Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Configurer des autorisations
Important
Amazon QuickSight dispose de nouvelles API pour intégrer des analyses : GenerateEmbedUrlForAnonymousUser etGenerateEmbedUrlForRegisteredUser.
Vous pouvez toujours utiliser les GetSessionEmbedUrl API GetDashboardEmbedUrl and pour intégrer les tableaux de bord et la QuickSight console, mais elles ne contiennent pas les dernières fonctionnalités d'intégration. Pour connaître la dernière expérience up-to-date d'intégration, consultezPrésentation de l'intégration.
Dans la section suivante, vous apprendrez à configurer les autorisations pour l'application backend ou le serveur web. Cette tâche requiert un accès d'administration à IAM.
Chaque utilisateur qui accède à un QuickSight assume un rôle qui lui donne accès à Amazon et lui donne les autorisations nécessaires pour QuickSight accéder à la session de console. Pour que cela soit possible, créez un rôle IAM dans votre compte AWS. Associez une politique IAM au rôle afin de fournir des autorisations à n'importe quel utilisateur qui assume ce rôle. Ajoutez quicksight:RegisterUser des autorisations pour garantir que le lecteur puisse y accéder QuickSight en lecture seule et qu'il n'ait accès à aucune autre donnée ou fonctionnalité de création. Le rôle IAM doit également fournir des autorisations pour récupérer les URL de la session de console. Pour cela, ajoutez quicksight:GetSessionEmbedUrl.
L'exemple de politique suivant fournit ces autorisations à utiliser avec IdentityType=IAM.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetSessionEmbedUrl", "Resource": "*", "Effect": "Allow" } ] }
L'exemple de politique suivant autorise la récupération de l'URL d'une session de console. Vous utilisez la politique sans quicksight:RegisterUser si vous créez des utilisateurs avant qu'ils n'accèdent à une session intégrée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetSessionEmbedUrl" ], "Resource": "*" } ] }
Si vous utilisez QUICKSIGHT comme identityType et fournissez l'Amazon Resource Name (ARN) de l'utilisateur, vous devez également autoriser l'action quicksight:GetAuthCode dans votre politique. L'exemple de stratégie suivant fournit cette autorisation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetSessionEmbedUrl", "quicksight:GetAuthCode" ], "Resource": "*" } ] }
L'identité IAM de votre application doit avoir une politique d'approbation qui lui est associée afin d'autoriser l'accès au rôle que vous venez de créer. Cela signifie que lorsqu'un utilisateur accède à votre application, celle-ci peut assumer le rôle en QuickSight son nom et lui fournir des informations. L'exemple suivant montre un rôle appelé embedding_quicksight_console_session_role, qui possède l'exemple de stratégie précédent en tant que ressource.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_console_session_role" } }
Pour plus d'informations sur les stratégies d'approbation pour OpenId Connect ou l'authentification SAML, consultez les sections suivantes du Guide de l'utilisateur IAM :
