avez pas besoin d'informations sur le MFA, car cela fait partie de l'authentification gérée par l'IdP.
Pour plus d’informations, consultez les ressources suivantes :
+ [Utilisation de l’authentification multifactorielle (MFA) dans AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le Guide de l’utilisateur IAM
+ [Activez l'authentification multifactorielle pour AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) dans le guide AWS Directory Service d'administration
+ [Activation de l’authentification multifactorielle (MFA) pour AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) dans le Guide d’administration AWS Directory Service
Si vous êtes un développeur, consultez les ressources suivantes :
+ [Comment utiliser un jeton MFA pour authentifier l'accès à mes AWS ressources par le biais de la AWS CLI dans le](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/) [Knowledge Center AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Configuration de l’accès aux API protégé par MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le Guide de l’utilisateur IAM