Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Configurer des autorisations
| S'applique à : édition Enterprise |
| Public cible : QuickSight développeurs Amazon |
Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web. Cette tâche nécessite un accès administratif àIAM.
Chaque utilisateur qui accède à un tableau de bord assume un rôle qui lui confère l' QuickSight accès et les autorisations Amazon sur le tableau de bord. Pour que cela soit possible, créez un IAM rôle dans votre Compte AWS. Associez une IAM politique au rôle afin de fournir des autorisations à tout utilisateur qui l'assume.
Vous pouvez créer une condition dans votre IAM politique qui limite les domaines que les développeurs peuvent répertorier dans les AllowedDomains paramètres d'une GenerateEmbedUrlForAnonymousUser API opération. Le paramètre AllowedDomains est un paramètre facultatif. En tant que développeur, il vous donne la possibilité de remplacer les domaines statiques configurés dans le QuickSight menu Gérer. Au lieu de cela, vous pouvez répertorier jusqu'à trois domaines ou sous-domaines pouvant accéder à un domaine généréURL. Il URL est ensuite intégré au site Web que vous créez. Seuls les domaines répertoriés dans le paramètre peuvent accéder au tableau de bord intégré. Sans cette condition, vous pouvez répertorier n'importe quel domaine sur Internet dans le paramètre AllowedDomains.
Pour limiter les domaines que les développeurs peuvent utiliser avec ce paramètre, ajoutez une AllowedEmbeddingDomains condition à votre IAM politique. Pour plus d'informations sur le AllowedDomains paramètre, consultez GenerateEmbedUrlForAnonymousUserla QuickSight APIréférence Amazon.
L'exemple de politique suivant fournit ces autorisations à utiliser avec GenerateEmbedUrlForAnonymousUser. Pour que cette approche fonctionne, vous avez également besoin d'un pack de session ou d'une tarification de capacité de session pour votre Compte AWS. Sinon, lorsqu'un utilisateur tente d'accéder au tableau de bord, l'erreur UnsupportedPricingPlanException est renvoyée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForAnonymousUser" ], "Resource": [ "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } }
L'IAMidentité de votre application doit être associée à une politique de confiance pour autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, votre application peut assumer le rôle pour le compte de l'utilisateur afin d'ouvrir le tableau de bord. Voici un exemple de politique d'approbation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Pour plus d'informations sur les politiques de confiance, consultez la section Informations d'identification de sécurité temporaires IAM dans le Guide de IAM l'utilisateur.
