Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione per Quick
Questa sezione ti aiuta a capire come configurare la gestione delle identità e degli accessi e come controllare l'iscrizione degli utenti quando configuri un'istanza Amazon Quick.
**Nota**
Per informazioni su come configurare la tua istanza Amazon Quick, inclusa la creazione di un AWS account, la registrazione a un abbonamento Amazon Quick e l'accesso ad Amazon Quick, consulta [Configurazione e accesso ad Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/setting-up.html).
**Topics**
+ [
# Utilizzo delle politiche di controllo del servizio per limitare le opzioni di iscrizione ad Amazon Quick
](security-scp-admin.md)
+ [
# Gestione delle identità e degli accessi in Quick
](identity.md)
+ [
# Consenti la pubblicazione di domini Amazon Quick
](allowlist-domains.md)
# Utilizzo delle politiche di controllo del servizio per limitare le opzioni di iscrizione ad Amazon Quick
Se sei un amministratore di AWS Organizations, puoi utilizzare le policy di controllo del servizio (SCPs) per limitare il modo in cui le persone della tua organizzazione possono iscriversi ad Amazon Quick. Puoi limitare l'edizione di Quick a cui possono iscriversi e anche il tipo di utente a cui possono iscriversi.
AWS Organizations è un servizio di gestione degli account utente che puoi utilizzare per consolidare più AWS account in un'organizzazione che crei e gestisci centralmente. Puoi utilizzare SCPs in AWS Organizations per gestire le autorizzazioni nella tua organizzazione. Per ulteriori informazioni, consulta [Cos'è AWS Organizations?](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) e [le politiche di controllo del servizio](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*.
Nel seguente argomento, puoi scoprire due modi per limitare le opzioni di registrazione rapida utilizzando SCPs in AWS Organizations. L'argomento include una SCP di esempio. Per ulteriori informazioni sulla creazione SCPs, consulta i seguenti argomenti nella *Guida per l'AWS Organizations utente*:
+ [Creazione, aggiornamento ed eliminazione delle policy di controllo dei servizi](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Sintassi delle SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Strategie di utilizzo SCPs](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [
## Limitazione dell'edizione Quick
](#security-scp-edition)
+ [
## Limitazione delle opzioni di gestione degli utenti
](#security-scp-user)
+ [
## SCP di esempio
](#security-scp-example)
## Limitazione dell'edizione Quick
Per limitare l'edizione di Quick a cui possono iscriversi i tuoi account gestiti, utilizza la chiave `quicksight:Edition` condizionale presente nel tuo SCP. I valori per questa chiave sono elencati e descritti nella tabella seguente.
| Nome chiave | Valore chiave | Description |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Edizione Amazon Quick Standard |
| | `enterprise` | Edizione Amazon Quick Enterprise |
## Limitazione delle opzioni di gestione degli utenti
Per limitare le opzioni di gestione degli utenti che i singoli membri della tua organizzazione possono utilizzare per iscriversi a Quick, utilizza il codice di `quicksight:DirectoryType` condizione presente nel tuo SCP. I valori per questa chiave sono elencati e descritti nella tabella seguente.
| Nome chiave | Valore chiave | Description |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | Identità federate IAM e utenti gestiti da Amazon Quick |
| | `iam` | Solo identità federate IAM |
| | `microsoft_ad` | Utenti gestiti in Microsoft Active Directory su AWS Directory Service for Microsoft Active Directory |
| | `ad_connector` | Utenti gestiti in Active Directory locale e connessi tramite AD\$1Connector a AWS Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | Utenti gestiti in un account Amazon Quick integrato con IAM Identity Center. |
## SCP di esempio
L'esempio seguente per Quick mostra una politica di controllo del servizio che nega l'iscrizione ad Amazon Quick Standard Edition e impedisce la possibilità di registrarsi utilizzando l'autenticazione IAM Identity Center. Questa politica utilizza l'operazione `quicksight:Subscribe`, oltre alle chiavi di condizione descritte in precedenza. Per un elenco di chiavi specifiche di Amazon Quick da utilizzare nelle politiche di autorizzazione IAM, consulta [Azioni, risorse e chiavi di condizione per Quick](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html) in the *Service Authorization* Reference.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
Con questa politica in vigore, le persone di un'organizzazione possono iscriversi solo ad Amazon Quick Enterprise Edition e devono utilizzare metodi di autenticazione diversi da IAM Identity Center. Se provano a registrarsi ad Amazon Quick Standard Edition o tentano di utilizzare l'autenticazione IAM Identity Center, non potranno registrarsi e riceveranno un messaggio che spiega che non hanno le autorizzazioni giuste.
# Gestione delle identità e degli accessi in Quick
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
Puoi utilizzare i seguenti strumenti per l'identità e l'accesso a Quick:
+ [Centro identità IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (solo Enterprise Edition)
+ [Federazione IAM](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (Standard Edition ed Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (solo Enterprise Edition)
+ [Single Sign-On basato su SAML](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (edizioni Standard ed Enterprise)
+ [Autenticazione a più fattori (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard Edition ed Enterprise Edition)
**Nota**
Nelle regioni elencate di seguito, gli account Amazon Quick possono utilizzare [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) solo per la gestione delle identità e degli accessi.
`af-south-1` Africa (Città del Capo)
`ap-southeast-3` Asia Pacifico (Giacarta)
`ap-southeast-5`Asia Pacifico (Malesia)
`eu-south-1` Europa (Milano)
`eu-central-2` Europa (Zurigo)
Le seguenti sezioni ti aiutano a configurare il metodo di gestione delle identità di tua scelta per Quick.
**Topics**
+ [
# Uso di IAM
](iam.md)
+ [
# Utilizzo di IAM Identity Center
](setting-up-sso.md)
+ [
# Federazione IAM
](iam-federation.md)
+ [
# Utilizzo di Active Directory con l'edizione Amazon Quick Enterprise
](aws-directory-service.md)
+ [
# Utilizzo dell'autenticazione a più fattori (MFA) con Amazon Quick
](using-multi-factor-authentication-mfa.md)
# Uso di IAM
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Quick. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [
# Introduzione ai concetti IAM
](security_iam_concepts.md)
+ [
# Utilizzo di Quick con IAM
](security_iam_service-with-iam.md)
+ [
# Passaggio dei ruoli IAM a Quick
](security-create-iam-role.md)
+ [
# Esempi di policy IAM per Quick
](iam-policy-examples.md)
+ [
# Assegnazione di ruoli agli utenti per Amazon Quick
](provisioning-users.md)
+ [
# Risoluzione dei problemi Identità e accesso rapidi
](security_iam_troubleshoot.md)
# Introduzione ai concetti IAM
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo più sicuro l'accesso alle AWS risorse. Gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Quick. IAM è un servizio AWS che è possibile utilizzare senza alcun costo aggiuntivo.
IAM viene utilizzato con Amazon Quick in diversi modi, tra cui:
+ Se la tua azienda utilizza IAM per la gestione delle identità, le persone potrebbero avere nomi utente e password IAM che usano per accedere ad Amazon Quick.
+ Se desideri che i tuoi utenti Amazon Quick vengano creati automaticamente al primo accesso, puoi utilizzare IAM per creare una policy per gli utenti preautorizzati a utilizzare Amazon Quick.
+ Se desideri creare un accesso specializzato per gruppi specifici di utenti Amazon Quick o a risorse specifiche, puoi utilizzare le policy IAM per farlo.
**Topics**
+ [
## Destinatari
](#security_iam_audience)
+ [
## Autenticazione con identità
](#security_iam_authentication)
+ [
## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
## Destinatari
Utilizza quanto riportato di seguito per comprendere il contesto delle informazioni fornite in questa sezione e il modo in cui si applicano al proprio ruolo. Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Amazon Quick.
**Utente del servizio**: in alcuni casi, puoi utilizzare Amazon Quick come autore o lettore per interagire con dati, analisi e dashboard, spazi e agenti tramite Amazon Quick utilizzando l'interfaccia del browser. In questi casi, questa sezione fornisce solo informazioni di base. Non interagisci direttamente con il servizio IAM, tranne se utilizzi IAM per accedere ad Amazon Quick.
**Amministratore Amazon Quick**: se sei responsabile delle risorse Amazon Quick della tua azienda, probabilmente hai pieno accesso ad Amazon Quick. È tuo compito determinare a quali funzionalità e risorse di Amazon Quick devono accedere i membri del tuo team. Se hai requisiti specifici che non puoi risolvere utilizzando il pannello di amministrazione di Amazon Quick, puoi collaborare con il tuo amministratore per creare politiche di autorizzazione per i tuoi utenti Amazon Quick. Per saperne di più su IAM, leggi questa pagina per comprendere i concetti di base di IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Amazon Quick, consulta [Using Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Amministratore**: se sei un amministratore di sistema, potresti voler saperne di più su come scrivere politiche per gestire l'accesso ad Amazon Quick. Per visualizzare esempi di politiche basate sull'identità di Amazon Quick che puoi utilizzare in IAM, consulta Politiche [basate sull'identità IAM](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) per Amazon Quick.
## Autenticazione con identità
L'autenticazione è il modo in cui accedi utilizzando le tue credenziali di identità. AWS Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
**Topics**
+ [
### Account AWS utente root
](#security_iam_authentication-rootuser)
+ [
### Utenti e gruppi IAM
](#security_iam_authentication-iamuser)
+ [
### Ruoli IAM
](#security_iam_authentication-iamrole)
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Utilizzo di Quick con IAM
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
Prima di utilizzare IAM per gestire l'accesso ad Amazon Quick, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Quick. Per avere una visione di alto livello di come Amazon Quick e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [
## Amazon Quick Policies (basato sull'identità)
](#security_iam_service-with-iam-id-based-policies)
+ [
## Politiche Amazon Quick (basate sulle risorse)
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Autorizzazione basata sui tag Amazon Quick
](#security_iam_service-with-iam-tags)
+ [
## Ruoli Amazon Quick IAM
](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (basato sull'identità)
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Quick supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
Puoi utilizzare le credenziali AWS root o le credenziali utente IAM per creare un account Amazon Quick. AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per la gestione di Amazon Quick Access alle AWS risorse.
Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. A tale scopo, puoi creare una policy e collegarla all'utente e ai ruoli IAM che intendi utilizzare per Amazon Quick. La policy deve includere le dichiarazioni appropriate per le attività amministrative di Amazon Quick da eseguire, come descritto nelle sezioni seguenti.
**Importante**
Tieni presente quanto segue quando lavori con le politiche Quick e IAM:
Evita di modificare direttamente una policy creata da Quick. Quando la modifichi tu stesso, Quick non può modificarla. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.
Se ricevi un errore sulle autorizzazioni quando tenti di creare un account Amazon Quick, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) nella *IAM User Guide*.
In alcuni casi, potresti avere un account Amazon Quick a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio account Amazon Quick e ricrearlo. Per ulteriori informazioni, consulta [Eliminazione dell'abbonamento Amazon Quick e chiusura dell'account](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [
### Azioni
](#security_iam_service-with-iam-id-based-policies-actions)
+ [
### Resources
](#security_iam_service-with-iam-id-based-policies-resources)
+ [
### Chiavi di condizione
](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [
### Esempi
](#security_iam_service-with-iam-id-based-policies-examples)
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Amazon Quick utilizzano il seguente prefisso prima dell'azione:`quicksight:`. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API `RunInstances` Amazon EC2, è necessario includere l'operazione `ec2:RunInstances` nella policy. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon Quick definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Create`, includi la seguente azione:
```
"Action": "quicksight:Create*"
```
Amazon Quick fornisce una serie di azioni AWS Identity and Access Management (IAM). Tutte le azioni di Amazon Quick hanno il prefisso`quicksight:`, ad esempio`quicksight:Subscribe`. Per informazioni sull'utilizzo di Amazon Quick actions in una policy IAM, consulta [esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Per visualizzare la maggior parte up-to-date delle azioni Amazon Quick, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione `CreateGroupMembership` su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Alcune azioni Amazon Quick, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte operazioni API coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse Amazon Quick e i relativi nomi di risorse Amazon (ARNs), consulta [Resources Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) nella *IAM User Guide*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon Quick non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Amazon Quick, consulta [Amazon Quick Policies (](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)basate sull'identità).
## Politiche Amazon Quick (basate sulle risorse)
Amazon Quick non supporta politiche basate sulle risorse. Tuttavia, puoi utilizzare la console Amazon Quick per configurare l'accesso ad altre AWS risorse del tuo Account AWS.
## Autorizzazione basata sui tag Amazon Quick
Amazon Quick non supporta l'etichettatura delle risorse o il controllo dell'accesso in base ai tag.
## Ruoli Amazon Quick IAM
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Puoi utilizzare i ruoli IAM per raggruppare le autorizzazioni per semplificare la gestione dell'accesso degli utenti alle azioni Amazon Quick.
Amazon Quick non supporta le seguenti funzionalità di ruolo:
+ Ruoli collegati ai servizi.
+ Ruoli dei servizi.
+ Credenziali temporanee (uso diretto): tuttavia, Amazon Quick utilizza credenziali temporanee per consentire agli utenti di assumere un ruolo IAM per accedere ai dashboard integrati. Per ulteriori informazioni, consulta [Analisi integrate per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Per ulteriori informazioni su come Amazon Quick utilizza i ruoli IAM, consulta [Using Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [ed esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
# Passaggio dei ruoli IAM a Quick
| |
| --- |
| Si applica a: Enterprise Edition |
Quando i tuoi utenti IAM si iscrivono a Quick, possono scegliere di utilizzare il ruolo gestito da Amazon Quick (questo è il ruolo predefinito). Oppure possono passare un ruolo IAM esistente ad Amazon Quick.
Utilizza le sezioni seguenti per trasferire i ruoli IAM esistenti ad Amazon Quick
**Topics**
+ [
## Prerequisiti
](#security-create-iam-role-prerequisites)
+ [
## Collegamento di policy aggiuntive
](#security-create-iam-role-athena-s3)
+ [
## Utilizzo dei ruoli IAM esistenti in Quick
](#security-create-iam-role-use)
## Prerequisiti
Per consentire agli utenti di trasferire i ruoli IAM ad Amazon Quick, l'amministratore deve completare le seguenti attività:
+ **Creare un ruolo IAM.** Per ulteriori informazioni sulla creazione di ruoli IAM, consulta [Creazione di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) nella *Guida per l'utente di IAM*.
+ **Allega una policy di fiducia al tuo ruolo IAM che consenta ad Amazon Quick di assumere il ruolo**. Utilizza il seguente esempio per creare una policy di attendibilità per il ruolo. Il seguente esempio di policy di fiducia consente al responsabile di Quick di assumere il ruolo IAM a cui è associato.
Per informazioni sulla creazione di policy di attendibilità IAM e sul loro collegamento ai ruoli, consulta [Modifica di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) nella *Guida per l'utente su IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Assegnare le seguenti autorizzazioni IAM al tuo amministratore (utenti o ruoli IAM)**:
+ `quicksight:UpdateResourcePermissions`— Ciò concede agli utenti IAM che sono amministratori di Amazon Quick l'autorizzazione ad aggiornare le autorizzazioni a livello di risorsa in Amazon Quick. Per ulteriori informazioni sui tipi di risorse definiti da Amazon Quick, consulta [Actions, resources and condition keys for Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) nella *IAM User Guide*.
+ `iam:PassRole`— Ciò concede agli utenti l'autorizzazione a trasferire ruoli ad Amazon Quick. Per ulteriori informazioni, consulta [Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella Guida per l'utente *IAM*.
+ `iam:ListRoles`— (Facoltativo) Ciò concede agli utenti l'autorizzazione a visualizzare un elenco di ruoli esistenti in Amazon Quick. Se questa autorizzazione non viene fornita, potranno utilizzare un ARN per utilizzare i ruoli IAM esistenti.
Di seguito è riportato un esempio di politica di autorizzazione IAM che consente di gestire le autorizzazioni a livello di risorsa, elencare i ruoli IAM e passare i ruoli IAM in Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Per ulteriori esempi di policy IAM che puoi utilizzare con Amazon Quick, consulta [Esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Per ulteriori informazioni sull'assegnazione delle policy di autorizzazioni a gruppi di utenti, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente di IAM*.
## Collegamento di policy aggiuntive
Se utilizzi un altro AWS servizio, come Amazon Athena o Amazon S3, puoi creare una politica di autorizzazioni che conceda ad Amazon Quick l'autorizzazione a eseguire azioni specifiche. Puoi quindi collegare la policy ai ruoli IAM che successivamente passerai ad Amazon Quick. Di seguito sono riportati alcuni esempi di come è possibile configurare e collegare policy di autorizzazione aggiuntive ai ruoli IAM.
Per un esempio di policy gestita per Amazon Quick in Athena, consulta [AWSQuicksightAthenaAccess Managed Policy](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) nella *Amazon Athena* User Guide. Gli utenti IAM possono accedere a questo ruolo in Amazon Quick utilizzando il seguente ARN:. `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
Di seguito è riportato un esempio di politica di autorizzazioni per Amazon Quick in Amazon S3. Per ulteriori informazioni sull'utilizzo di IAM con Amazon S3, consulta [Identity and Access Management in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) nella *Guida per l'utente di Amazon S3*.
Per informazioni su come creare l'accesso tra account da Amazon Quick a un bucket Amazon S3 in un altro account, [vedi Come si configura l'accesso tra account da Quick a un bucket Amazon S3 in un altro account](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? nel Knowledge Center. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Utilizzo dei ruoli IAM esistenti in Quick
Se sei un amministratore di Amazon Quick e disponi delle autorizzazioni per aggiornare le risorse Amazon Quick e passare i ruoli IAM, puoi utilizzare i ruoli IAM esistenti in Amazon Quick. Per ulteriori informazioni sui prerequisiti per il passaggio dei ruoli IAM in Amazon Quick, consulta i [Prerequisiti](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritti nell'elenco precedente.
Utilizza la seguente procedura per imparare a passare i ruoli IAM in Amazon Quick.
**Per utilizzare un ruolo IAM esistente in Amazon Quick**
1. In Amazon Quick, scegli il nome del tuo account nella barra di navigazione in alto a destra e scegli **Gestisci QuickSight**.
1. Nella pagina **Manage Amazon Quick** che si apre, scegli **Sicurezza e autorizzazioni** nel menu a sinistra.
1. Nella pagina **Sicurezza e autorizzazioni** che si apre, in **Amazon Quick access to AWS services**, scegli **Gestisci**.
1. Per il **ruolo IAM**, scegli **Usa un ruolo esistente**, quindi completa una delle seguenti operazioni:
+ Scegli il ruolo che si desidera usare dall'elenco.
+ Oppure, se non vedi un elenco di ruoli IAM esistenti, puoi inserire l'ARN IAM per il ruolo nel seguente formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Scegli **Save** (Salva).
# Esempi di policy IAM per Quick
Questa sezione fornisce esempi di policy IAM che puoi utilizzare con Quick.
## Politiche basate sull'identità IAM per Quick
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Quick.
**Topics**
+ [
### Policy basate sull'identità IAM per l'amministrazione della console Amazon Quick IAM
](#security_iam_conosole-administration)
### Policy basate sull'identità IAM per l'amministrazione della console Amazon Quick IAM
L'esempio seguente mostra le autorizzazioni IAM necessarie per le azioni di amministrazione della console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: dashboard
L'esempio seguente mostra una policy IAM che consente la condivisione di pannelli di controllo e l'incorporamento di pannelli specifici.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: namespace
Gli esempi seguenti mostrano le policy IAM che consentono a un amministratore di Amazon Quick di creare o eliminare namespace.
**Creazione degli spazi dei nomi**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Eliminazione degli spazi dei nomi**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: autorizzazioni personalizzate
L'esempio seguente mostra una policy IAM che consente a un amministratore o uno sviluppatore di Amazon Quick di gestire autorizzazioni personalizzate.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in Amazon Quick, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa policy consente a un amministratore di Amazon Quick di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail è un'identità verificata in SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Policy basate sull'identità IAM per Quick: crea un account Enterprise con utenti gestiti da Amazon Quick
L'esempio seguente mostra una politica che consente agli amministratori di Amazon Quick di creare un account Amazon Quick in edizione Enterprise con utenti gestiti da Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: creazione di utenti
L'esempio seguente mostra una policy che consente di creare solo utenti Amazon Quick. Per `quicksight:CreateReader`, `quicksight:CreateUser` e `quicksight:CreateAdmin`, è possibile limitare le autorizzazioni a **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Per tutte le altre autorizzazioni descritte in questa guida, utilizza **"Resource": "\$1"**. La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: creazione e gestione di gruppi
L'esempio seguente mostra una policy che consente agli amministratori e agli sviluppatori di Amazon Quick di creare e gestire gruppi.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: All access for Standard edition
L'esempio seguente per l'edizione Amazon Quick Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center (Pro roles)
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente a un utente Amazon Quick di abbonarsi ad Amazon Quick, creare utenti e gestire Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica consente inoltre agli utenti di sottoscrivere ruoli Amazon Quick Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di Quick Generative BI. Per ulteriori informazioni sui ruoli Pro in Amazon Quick, consulta [Introduzione alla BI generativa](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in Amazon Quick. Per creare una policy che conceda l'autorizzazione a sottoscrivere ruoli Pro in Amazon Quick, consulta [Politiche basate sull'identità IAM per Amazon Quick: All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)Pro roles).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: active directory groups
L'esempio seguente mostra una policy IAM che consente la gestione di gruppi Active Directory per un account Amazon Quick Enterprise edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle risorse di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle risorse di amministrazione.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle chiavi di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle chiavi di amministrazione.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Le `"kms:ListAliases"` autorizzazioni `"quicksight:ListKMSKeysForUser"` e sono necessarie per accedere alle chiavi gestite dal cliente dalla console Amazon Quick. `"quicksight:ListKMSKeysForUser"`e non `"kms:ListAliases"` sono obbligati a utilizzare la gestione delle chiavi Amazon Quick APIs.
Per specificare a quali chiavi vuoi che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla `UpdateKeyRegistration` condizione con la chiave di `quicksight:KmsKeyArns` condizione. Gli utenti possono accedere solo alle chiavi specificate in `UpdateKeyRegistration`. Per ulteriori informazioni sulle chiavi di condizione supportate per Amazon Quick, consulta [Condition keys for Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
L'esempio seguente concede `Describe` autorizzazioni per tutti coloro CMKs che sono registrati su un account Amazon Quick e `Update` autorizzazioni per specifici utenti registrati nell'account Amazon CMKs Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS risorse Quick: definizione delle politiche nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Assegnazione di ruoli agli utenti per Amazon Quick
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
## Esecuzione automatica del provisioning di un amministratore Amazon Quick
Gli amministratori di Amazon Quick sono utenti che possono anche gestire le funzionalità di Amazon Quick come le impostazioni e gli account degli account. Possono anche acquistare abbonamenti utente Amazon Quick aggiuntivi, acquistare [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) e annullare l'abbonamento ad Amazon Quick per te. Account AWS
Puoi utilizzare una politica AWS utente o di gruppo per dare agli utenti la possibilità di aggiungersi come amministratori di Amazon Quick. Gli utenti a cui è stata concessa questa capacità possono essere aggiunti solo come amministratori e non possono utilizzare questa policy per aggiungerne altre. I loro account diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateAdmin`.
In alternativa, puoi utilizzare la seguente procedura per utilizzare la console per impostare o creare l'amministratore per Amazon Quick.
**Per rendere un utente amministratore di Amazon Quick**
1. Crea l' AWS utente:
+ Usa IAM per creare l'utente che desideri sia l'amministratore di Amazon Quick. In alternativa, identificare un utente esistente in IAM per il ruolo di amministratore. È anche possibile inserire l'utente all'interno di un nuovo gruppo, per una maggiore gestibilità.
+ Concedere autorizzazioni sufficienti all'utente (o al gruppo).
1. Accedi al tuo Console di gestione AWS con le credenziali dell'utente di destinazione.
1. Andare a [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), digitare l'indirizzo e-mail dell'utente di destinazione e scegliere **Continue (Continua)**.
In caso di successo, l'utente di destinazione è ora un amministratore in Amazon Quick.
## Auto-provisioning di un autore Amazon Quick
Gli autori di Amazon Quick possono creare sorgenti di dati, set di dati, analisi e dashboard. Possono condividere analisi e dashboard con altri utenti Amazon Quick nel tuo account Amazon Quick. Tuttavia, non hanno accesso al menu **Manage Amazon Quick**. Non possono modificare le impostazioni dell'account, gestire gli account, acquistare abbonamenti utente Amazon Quick aggiuntivi o capacità [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) o annullare l'abbonamento ad Amazon Quick for your. Account AWS Gli utenti Author Pro possono inoltre creare contenuti utilizzando il linguaggio naturale, creare basi di conoscenza, configurare azioni e accedere a funzionalità di automazione avanzate.
Puoi utilizzare una politica AWS utente o di gruppo per consentire agli utenti di creare autonomamente un account Amazon Quick Author. I loro account diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateUser`.
## Eseguire il provisioning automatico di un utente di sola lettura Amazon Quick
Gli utenti o *i lettori* di sola lettura di Amazon Quick possono visualizzare e manipolare i dashboard condivisi con loro, ma non possono apportare modifiche o salvare un pannello di controllo per ulteriori analisi. I lettori di Amazon Quick non possono creare sorgenti di dati, set di dati, analisi o immagini. né eseguire attività amministrative. Questo ruolo è consigliabile per gli utenti che sono consumatori dei pannelli di controllo ma non creano analisi proprie, come ad esempio i dirigenti. Gli utenti di Reader Pro hanno accesso a funzionalità avanzate tra cui agenti di chat basati sull'intelligenza artificiale, spazi collaborativi, flussi ed estensioni.
Se utilizzi Microsoft Active Directory con Amazon Quick, puoi gestire le autorizzazioni di sola lettura utilizzando un gruppo. Altrimenti, puoi invitare in blocco gli utenti a utilizzare Amazon Quick. Puoi anche utilizzare una politica AWS utente o di gruppo per dare alle persone la possibilità di creare autonomamente un account Amazon Quick Reader.
Gli account Reader diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Se decidi di effettuare l'upgrade o il downgrade di utente, la fatturazione per tale utente viene ripartita proporzionalmente nel mese. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateReader`.
I lettori che vengono utilizzati per aggiornare automaticamente o programmaticamente i pannelli di controllo per casi d'uso quasi in tempo reale devono scegliere il prezzo della capacità. Per i lettori con tariffa utente, ciascun lettore è limitato all'uso manuale da parte di un solo individuo.
# Risoluzione dei problemi Identità e accesso rapidi
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Quick e IAM.
**Topics**
+ [
## Non sono autorizzato a eseguire un'azione in Amazon Quick
](#security_iam_troubleshoot-no-permissions)
+ [
## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Quick
](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Quick
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza.
L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` tenta di utilizzare la console per visualizzare i dettagli relativi a *widget*, ma non dispone delle autorizzazioni `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `quicksight:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Quick.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Quick. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Quick
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Quick supporta queste funzionalità, consulta[Utilizzo di Quick con IAM](security_iam_service-with-iam.md).
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Utilizzo di IAM Identity Center
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
L'edizione Amazon Quick Enterprise si integra con le directory esistenti, utilizzando Microsoft Active Directory o Single Sign-On (IAM Identity Center) utilizzando Security Assertion Markup Language (SAML). Puoi utilizzare AWS Identity and Access Management (IAM) per migliorare ulteriormente la tua sicurezza o per opzioni personalizzate come l'incorporamento di dashboard.
Nell'edizione Quick Standard, puoi gestire gli utenti interamente all'interno di Quick. Se preferisci, è possibile effettuare l'integrazione con utenti, gruppi e ruoli esistenti in IAM.
Puoi utilizzare i seguenti strumenti per l'identità e l'accesso ad Amazon Quick:
+ [Centro identità IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (solo Enterprise Edition)
+ [Federazione IAM](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard Edition ed Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (solo Enterprise Edition)
+ [Single Sign-On basato su SAML](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) (edizioni Standard ed Enterprise)
+ [Autenticazione a più fattori (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard Edition ed Enterprise Edition)
**Nota**
Nelle regioni elencate di seguito, gli account Amazon Quick possono utilizzare [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) solo per la gestione delle identità e degli accessi.
`af-south-1` Africa (Città del Capo)
`ap-southeast-3` Asia Pacifico (Giacarta)
`ap-southeast-5`Asia Pacifico (Malesia)
`eu-south-1` Europa (Milano)
`eu-central-2` Europa (Zurigo)
IAM Identity Center ti aiuta a creare o connettere in modo sicuro le identità della tua forza lavoro e a gestirne l'accesso tra AWS account e applicazioni.
Prima di integrare il tuo account Amazon Quick con IAM Identity Center, configura IAM Identity Center nel tuo AWS account. Se non hai configurato IAM Identity Center nella tua AWS organizzazione, consulta la Guida [introduttiva](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) alla *guida per l'AWS IAM Identity Center utente*.
Se desideri configurare un provider di identità esterno con il Centro identità IAM, consulta [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) per visualizzare un elenco dei passaggi di configurazione dei provider di identità supportati.
**Topics**
+ [
## Configura il tuo account Amazon Quick con IAM Identity Center
](#sec-identity-management-identity-center)
## Configura il tuo account Amazon Quick con IAM Identity Center
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
IAM Identity Center ti aiuta a creare o configurare in modo sicuro le identità della tua forza lavoro esistenti e a gestirne l'accesso tra AWS account e applicazioni. IAM Identity Center è l'approccio consigliato per l'autenticazione e l'autorizzazione della forza lavoro AWS per organizzazioni di qualsiasi dimensione e tipo. Per ulteriori informazioni sul Centro identità IAM, consulta [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/).
Configura Amazon Quick e IAM Identity Center in modo da poter registrare un nuovo account Amazon Quick con un'origine di identità configurata da IAM Identity Center. Con il Centro identità IAM, puoi configurare il provider di identità esterno come origine identità. Puoi anche utilizzare IAM Identity Center come archivio di identità se non desideri utilizzare un provider di identità di terze parti con Amazon Quick. I metodi di identità non possono essere modificati dopo la creazione dell'account.
Quando integri il tuo account Amazon Quick con IAM Identity Center, gli amministratori dell'account Amazon Quick possono creare un nuovo account Amazon Quick con automaticamente disponibili i gruppi del provider di identità. Questo semplifica la condivisione degli asset su larga scala in Amazon Quick.
L'accesso ad alcune sezioni della console di amministrazione Amazon Quick è limitato dalle autorizzazioni IAM. La tabella seguente riassume le azioni amministrative che puoi eseguire in Amazon Quick in base al tipo di accesso scelto.
Per ulteriori informazioni su come registrare un account Amazon Quick con IAM Identity Center, consulta [Registrazione di un abbonamento Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Azione amministrativa | autorizzazioni IAM | Autorizzazioni del ruolo di amministratore di Amazon Quick |
| --- | --- | --- |
| **Gestisci le risorse** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No |
| **Sicurezza e autorizzazioni** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No |
| **Gestisci connessioni VPC** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No |
| **Chiavi KMS** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No |
| **Impostazioni dell’account** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No |
| **Personalizzazione dell'account** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì |
| **Gestisci gli utenti** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì (utenti del Centro identità IAM) | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg)Sì (utenti Amazon Quick e IAM) |
| **Le tue sottoscrizioni** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì |
| **Impostazioni per dispositivi mobili** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì |
| **Domini e incorporamento** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì |
| **Capacità SPICE** | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/success_icon.svg) Sì |
L'app mobile Amazon Quick non è supportata con gli account Amazon Quick integrati con IAM Identity Center.
### Considerazioni
Le seguenti azioni rimuovono definitivamente la possibilità per gli utenti di Amazon Quick di accedere ad Amazon Quick. Amazon Quick non consiglia agli utenti di Amazon Quick di eseguire queste azioni.
+ Disabilitazione o eliminazione dell'applicazione Amazon Quick nella console IAM Identity Center. Se desideri eliminare il tuo account Amazon Quick, consulta [Chiusura del tuo account Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ Migrazione dell'account Amazon Quick che contiene la tua configurazione IAM Identity Center verso un' AWS organizzazione che non contiene l'istanza IAM Identity Center su cui è configurato il tuo account Amazon Quick.
+ Eliminazione dell'istanza IAM Identity Center configurata sul tuo account Amazon Quick.
+ Modifica degli attributi dell'applicazione del Centro identità IAM, ad esempio l'attributo **requires assignment**.
# Federazione IAM
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Importante**
Amazon Quick consiglia di integrare nuovi abbonamenti Amazon Quick con IAM Identity Center per la gestione delle identità. Questa guida per l'utente di IAM Identity Federation viene fornita come riferimento per le configurazioni di account esistenti. Per ulteriori informazioni sull'integrazione del tuo account Amazon Quick con IAM Identity Center, consulta [Configurare il tuo account Amazon Quick con IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Amazon Quick supporta la federazione delle identità nelle edizioni Standard ed Enterprise. Quando utilizzi utenti federati, puoi gestire gli utenti con il tuo provider di identità aziendale (IdP) e AWS Identity and Access Management utilizzare (IAM) per autenticare gli utenti quando accedono a Quick. Puoi utilizzare un provider di identità di terze parti che supporti Security Assertion Markup Language 2.0 (SAML 2.0) per fornire un flusso di onboarding per i tuoi utenti Amazon Quick. Tra questi provider di identità sono inclusi Microsoft Active Directory Federation Services, Okta e Ping One Federation Server. Con la federazione delle identità, i tuoi utenti possono accedere con un clic alle loro applicazioni Amazon Quick utilizzando le credenziali di identità esistenti. Inoltre, è possibile usufruire del vantaggio di sicurezza dell’autenticazione delle identità tramite il proprio gestore dell’identità digitale. Puoi controllare quali utenti hanno accesso ad Amazon Quick utilizzando il tuo provider di identità esistente.
**Topics**
+ [
# Avvio dell'accesso dal gestore dell'identità digitale
](federated-identities-idp-to-sp.md)
+ [
# Configurazione della federazione IdP tramite IAM e Amazon Quick
](external-identity-providers-setting-up-saml.md)
+ [
# Avvio dell'accesso da Quick
](federated-identities-sp-to-idp.md)
+ [
# Configurazione della federazione avviata dal provider di servizi con l'edizione Quick Enterprise
](setup-quicksight-to-idp.md)
+ [
# Configurazione della sincronizzazione delle e-mail per gli utenti federati in Quick
](jit-email-syncing.md)
+ [
# Tutorial: Amazon Quick e la federazione delle identità IAM
](tutorial-okta-quicksight.md)
# Avvio dell'accesso dal gestore dell'identità digitale
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
In questo scenario, gli utenti avviano la procedura di accesso dal portale del provider di identità. Dopo l'autenticazione, gli utenti accedono ad Amazon Quick. Dopo che Quick ha verificato che siano autorizzati, gli utenti possono accedere a Quick.
A partire dall'accesso di un utente all'IdP, l'autenticazione passa attraverso questi passaggi:
1. L'utente passa a `https://applications.example.com` e accede all'IdP. A questo punto, l'utente non ha effettuato l'accesso al provider di servizi.
1. Il servizio di federazione e l'IdP autenticano l'utente:
1. Il servizio di federazione richiede l'autenticazione dall'archivio identità dell'organizzazione.
1. L'archivio identità autentica l'utente e restituisce la risposta di autenticazione al servizio di federazione.
1. Quando l'autenticazione viene completata, il servizio di federazione pubblica l'asserzione SAML nel browser dell'utente.
1. L'utente apre Amazon Quick:
1. Il browser dell'utente invia l'asserzione SAML all'endpoint SAML di accesso AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In riceve la richiesta SAML, elabora la richiesta, autentica l'utente e inoltra il token di autenticazione al servizio Amazon Quick.
1. Amazon Quick accetta il token di autenticazione AWS e presenta Amazon Quick all'utente.
Dal punto di vista dell'utente, il processo si svolge in modo trasparente: L'utente inizia dal portale interno della tua organizzazione e accede a un portale applicativo Amazon Quick, senza mai dover fornire alcuna AWS credenziale.
Nel diagramma seguente, puoi trovare un flusso di autenticazione tra Amazon Quick e un provider di identità (IdP) di terze parti. In questo esempio, l'amministratore ha configurato una pagina di accesso per accedere ad Amazon Quick, chiamata`applications.example.com`. Quando un utente accede, la pagina di accesso pubblica una richiesta a un servizio di federazione conforme a SAML 2.0. L'utente finale avvia l'autenticazione dalla pagina di accesso dell'IdP.
![\[Diagramma SAML rapido. Il diagramma contiene due caselle. La prima descrive un processo di autenticazione all'interno dell'azienda. La seconda descrive l'autenticazione all'interno di AWS. Il processo viene descritto nel testo sotto la tabella seguente.\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Per informazioni su alcuni provider comuni, consulta la seguente documentazione di terze parti:
+ CA: [abilitazione del collegamento post HTTP SAML 2.0](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta: [pianificazione di una implementazione SAML](https://developer.okta.com/docs/concepts/saml/)
+ Ping: [integrazioni Amazon](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
Utilizza i seguenti argomenti per comprendere l'utilizzo di una federazione esistente con: AWS
+ La [federazione delle identità](https://aws.amazon.com/identity/federation/) è AWS disponibile sul AWS sito Web
+ [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente di IAM*.
+ [Abilitazione di utenti federati SAML 2.0 per accedere alla Console di gestione AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) nella *Guida per l'utente di IAM*
# Configurazione della federazione IdP tramite IAM e Amazon Quick
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Puoi utilizzare un ruolo AWS Identity and Access Management (IAM) e un URL dello stato di inoltro per configurare un provider di identità (IdP) conforme a SAML 2.0. Il ruolo concede agli utenti le autorizzazioni per accedere ad Amazon Quick. Lo stato del relay è il portale a cui viene inoltrato l'utente in seguito alla corretta autenticazione da parte di AWS.
**Topics**
+ [
## Prerequisiti
](#external-identity-providers-setting-up-prerequisites)
+ [
## Passaggio 1: crea un provider SAML in AWS
](#external-identity-providers-create-saml-provider)
+ [
## Passaggio 2: configura le autorizzazioni AWS per i tuoi utenti federati
](#external-identity-providers-grantperms)
+ [
## Fase 3: configurazione del provider di identità SAML
](#external-identity-providers-config-idp)
+ [
## Fase 4: Creazione delle asserzioni per la risposta di autenticazione SAML
](#external-identity-providers-create-assertions)
+ [
## Fase 5: Configurazione dello stato del relay della federazione
](#external-identity-providers-relay-state)
## Prerequisiti
Prima di configurare la tua connessione SAML 2.0, procedi nel seguente modo:
+ Configura il tuo provider di identità per stabilire una relazione di trust con AWS:
+ All'interno della rete della tua organizzazione, configura l'archivio identità, come Windows Active Directory, affinché funzioni con un provider di identità basato su SAML. I sistemi basati su SAML IdPs includono Active Directory Federation Services, Shibboleth e così via.
+ Utilizzando il tuo provider di identità, genera un documento di metadati che descrive l'organizzazione come un provider di identità.
+ Configura l'autenticazione SAML 2.0 attenendoti alle stesse fasi utilizzate per la Console di gestione AWS. Una volta completato questo processo, è possibile configurare lo stato del relè in modo che corrisponda allo stato del relè di Quick. Per ulteriori informazioni, consulta [Configurare lo stato del relè della federazione](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Crea un account Amazon Quick e annota il nome da utilizzare quando configuri la policy IAM e l'IdP. Per ulteriori informazioni sulla creazione di un account Amazon Quick, consulta [Registrazione di un abbonamento Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Dopo aver creato la configurazione per la federazione Console di gestione AWS come descritto nel tutorial, puoi modificare lo stato del relè fornito nel tutorial. Puoi farlo con lo stato di inoltro di Amazon Quick, descritto nel passaggio 5 seguente.
Per maggiori informazioni, consulta le seguenti risorse:
+ [Integrazione di provider di soluzioni SAML di terze parti con AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) nella *Guida per l'utente IAM*.
+ [Risoluzione dei problemi di federazione SAML 2.0 con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), anche nella *IAM User Guide*.
+ [Configurazione della fiducia tra ADFS AWS e utilizzo delle credenziali di Active Directory per la connessione ad Amazon Athena con il driver ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/): questo articolo dettagliato è utile, anche se non è necessario configurare Athena per utilizzare Amazon Quick.
## Passaggio 1: crea un provider SAML in AWS
Il tuo provider di identità SAML definisce l' AWS IdP della tua organizzazione a. Per farlo utilizza il documento di metadati generato precedentemente utilizzando il tuo provider di identità.
**Per creare un provider SAML in AWS**
1. Accedi a Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Creare un nuovo provider SAML, che è un'entità in IAM che contiene informazioni sul provider di identità della propria organizzazione. Per ulteriori informazioni, consulta [Creazione di provider di identità SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) nella *Guida per l'utente di IAM*.
1. Come parte di questo processo, caricare il documento di metadati prodotto dal software IdP nella propria organizzazione di cui si è preso nota nella sezione precedente.
## Passaggio 2: configura le autorizzazioni AWS per i tuoi utenti federati
A questo punto, devi creare un ruolo IAM che stabilisca una relazione di attendibilità tra IAM e il provider di identità della tua organizzazione. Questo ruolo identifica il tuo provider di identità come principale (entità attendibile) ai fini della federazione. Il ruolo definisce anche quali utenti autenticati dall'IdP della tua organizzazione possono accedere ad Amazon Quick. Per ulteriori informazioni sulla creazione di un ruolo per un gestore delle identità SAML, consulta [Creazione di un ruolo per una federazione SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) nella *Guida per l'utente di IAM*.
Dopo aver creato il ruolo, puoi limitare il ruolo in modo che abbia le autorizzazioni solo per Amazon Quick allegando una policy in linea al ruolo. Il seguente documento di policy di esempio fornisce l'accesso ad Amazon Quick. Questa policy consente all'utente di accedere ad Amazon Quick e consente loro di creare sia account autore che account lettore.
**Nota**
Nell'esempio seguente, sostituiscilo ** con il tuo Account AWS ID a 12 cifre (senza trattini '‐').
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Se desideri fornire l'accesso ad Amazon Quick e anche la possibilità di creare amministratori, autori (utenti standard) e lettori di Amazon Quick, puoi utilizzare il seguente esempio di policy.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Puoi visualizzare i dettagli dell'account in. Console di gestione AWS
Una volta configurato SAML e la policy (o le policy) IAM, non dovrai invitare manualmente gli utenti. La prima volta che gli utenti aprono Amazon Quick, il provisioning viene eseguito automaticamente, utilizzando le autorizzazioni di livello più elevato previste dalla policy. Ad esempio, se dispongono delle autorizzazioni per eseguire sia `quicksight:CreateUser` che `quicksight:CreateReader`, gli utenti sono assegnati come autori. Se dispongono anche delle autorizzazioni per eseguire `quicksight:CreateAdmin`, gli utenti sono assegnati come amministratori. Ogni livello di autorizzazione include la possibilità di creare un utente del medesimo livello e dei livelli inferiori. Ad esempio, un autore può aggiungere altri autori o lettori.
Gli utenti invitati manualmente vengono creati nel ruolo assegnato dalla persona che li ha invitati. Non è necessario che dispongano di policy che concedano loro le autorizzazioni.
## Fase 3: configurazione del provider di identità SAML
Dopo aver creato il ruolo IAM, aggiorna il tuo IdP SAML come AWS fornitore di servizi. [A tale scopo, installa il `saml-metadata.xml` file che si trova in https://signin.aws.amazon.com/static/ saml-metadata.xml.](https://signin.aws.amazon.com/static/saml-metadata.xml)
Per aggiornare i metadati del provider di identità, consulta le istruzioni fornite dal tuo provider di identità. Alcuni provider ti offrono la possibilità di digitare l'URL, dopodiché il provider di identità ottiene e installa il file al tuo posto. Altri richiedono di scaricare il file dall'URL e quindi fornirlo come file locale.
Per ulteriori informazioni, consulta la documentazione relativa al tuo provider di identità.
## Fase 4: Creazione delle asserzioni per la risposta di autenticazione SAML
Successivamente, configura le informazioni a cui l'IdP trasmette come attributi SAML AWS come parte della risposta di autenticazione. Per ulteriori informazioni, consultare [Configurazione delle asserzioni SAML per la risposta di autenticazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) nella *Guida per l'utente di IAM*.
## Fase 5: Configurazione dello stato del relay della federazione
Infine, configura lo stato di inoltro della tua federazione in modo che punti all'URL dello stato di Amazon Quick relay. Una volta completata con successo l'autenticazione tramite AWS, l'utente viene indirizzato ad Amazon Quick, definito come lo stato di inoltro nella risposta di autenticazione SAML.
L'URL dello stato di inoltro per Amazon Quick è il seguente.
```
https://quicksight.aws.amazon.com
```
# Avvio dell'accesso da Quick
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
In questo scenario, l'utente avvia il processo di accesso da un portale applicativo Amazon Quick senza accedere al provider di identità. In questo caso, l'utente dispone di un account federato gestito da un IdP di terze parti. L'utente potrebbe avere un account utente su Quick. Quick invia una richiesta di autenticazione all'IdP. Dopo l'autenticazione dell'utente, Quick si apre.
A partire dall'accesso dell'utente a Quick, l'autenticazione segue questi passaggi:
1. L'utente apre Quick. A questo punto, l'utente non ha effettuato l'accesso all'IdP.
1. L'utente tenta di accedere ad Amazon Quick.
1. Amazon Quick reindirizza l'input dell'utente al servizio di federazione e richiede l'autenticazione.
1. Il servizio di federazione e l'IdP autenticano l'utente:
1. Il servizio di federazione richiede l'autenticazione dall'archivio identità dell'organizzazione.
1. L'archivio identità autentica l'utente e restituisce la risposta di autenticazione al servizio di federazione.
1. Quando l'autenticazione viene completata, il servizio di federazione pubblica l'asserzione SAML nel browser dell'utente.
1. Il browser dell'utente invia l'asserzione SAML all'endpoint SAML di accesso AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In riceve la richiesta SAML, elabora la richiesta, autentica l'utente e inoltra il token di autenticazione al servizio Amazon Quick.
1. Amazon Quick accetta il token di autenticazione AWS e presenta Amazon Quick all'utente.
Dal punto di vista dell'utente, il processo si svolge in modo trasparente: L'utente inizia da un portale di applicazioni Amazon Quick. Amazon Quick negozia l'autenticazione con il servizio federativo della tua organizzazione e AWS. Amazon Quick si apre senza che l'utente debba fornire credenziali aggiuntive.
# Configurazione della federazione avviata dal provider di servizi con l'edizione Quick Enterprise
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Dopo aver completato la configurazione del tuo provider di identità con AWS Identity and Access Management (IAM), puoi configurare l'accesso avviato dal fornitore di servizi tramite Amazon Quick Enterprise Edition. Affinché la federazione IAM avviata da Quick funzioni, devi autorizzare Quick a inviare la richiesta di autenticazione al tuo IdP. Un amministratore Quick può configurarlo aggiungendo le seguenti informazioni fornite dall'IdP:
+ L'URL IdP: reindirizza rapidamente gli utenti a questo URL per l'autenticazione.
+ Il parametro di stato inoltro: questo parametro inoltra lo stato in cui si trovava la sessione del browser quando è stata reindirizzata per l'autenticazione. L'IdP reindirizza l'utente allo stato originale dopo l'autenticazione. Lo stato viene fornito come URL.
La tabella seguente mostra l'URL di autenticazione standard e il parametro dello stato di inoltro per il reindirizzamento dell'utente all'URL rapido fornito.
| Provider di identità | Parametro | Autenticazione URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Account Google | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick supporta la connessione a un IdP per. Account AWS La pagina di configurazione di Amazon Quick fornisce un test URLs basato sui dati immessi, in modo da poter testare le impostazioni prima di attivare la funzionalità. Per rendere il processo ancora più semplice, Amazon Quick fornisce un parametro (`enable-sso=0`) per disattivare temporaneamente la federazione IAM avviata da Amazon Quick, nel caso in cui sia necessario disabilitarla temporaneamente.
## Per configurare Amazon Quick come fornitore di servizi in grado di avviare la federazione IAM per un IdP esistente
1. Assicurati di avere già configurato la federazione IAM nel tuo IdP, in IAM e Amazon Quick. Per testare questa configurazione, verifica se puoi condividere un pannello di controllo con un'altra persona nel dominio della tua azienda.
1. Apri Amazon Quick e scegli **Manage Amazon Quick** dal menu del tuo profilo in alto a destra.
Per eseguire questa procedura, devi essere un amministratore di Amazon Quick. Se non lo sei, non puoi vedere **Manage Amazon Quick** nel menu del tuo profilo.
1. Scegli **Single sign-on (federazione IAM)** dal pannello di navigazione.
1. Per **Configurazione**, **URL IdP**, inserisci l'URL che il tuo IdP fornisce per autenticare gli utenti.
1. Per **URL IdP**, inserisci il parametro fornito dal tuo IdP per lo stato di inoltro, ad esempio `RelayState`. Il nome effettivo del parametro viene fornito dal tuo IdP.
1. Verifica l'accesso:
+ Per testare l'accesso con il tuo provider di identità, utilizza l'URL personalizzato fornito in **Verifica l'avvio con il tuo IdP**. Dovresti arrivare alla pagina iniziale di Amazon Quick, ad esempio https://quicksight.aws.amazon.com/sn/ start.
+ Per testare prima l'accesso con Amazon Quick, utilizza l'URL personalizzato fornito in **Prova l' end-to-endesperienza**. Il parametro `enable-sso` viene aggiunto all'URL. Se `enable-sso=1`, la federazione IAM prova ad autenticarsi.
1. Per mantenere le impostazioni, scegli **Salva**.
## Abilitazione dell'IdP della federazione IAM avviata dal provider di servizi
1. Assicurati che le impostazioni della federazione IAM siano state configurate e testate. Se non sei sicuro della configurazione, verifica la connessione utilizzando la URLs procedura precedente.
1. Apri Amazon Quick e scegli **Manage Amazon Quick** dal menu del tuo profilo.
1. Scegli **Single sign-on (federazione IAM)** dal pannello di navigazione.
1. Per **Stato**, scegli **ON**.
1. Verifica che funzioni disconnettendoti dal tuo IdP e aprendo Amazon Quick.
## Disabilitazione dell'IdP della federazione IAM avviata dal provider di servizi
1. Apri Amazon Quick e scegli **Manage Amazon Quick** dal menu del tuo profilo.
1. Scegli **Single sign-on (federazione IAM)** dal pannello di navigazione.
1. Per **Stato**, scegli **OFF**.
# Configurazione della sincronizzazione delle e-mail per gli utenti federati in Quick
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Nell'edizione Amazon Quick Enterprise, in qualità di amministratore puoi impedire ai nuovi utenti di utilizzare indirizzi e-mail personali durante il provisioning tramite il loro provider di identità (IdP) direttamente a Quick. Quick utilizza quindi gli indirizzi e-mail preconfigurati trasmessi tramite l'IdP per fornire nuovi utenti al tuo account. Ad esempio, puoi fare in modo che vengano utilizzati solo gli indirizzi e-mail assegnati dall'azienda quando gli utenti ricevono il provisioning del tuo account Amazon Quick tramite il tuo IdP.
**Nota**
Assicurati che i tuoi utenti si uniscano direttamente ad Amazon Quick tramite il loro IdP. La federazione Console di gestione AWS tramite il loro IdP e il successivo clic su Amazon Quick generano un errore e non saranno in grado di accedere ad Amazon Quick.
Quando configuri la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick, gli utenti che accedono al tuo account Amazon Quick per la prima volta hanno indirizzi e-mail preassegnati. Questi vengono utilizzati per registrare gli account. Con questo approccio, gli utenti possono bypassare manualmente inserendo un indirizzo e-mail. Inoltre, gli utenti non possono utilizzare un indirizzo e-mail che potrebbe essere diverso dall'indirizzo e-mail prescritto dall'amministratore.
Amazon Quick supporta il provisioning tramite un IdP che supporta l'autenticazione SAML o OpenID Connect (OIDC). Per configurare gli indirizzi e-mail per i nuovi utenti durante il provisioning tramite un IdP, aggiorni la relazione di attendibilità per il ruolo IAM che utilizzano `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. Quindi aggiungi un attributo SAML o un token OIDC nel loro IdP. Infine, attivi la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick.
La seguente procedura descrive in modo più dettagliato questi passaggi.
## Fase 1: Aggiornamento della relazione di attendibilità per il ruolo IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity
Puoi configurare gli indirizzi e-mail che i tuoi utenti utilizzeranno durante il provisioning tramite il tuo IdP ad Amazon Quick. A tale scopo, aggiungi l'operazione `sts:TagSession` alla relazione di attendibilità per il ruolo IAM che utilizzi con `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. In questo modo, puoi passare i tag `principal` quando gli utenti assumono il ruolo.
L'esempio seguente illustra un ruolo IAM aggiornato in cui l'IdP è Okta. Per utilizzare questo esempio, aggiorna il nome della risorsa Amazon (ARN) di `Federated` con l'ARN del provider di servizi. Puoi sostituire gli articoli in rosso con informazioni specifiche relative al tuo servizio AWS e all'IdP.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Fase 2: Aggiunta di un attributo SAML o un token OIDC per il tag principale IAM nel tuo IdP
Dopo aver aggiornato la relazione di attendibilità per il ruolo IAM come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag `Principal` IAM nel tuo IdP.
Gli esempi seguenti illustrano un attributo SAML e un token OIDC. Per utilizzare questi esempi, sostituisci l'indirizzo e-mail con una variabile nel tuo IdP che punti all'indirizzo e-mail di un utente. Puoi sostituire gli elementi evidenziati in rosso con le tue informazioni.
+ **Attributo SAML**: l'esempio seguente illustra un attributo SAML.
```
john.doe@example.com
```
**Nota**
Se utilizzi Okta come IdP, assicurati di attivare un flag di funzionalità nel tuo account utente Okta per utilizzare SAML. Per ulteriori informazioni, [consulta Okta and AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) sul blog Okta.
+ **Token OIDC**: l'esempio seguente illustra un esempio di token OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Passaggio 3: attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick
Come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag `Principal` IAM nel tuo IdP. Quindi attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick come descritto nella procedura seguente.
**Sincronizzazione delle e-mail per gli utenti federati**
1. Da qualsiasi pagina di Amazon Quick, scegli il tuo nome utente in alto a destra, quindi scegli **Manage Amazon Quick**.
1. Scegli **Single sign-on (federazione IAM)** nel menu a sinistra.
1. Nella pagina **Federazione IAM avviata dal provider di servizi**, per **Sincronizzazione delle e-mail per gli utenti federati**, scegli **ON**.
Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, Amazon Quick utilizza gli indirizzi e-mail che hai configurato nei passaggi 1 e 2 per assegnare nuovi utenti al tuo account. Gli utenti non possono inserire i propri indirizzi e-mail.
Quando la sincronizzazione delle e-mail per gli utenti federati è disattivata, Amazon Quick chiede agli utenti di inserire manualmente il proprio indirizzo e-mail quando assegnano nuovi utenti al tuo account. Possono utilizzare tutti gli indirizzi e-mail che desiderano.
# Tutorial: Amazon Quick e la federazione delle identità IAM
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di Amazon Quick e sviluppatori Amazon Quick |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Nel seguente tutorial, puoi trovare una procedura dettagliata per configurare IdP Okta come servizio federativo per Amazon Quick. Sebbene questo tutorial mostri l'integrazione di AWS Identity and Access Management (IAM) e Okta, puoi anche replicare questa soluzione utilizzando SAML 2.0 a tua scelta. IdPs
Nella procedura seguente, crei un'app in Okta IdP utilizzando la scorciatoia AWS "Account Federation». Okta descrive questa app di integrazione come segue:
«Federando Okta agli account Amazon Web Services (AWS) Identity and Access Management (IAM), gli utenti finali ottengono l'accesso Single Sign-On a tutti i ruoli assegnati AWS con le proprie credenziali Okta. In ognuno di essi Account AWS, gli amministratori impostano la federazione e configurano i ruoli per fidarsi di Okta. AWS Quando gli utenti accedono AWS, ottengono l'esperienza di accesso singolo di Okta per vedere i ruoli assegnati. AWS Possono quindi selezionare il ruolo desiderato, che definisce le loro autorizzazioni per la durata della sessione autenticata. I clienti con un numero elevato di AWS account possono utilizzare l'app AWS Single Sign-On come alternativa». () https://www.okta.com/aws/
**Per creare un'app Okta utilizzando la scorciatoia «AWS Account Federation» di Okta**
1. Accedi al pannello di controllo di Okta. Se non ne hai uno, crea un account Okta Developer Edition gratuito utilizzando [questo URL a marchio Amazon Quick](https://developer.okta.com/quickstart/). Dopo aver attivato la tua e-mail, accedi a Okta.
1. Sul sito web di Okta, scegli **Console degli sviluppatori <>** in alto a sinistra, quindi scegli **Interfaccia utente classica**.
1. Scegli **Aggiungi applicazioni** e scegli **Aggiungi app**.
1. Inserisci **aws** per **Cerca** e scegli **Federazione account AWS ** dai risultati della ricerca.
1. Scegli **Aggiungi** per creare un'istanza di questa applicazione.
1. Per **Etichetta applicazione**, immetti **AWS Account Federation - Amazon Quick**.
1. Scegli **Next (Successivo)**.
1. Per **SAML 2.0**, **Stato di inoltro predefinito**, inserisci **https://quicksight.aws.amazon.com**.
1. Apri il menu contestuale (tasto destro del mouse) per **Metadati del provider di identità** e scegli di salvare il file. Assegnare un nome al file `metadata.xml`. Questo file servirà per la procedura successiva.
L'aspetto del contenuto del file è simile al seguente:
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Dopo aver salvato il file XML, scorri fino alla fine della pagina Okta e scegli **Fatto**.
1. Tieni aperta questa finestra del browser, se possibile. Sarà necessario più avanti nel tutorial.
Successivamente, crea un provider di identità nel tuo Account AWS.
**Per creare un provider SAML in (IAM) AWS Identity and Access Management**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Provider di identità**, **Crea provider**.
1. Specificare le seguenti impostazioni:
+ **Tipo di provider**: scegli **SAML** dall'elenco.
+ **Nome provider**: immetti **Okta**.
+ **Documento di metadati**: carica il file XML `manifest.xml` della procedura precedente.
1. Seleziona **Fase successiva**, quindi **Crea gruppo**.
1. Individua l'IdP che hai creato e sceglilo per visualizzare le impostazioni. Prendi nota dell'**ARN del provider**. Sarà necessario per completare il tutorial.
1. Verifica che il provider di identità sia stato creato con le tue impostazioni. In IAM, scegli **Provider di identità**, **Okta** (l'IdP che hai aggiunto), **Scarica metadati**. Il file deve essere quello che hai caricato di recente.
Successivamente, crei un ruolo IAM per consentire alla federazione SAML 2.0 di agire come entità affidabile all'interno del tuo Account AWS. Per questo passaggio, devi scegliere come effettuare il provisioning degli utenti in Amazon Quick. Puoi effettuare una delle seguenti operazioni:
+ Concedi l'autorizzazione al ruolo IAM in modo che i visitatori che visitano per la prima volta diventino automaticamente utenti di Amazon Quick.
**Creazione di un ruolo IAM per una federazione SAML 2.0 come entità attendibile**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**, quindi **Crea nuovo ruolo**.
1. Per **Seleziona tipo di entità attendibile**, scegli la scheda **Federazione SAML 2.0**.
1. Per **Provider SAML**, seleziona l'IdP creato nella procedura precedente, ad esempio `Okta`.
1. Abilita l'opzione **Consenti l'accesso programmatico e alla console di gestione AWS **.
1. Scegli **Successivo: autorizzazioni**.
1. Incolla la seguente policy nell'editor.
Nell'editor di policy, aggiorna il codice JSON con il nome della risorsa Amazon (ARN) del provider.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Scegliere **Esamina policy**.
1. Per **Name (Nome)**, immettere **QuicksightOktaFederatedPolicy**, quindi scegliere **Create policy (Crea criterio)**.
1. Scegli **Crea policy**, **JSON** una seconda volta.
1. Incolla la seguente policy nell'editor.
Nell'editor delle policy, aggiorna il codice JSON con il tuo Account AWS ID. Dovrebbe essere lo stesso ID account utilizzato nella policy precedente nell'ARN del provider.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
È possibile omettere il Regione AWS nome nell'ARN, come illustrato di seguito.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Scegliere **Esamina policy**.
1. Per **Name (Nome)**, immettere **QuicksightCreateReader**, quindi scegliere **Create policy (Crea criterio)**.
1. Aggiorna l'elenco delle policy scegliendo l'icona di aggiornamento a destra.
1. Per **Cerca**, inserisci **QuicksightOktaFederatedPolicy**. Scegli la policy per abilitarla (![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/checkbox-on.png)).
Se non desideri utilizzare il provisioning automatico, puoi saltare il passaggio seguente.
Per aggiungere un utente Amazon Quick, usa [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Per aggiungere un gruppo Amazon Quick, usa [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Per aggiungere utenti al gruppo Amazon Quick, usa [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Facoltativo) Per **Cerca**, immetti **QuicksightCreateReader**. Scegli la policy per abilitarla (![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/checkbox-on.png)).
Esegui questo passaggio se desideri effettuare il provisioning automatico degli utenti Amazon Quick, anziché utilizzare l'API Amazon Quick.
La policy `QuicksightCreateReader` attiva il provisioning automatico consentendo l'uso dell'operazione `quicksight:CreateReader`. In questo modo si concede l'accesso come abbonato al pannello di controllo (a livello di lettore) agli utenti alle prime armi. Un amministratore di Amazon Quick può successivamente aggiornarli dal menu del profilo Amazon Quick, **Manage Amazon Quick**, **Manage users**.
1. Per continuare a collegare la policy o le policy IAM, scegli **Successivo: Tag**.
1. Scegli **Prossimo: Rivedi**.
1. In **Nome ruolo** immetti **QuicksightOktaFederatedRole** e quindi seleziona **Crea ruolo**.
1. Verifica di averlo completato correttamente eseguendo questi passaggi:
1. Torna alla pagina principale della console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Puoi utilizzare il pulsante **Indietro** del browser.
1. Scegli **Ruoli**.
1. Per **Cerca**, inserisci Okta. Scegli **QuicksightOktaFederatedRole**tra i risultati della ricerca.
1. Nella pagina **Riepilogo** per la policy, esamina la scheda **Autorizzazioni**. Verifica che il ruolo abbia le policy collegate. Dovrebbe avere `QuicksightOktaFederatedPolicy`. Se hai scelto di aggiungere la possibilità di creare utenti, dovrebbe avere anche `QuicksightCreateReader`.
1. Usa l'icona ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/caret-right-filled.png) per aprire la ogni policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura. Ricontrolla di aver aggiunto il tuo Account AWS numero di conto al posto del numero di conto di esempio 1111.
1. Nella scheda **Relazioni di attendibilità**, verifica che il campo **Entità attendibili** contenga l'ARN per il provider di identità. Puoi ricontrollare l'ARN nella console IAM aprendo **Provider di identità**, **Okta**.
**Creazione di una chiave di accesso per Okta**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Aggiungi una policy che consenta a Okta di mostrare all'utente un elenco di ruoli IAM. A tale scopo, scegli **Policy**, **Crea policy**.
1. Scegli **JSON**, quindi immetti la seguente policy.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Scegli **Esamina la policy**.
1. In **Nome**, inserisci **OktaListRolesPolicy**. Quindi scegliere **Create policy (Crea policy)**.
1. Aggiungi un utente in modo da fornire a Okta una chiave di accesso.
Nel riquadro di navigazione, seleziona **Utenti**, **Aggiungi utente**.
1. Utilizzare le seguenti impostazioni:
+ In **Nome utente**, inserisci `OktaSSOUser`.
+ In **Tipo di accesso**, scegli **Accesso programmatico**.
1. Scegli **Successivo: autorizzazioni**.
1. Scegli **Attach existing policies directly (Collega direttamente le policy esistenti)**.
1. Per **Cerca****OktaListRolesPolicy**, inserisci e scegli **OktaListRolesPolicy**tra i risultati della ricerca.
1. Scegli **Successivo: Tag**, quindi **Successivo: Rivedi**.
1. Selezionare **Create user (Crea utente)**. Ora puoi ottenere la chiave di accesso.
1. Scarica il file della chiave scegliendo **Scarica .csv**. Il file contiene lo stesso ID chiave di accesso e la chiave di accesso segreta visualizzati in questa schermata. Tuttavia, poiché AWS non visualizza queste informazioni una seconda volta, assicurati di scaricare il file.
1. Verifica di aver completato correttamente questo passaggio effettuando le seguenti operazioni:
1. Apri la console IAM e scegli **Utenti**. Cerca **Okta SSOUser** e aprilo scegliendo il nome utente dai risultati della ricerca.
1. Nella scheda **Autorizzazioni**, verifica che **OktaListRolesPolicy**sia allegato.
1. Usa l'icona ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/caret-right-filled.png) per aprire la policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura.
1. Nella scheda **Credenziali di sicurezza**, puoi controllare la chiave di accesso, anche se l'hai già scaricata. Puoi tornare a questa scheda per creare una chiave di accesso quando ne hai bisogno di una nuova.
Nella procedura seguente, si torna a Okta per fornire la chiave di accesso. La chiave di accesso funziona con le nuove impostazioni di sicurezza per consentire AWS e l'IdP di Okta per lavorare insieme.
**Per completare la configurazione dell'applicazione Okta con le impostazioni AWS**
1. Torna al pannello di Okta. Se richiesto, effettua l'accesso. Se la console per gli sviluppatori non è più aperta, scegli **Amministratore** per riaprirla.
1. Se devi riaprire Okta, puoi tornare a questa sezione seguendo questi passaggi:
1. Accedi a Okta. Selezionare **Applications (Applicazioni)**.
1. Scegli **AWS Account Federation - Amazon Quick**, l'applicazione che hai creato all'inizio di questo tutorial.
1. Scegli la scheda **Accedi**, tra **Generale** e **Mobile**.
1. Scorri fino a **Impostazioni di accesso avanzate**.
1. Per **ARN del provider di identità (obbligatorio solo per la federazione IAM SAML)**, inserisci l'ARN del provider della procedura precedente, ad esempio:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Scegli **Fine** o **Salva**. Il nome del pulsante varia a seconda che si stia creando o modificando l'applicazione.
1. Scegli la scheda **Provisioning** e, nella parte inferiore della scheda, scegli **Configura integrazione API**.
1. Attiva **Abilita integrazione API** per visualizzare le impostazioni.
1. Per **Chiave di accesso** e **Chiave segreta**, fornisci la chiave di accesso e la chiave segreta che hai scaricato in precedenza in un file denominato **OktaSSOUser**`_credentials.csv`.
1. Scegli **Verifica credenziali API**. Cerca sopra l'impostazione **Abilita integrazione API** un messaggio **La federazione dell'account AWS è stata verificata correttamente**.
1. Scegli **Save** (Salva).
1. Assicurati che **All'app** sia evidenziato a sinistra e scegli **Modifica** a destra.
1. Per **Crea utenti**, attiva l'opzione **Abilita**.
1. Scegli **Save** (Salva).
1. Nella scheda **Assegnazioni**, accanto a **Provisioning** e **Importa**, scegli **Assegna**.
1. Per abilitare l'accesso federato, effettua una o più delle seguenti operazioni:
+ Per lavorare con singoli utenti, scegli **Assegna a persone**.
+ Per lavorare con i gruppi IAM, scegli **Assegna ai gruppi**. Puoi scegliere gruppi IAM specifici o **Tutti (tutti gli utenti della tua organizzazione)**.
1. Per ogni utente o gruppo IAM, completa le seguenti operazioni:
1. Scegli **Assegna**, **Ruolo**.
1. Seleziona **QuicksightOktaFederatedRole**dall'elenco dei ruoli IAM.
1. Per i **ruoli utente SAML**, abilita. **QuicksightOktaFederatedRole**
1. Scegli **Salva e torna indietro**, quindi scegli **Fine**.
1. Verifica di aver completato correttamente questo passaggio scegliendo il filtro **Persone** o **Gruppi** a sinistra e controllando gli utenti o i gruppi che hai inserito. Se non riesci a completare questo processo perché il ruolo che hai creato non compare nell'elenco, torna alle procedure precedenti per verificare le impostazioni.
**Per accedere ad Amazon Quick utilizzando Okta (accesso da IdP a fornitore di servizi)**
1. Se utilizzi un account amministratore Okta, passa alla modalità utente.
1. Accedi al pannello di controllo delle applicazioni Okta con un utente a cui è stato concesso l'accesso federato. Dovresti vedere una nuova applicazione con la tua etichetta, ad esempio **AWS Account Federation - Amazon Quick**.
1. Scegli l'icona dell'applicazione per avviare **AWS Account Federation - Amazon Quick**.
Ora puoi gestire le identità utilizzando Okta e utilizzare l'accesso federato con Quick.
La procedura seguente è una parte facoltativa di questo tutorial. Se segui i passaggi, autorizzi Amazon Quick a inoltrare le richieste di autorizzazione all'IdP per conto dei tuoi utenti. Utilizzando questo metodo, gli utenti possono accedere ad Amazon Quick senza dover prima accedere utilizzando la pagina IdP.
**(Facoltativo) Per configurare Amazon Quick per l'invio di richieste di autenticazione a Okta**
1. Apri Amazon Quick e scegli **Manage Amazon Quick** dal menu del tuo profilo.
1. Scegli **Single sign-on (federazione IAM)** dal pannello di navigazione.
1. Per **Configurazione**, URL **IdP, inserisci l'URL** fornito dal tuo IdP per autenticare gli utenti, ad esempio https://dev - .okta. *1-----0* com/home/amazon\$1aws/. *0oabababababaGQei5d5/282* Puoi trovarlo nella pagina dell'app Okta, nella scheda **Generale**, in **Link per l'incorporamento**.
1. Per **URL IdP**, immetti `RelayState`.
1. Esegui una delle seguenti operazioni:
+ Per testare prima l'accesso con il tuo provider di identità, utilizza l'URL personalizzato fornito in **Verifica l'avvio con il tuo IdP**. Dovresti arrivare alla pagina iniziale di Amazon Quick, ad esempio https://quicksight.aws.amazon.com/sn/ start.
+ Per testare prima l'accesso con Amazon Quick, utilizza l'URL personalizzato fornito in **Prova l' end-to-endesperienza**. Il parametro `enable-sso` viene aggiunto all'URL. Se `enable-sso=1`, la federazione IAM prova ad autenticarsi. Se`enable-sso=0`, Amazon Quick non invia la richiesta di autenticazione e accedi ad Amazon Quick come prima.
1. Per **Stato**, scegli **ON**.
1. Per mantenere le impostazioni, scegli **Salva**.
Puoi creare un collegamento diretto a un dashboard Amazon Quick per consentire agli utenti di utilizzare la federazione IAM per connettersi direttamente a dashboard specifici. A tale scopo, aggiungi il flag di stato del relay e l'URL del pannello di controllo all'URL Single Sign-on di Okta, come descritto di seguito.
**Per creare un collegamento diretto a una dashboard Amazon Quick per Single Sign-On**
1. Individua l'URL Single Sign-On (federazione IAM) dell'applicazione Okta nel file `metadata.xml` che hai scaricato all'inizio del tutorial. Puoi trovare l'URL nella parte inferiore del file, nell'elemento denominato `md:SingleSignOnService`. L'attributo viene denominato `Location` e il valore termina con `/sso/saml`, come mostrato nell'esempio seguente.
```
```
1. Prendi il valore dell'URL della federazione IAM e aggiungilo `?RelayState=` seguito dall'URL del tuo pannello di controllo Amazon Quick. Il parametro `RelayState` comunica lo stato (l'URL) in cui si trovava l'utente quando è stato reindirizzato all'URL di autenticazione.
1. Alla nuova federazione IAM con lo stato di inoltro aggiunto, aggiungi l'URL del tuo pannello di controllo Amazon Quick. L'URL risultante dovrebbe essere simile al seguente.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Se il link che crei non si apre, verifica di utilizzare l'URL di federazione IAM più recente fornito da `metadata.xml`. Verifica anche che il nome utente che usi per accedere non sia assegnato a più di un'app Okta della federazione IAM.
# Utilizzo di Active Directory con l'edizione Amazon Quick Enterprise
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
L'edizione Amazon Quick Enterprise supporta sia [AWS Directory Service per Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) che [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Per creare una nuova directory che funga da gestore delle identità per Quick, usa AWS Directory Service for Microsoft Active Directory, noto anche come AWS Managed Microsoft AD. Si tratta di un host Active Directory nel cloud AWS che offre la maggior parte delle funzionalità di Active Directory. Attualmente, puoi connetterti ad Active Directory in qualsiasi AWS regione supportata da Amazon Quick, ad eccezione dell'Asia Pacifico (Singapore). Quando si crea una directory, è opportuno utilizzarla con un cloud privato virtuale (VPC). Per ulteriori informazioni, consulta [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Se disponi di una directory esistente che desideri utilizzare per Quick, puoi utilizzare Active Directory Connector. Questo servizio reindirizza le richieste di directory verso Active Directory, in un altro ambiente Regione AWS o in locale, senza memorizzare nella cache alcuna informazione nel cloud.
Per una procedura dettagliata sulla creazione e la gestione di una directory con AWS Managed Microsoft AD, vedi [Usare un AWS Microsoft AD gestito con](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) Quick? nel AWS Knowledge Center.
Quando utilizzi AWS Directory Service per avviare una directory, AWS crea un'unità organizzativa (OU) con lo stesso nome del dominio. AWS crea inoltre un account amministrativo con diritti amministrativi delegati per l'unità organizzativa. È possibile creare account utente, gruppi e policy all'interno dell'unità organizzativa tramite utenti e gruppi di Active Directory. Per ulteriori informazioni, vedere [Best Practices for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) nella *Directory Service Administration Guide.*
Dopo aver stabilito la directory, la si utilizza con Quick creando gruppi per gli utenti. Amazon Quick ha sei ruoli utente specifici che possono essere assegnati, incluse le versioni Pro che forniscono accesso a funzionalità avanzate:
+ **Amministratori rapidi: gli amministratori** possono modificare le impostazioni dell'account e gestire gli account. Gli amministratori possono anche acquistare abbonamenti utente Amazon Quick o capacità [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) aggiuntivi o annullare l'abbonamento ad Amazon Quick per conto proprio. Account AWS Gli utenti Admin Pro dispongono di funzionalità aggiuntive, tra cui la creazione di contenuti utilizzando il linguaggio naturale, la creazione di basi di conoscenze, la configurazione di azioni e l'accesso a flussi di lavoro di automazione avanzati.
+ **Autori rapidi**: gli autori di Amazon Quick possono creare sorgenti di dati, set di dati, analisi e dashboard. Possono condividere analisi e dashboard con altri utenti di Amazon Quick. Gli utenti Author Pro possono inoltre creare contenuti utilizzando il linguaggio naturale, creare basi di conoscenza, configurare azioni e accedere a funzionalità di automazione avanzate.
+ **Lettori rapidi**: i lettori possono visualizzare e interagire con i dashboard creati da qualcun altro. Gli utenti di Reader Pro hanno accesso a funzionalità avanzate tra cui agenti di chat basati sull'intelligenza artificiale, spazi collaborativi, flussi ed estensioni.
È possibile aggiungere o perfezionare l'accesso applicando le policy IAM. Ad esempio, è possibile usare le policy IAM per consentire agli utenti di effettuare la sottoscrizione.
Quando ti abboni all'edizione Amazon Quick Enterprise e scegli Active Directory come provider di identità, puoi associare i tuoi gruppi AD ad Amazon Quick. È inoltre possibile aggiungere o modificare i gruppi AD in seguito.
**Topics**
+ [
## Integrazione della directory con l'edizione Quick Enterprise
](#directory-integration)
## Integrazione della directory con l'edizione Quick Enterprise
| |
| --- |
| Si applica a: Enterprise Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Quick Enterprise supporta le seguenti opzioni:
+ AWS Servizio Directory Service
+ AWS Directory Service con AD Connector
+ Active Directory on-premise con la federazione IAM o AD Connector
+ Federazione IAM utilizzando AWS IAM Identity Center o un altro servizio di federazione di terze parti
Se desideri utilizzare la federazione IAM con un Active Directory locale, implementi AWS Directory Service come Active Directory separato con una relazione di trust con Active Directory locale.
Se desideri evitare l'utilizzo di una relazione di attendibilità, puoi implementare un dominio autonomo per l'autenticazione all'interno di AWS. A questo punto è possibile creare utenti e gruppi in Active Directory. Dovresti quindi mapparli a utenti e gruppi in Quick. In questo esempio, gli utenti si autenticano utilizzando le proprie credenziali di accesso ad Active Directory. Per rendere l'accesso a Quick trasparente per i tuoi utenti, utilizza la federazione IAM in questo scenario.
# Utilizzo dell'autenticazione a più fattori (MFA) con Amazon Quick
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
**Importante**
Amazon Quick consiglia di integrare nuovi abbonamenti Quick con IAM Identity Center per la gestione delle identità. Questa guida per l'utente di IAM Identity Federation viene fornita come riferimento per le configurazioni di account esistenti. Per ulteriori informazioni sull'integrazione del tuo account Quick con IAM Identity Center, consulta [Configurare il tuo account Quick con IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Esistono diversi modi per utilizzare l'autenticazione a più fattori (MFA) con Quick. Puoi usarla con AWS Identity and Access Management (IAM). Puoi usarlo con AD Connector o il tuo [AWS Directory Service](https://aws.amazon.com/directoryservice/) per Microsoft Active Directory, noto anche come AWS Microsoft Active Directory o AWS Managed Microsoft Active Directory. E se utilizzi un provider di identità (IdP) esterno, AWS non è necessario disporre di alcuna informazione sull'MFA perché fa parte dell'autenticazione gestita dall'IdP.
Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella Guida per l'utente di IAM.
+ [Abilita l'autenticazione a più fattori per AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) nella Guida all' AWS Directory Service amministrazione
+ [Abilitazione dell'autenticazione a più fattori per AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) nella Guida all'amministrazione di AWS Directory Service
Se sei uno sviluppatore, consulta le seguenti risorse:
+ [Come posso utilizzare un token MFA per autenticare l'accesso alle mie AWS risorse tramite la AWS CLI](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/) [nel Knowledge Center?AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Configurazione dell'accesso alle API protetto con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella Guida per l'utente di IAM.
# Consenti la pubblicazione di domini Amazon Quick
Se i tuoi utenti finali accedono ad Amazon Quick utilizzando credenziali AWS root (non consigliate), AWS Identity and Access Management (IAM), Active Directory aziendale o Quick native, assicurati di consentire l'elenco dei seguenti domini all'interno della rete della tua organizzazione.
| Tipo di utente | Dominio o domini da inserire nell'elenco consentiti |
| --- | --- |
| Utenti che accedono direttamente tramite utenti Amazon Quick e Active Directory | `signin.aws` e `awsapps.com` |
| AWS utente root | `signin.aws.amazon.com` e `amazon.com` |
| Utenti IAM | `signin.aws.amazon.com` |
**Importante**
Ti consigliamo vivamente di non utilizzare l'utente AWS root per le tue attività quotidiane, nemmeno quelle amministrative. Rispettare piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente IAM. Quindi conservare al sicuro le credenziali dell'utente root e utilizzarle per eseguire solo alcune attività di gestione dell'account e del servizio. Per ulteriori informazioni, consulta [Utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) nella *Guida per l'utente di IAM*.