Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Uso di IAM
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Quick. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Introduzione ai concetti IAM](security_iam_concepts.md)
+ [Utilizzo di Quick con IAM](security_iam_service-with-iam.md)
+ [Passaggio dei ruoli IAM a Quick](security-create-iam-role.md)
+ [Esempi di policy IAM per Quick](iam-policy-examples.md)
+ [Assegnazione di ruoli agli utenti per Amazon Quick](provisioning-users.md)
+ [Risoluzione dei problemi Identità e accesso rapidi](security_iam_troubleshoot.md)
# Introduzione ai concetti IAM
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo più sicuro l'accesso alle AWS risorse. Gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Quick. IAM è un servizio AWS che è possibile utilizzare senza alcun costo aggiuntivo.
IAM viene utilizzato con Amazon Quick in diversi modi, tra cui:
+ Se la tua azienda utilizza IAM per la gestione delle identità, le persone potrebbero avere nomi utente e password IAM che usano per accedere ad Amazon Quick.
+ Se desideri che i tuoi utenti Amazon Quick vengano creati automaticamente al primo accesso, puoi utilizzare IAM per creare una policy per gli utenti preautorizzati a utilizzare Amazon Quick.
+ Se desideri creare un accesso specializzato per gruppi specifici di utenti Amazon Quick o a risorse specifiche, puoi utilizzare le policy IAM per farlo.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
## Destinatari
Utilizza quanto riportato di seguito per comprendere il contesto delle informazioni fornite in questa sezione e il modo in cui si applicano al proprio ruolo. Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Amazon Quick.
**Utente del servizio**: in alcuni casi, puoi utilizzare Amazon Quick come autore o lettore per interagire con dati, analisi e dashboard, spazi e agenti tramite Amazon Quick utilizzando l'interfaccia del browser. In questi casi, questa sezione fornisce solo informazioni di base. Non interagisci direttamente con il servizio IAM, tranne se utilizzi IAM per accedere ad Amazon Quick.
**Amministratore Amazon Quick**: se sei responsabile delle risorse Amazon Quick della tua azienda, probabilmente hai pieno accesso ad Amazon Quick. È tuo compito determinare a quali funzionalità e risorse di Amazon Quick devono accedere i membri del tuo team. Se hai requisiti specifici che non puoi risolvere utilizzando il pannello di amministrazione di Amazon Quick, puoi collaborare con il tuo amministratore per creare politiche di autorizzazione per i tuoi utenti Amazon Quick. Per saperne di più su IAM, leggi questa pagina per comprendere i concetti di base di IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Amazon Quick, consulta [Using Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Amministratore**: se sei un amministratore di sistema, potresti voler saperne di più su come scrivere politiche per gestire l'accesso ad Amazon Quick. Per visualizzare esempi di politiche basate sull'identità di Amazon Quick che puoi utilizzare in IAM, consulta Politiche [basate sull'identità IAM](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) per Amazon Quick.
## Autenticazione con identità
L'autenticazione è il modo in cui accedi utilizzando le tue credenziali di identità. AWS Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
**Topics**
+ [Account AWS utente root](#security_iam_authentication-rootuser)
+ [Utenti e gruppi IAM](#security_iam_authentication-iamuser)
+ [Ruoli IAM](#security_iam_authentication-iamrole)
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Utilizzo di Quick con IAM
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
Prima di utilizzare IAM per gestire l'accesso ad Amazon Quick, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Quick. Per avere una visione di alto livello di come Amazon Quick e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Amazon Quick Policies (basato sull'identità)](#security_iam_service-with-iam-id-based-policies)
+ [Politiche Amazon Quick (basate sulle risorse)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag Amazon Quick](#security_iam_service-with-iam-tags)
+ [Ruoli Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (basato sull'identità)
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Quick supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
Puoi utilizzare le credenziali AWS root o le credenziali utente IAM per creare un account Amazon Quick. AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per la gestione di Amazon Quick Access alle AWS risorse.
Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. A tale scopo, puoi creare una policy e collegarla all'utente e ai ruoli IAM che intendi utilizzare per Amazon Quick. La policy deve includere le dichiarazioni appropriate per le attività amministrative di Amazon Quick da eseguire, come descritto nelle sezioni seguenti.
**Importante**
Tieni presente quanto segue quando lavori con le politiche Quick e IAM:
Evita di modificare direttamente una policy creata da Quick. Quando la modifichi tu stesso, Quick non può modificarla. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.
Se ricevi un errore sulle autorizzazioni quando tenti di creare un account Amazon Quick, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) nella *IAM User Guide*.
In alcuni casi, potresti avere un account Amazon Quick a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio account Amazon Quick e ricrearlo. Per ulteriori informazioni, consulta [Eliminazione dell'abbonamento Amazon Quick e chiusura dell'account](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Azioni](#security_iam_service-with-iam-id-based-policies-actions)
+ [Resources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi di condizione](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Esempi](#security_iam_service-with-iam-id-based-policies-examples)
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Amazon Quick utilizzano il seguente prefisso prima dell'azione:`quicksight:`. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API `RunInstances` Amazon EC2, è necessario includere l'operazione `ec2:RunInstances` nella policy. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon Quick definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Create`, includi la seguente azione:
```
"Action": "quicksight:Create*"
```
Amazon Quick fornisce una serie di azioni AWS Identity and Access Management (IAM). Tutte le azioni di Amazon Quick hanno il prefisso`quicksight:`, ad esempio`quicksight:Subscribe`. Per informazioni sull'utilizzo di Amazon Quick actions in una policy IAM, consulta [esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Per visualizzare la maggior parte up-to-date delle azioni Amazon Quick, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione `CreateGroupMembership` su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Alcune azioni Amazon Quick, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte operazioni API coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse Amazon Quick e i relativi nomi di risorse Amazon (ARNs), consulta [Resources Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) nella *IAM User Guide*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Actions Defined by Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon Quick non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Amazon Quick, consulta [Amazon Quick Policies (](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)basate sull'identità).
## Politiche Amazon Quick (basate sulle risorse)
Amazon Quick non supporta politiche basate sulle risorse. Tuttavia, puoi utilizzare la console Amazon Quick per configurare l'accesso ad altre AWS risorse del tuo Account AWS.
## Autorizzazione basata sui tag Amazon Quick
Amazon Quick non supporta l'etichettatura delle risorse o il controllo dell'accesso in base ai tag.
## Ruoli Amazon Quick IAM
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Puoi utilizzare i ruoli IAM per raggruppare le autorizzazioni per semplificare la gestione dell'accesso degli utenti alle azioni Amazon Quick.
Amazon Quick non supporta le seguenti funzionalità di ruolo:
+ Ruoli collegati ai servizi.
+ Ruoli dei servizi.
+ Credenziali temporanee (uso diretto): tuttavia, Amazon Quick utilizza credenziali temporanee per consentire agli utenti di assumere un ruolo IAM per accedere ai dashboard integrati. Per ulteriori informazioni, consulta [Analisi integrate per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Per ulteriori informazioni su come Amazon Quick utilizza i ruoli IAM, consulta [Using Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [ed esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
# Passaggio dei ruoli IAM a Quick
| |
| --- |
| Si applica a: Enterprise Edition |
Quando i tuoi utenti IAM si iscrivono a Quick, possono scegliere di utilizzare il ruolo gestito da Amazon Quick (questo è il ruolo predefinito). Oppure possono passare un ruolo IAM esistente ad Amazon Quick.
Utilizza le sezioni seguenti per trasferire i ruoli IAM esistenti ad Amazon Quick
**Topics**
+ [Prerequisiti](#security-create-iam-role-prerequisites)
+ [Collegamento di policy aggiuntive](#security-create-iam-role-athena-s3)
+ [Utilizzo dei ruoli IAM esistenti in Quick](#security-create-iam-role-use)
## Prerequisiti
Per consentire agli utenti di trasferire i ruoli IAM ad Amazon Quick, l'amministratore deve completare le seguenti attività:
+ **Creare un ruolo IAM.** Per ulteriori informazioni sulla creazione di ruoli IAM, consulta [Creazione di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) nella *Guida per l'utente di IAM*.
+ **Allega una policy di fiducia al tuo ruolo IAM che consenta ad Amazon Quick di assumere il ruolo**. Utilizza il seguente esempio per creare una policy di attendibilità per il ruolo. Il seguente esempio di policy di fiducia consente al responsabile di Quick di assumere il ruolo IAM a cui è associato.
Per informazioni sulla creazione di policy di attendibilità IAM e sul loro collegamento ai ruoli, consulta [Modifica di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) nella *Guida per l'utente su IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Assegnare le seguenti autorizzazioni IAM al tuo amministratore (utenti o ruoli IAM)**:
+ `quicksight:UpdateResourcePermissions`— Ciò concede agli utenti IAM che sono amministratori di Amazon Quick l'autorizzazione ad aggiornare le autorizzazioni a livello di risorsa in Amazon Quick. Per ulteriori informazioni sui tipi di risorse definiti da Amazon Quick, consulta [Actions, resources and condition keys for Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) nella *IAM User Guide*.
+ `iam:PassRole`— Ciò concede agli utenti l'autorizzazione a trasferire ruoli ad Amazon Quick. Per ulteriori informazioni, consulta [Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella Guida per l'utente *IAM*.
+ `iam:ListRoles`— (Facoltativo) Ciò concede agli utenti l'autorizzazione a visualizzare un elenco di ruoli esistenti in Amazon Quick. Se questa autorizzazione non viene fornita, potranno utilizzare un ARN per utilizzare i ruoli IAM esistenti.
Di seguito è riportato un esempio di politica di autorizzazione IAM che consente di gestire le autorizzazioni a livello di risorsa, elencare i ruoli IAM e passare i ruoli IAM in Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Per ulteriori esempi di policy IAM che puoi utilizzare con Amazon Quick, consulta [Esempi di policy IAM per Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Per ulteriori informazioni sull'assegnazione delle policy di autorizzazioni a gruppi di utenti, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente di IAM*.
## Collegamento di policy aggiuntive
Se utilizzi un altro AWS servizio, come Amazon Athena o Amazon S3, puoi creare una politica di autorizzazioni che conceda ad Amazon Quick l'autorizzazione a eseguire azioni specifiche. Puoi quindi collegare la policy ai ruoli IAM che successivamente passerai ad Amazon Quick. Di seguito sono riportati alcuni esempi di come è possibile configurare e collegare policy di autorizzazione aggiuntive ai ruoli IAM.
Per un esempio di policy gestita per Amazon Quick in Athena, consulta [AWSQuicksightAthenaAccess Managed Policy](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) nella *Amazon Athena* User Guide. Gli utenti IAM possono accedere a questo ruolo in Amazon Quick utilizzando il seguente ARN:. `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
Di seguito è riportato un esempio di politica di autorizzazioni per Amazon Quick in Amazon S3. Per ulteriori informazioni sull'utilizzo di IAM con Amazon S3, consulta [Identity and Access Management in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) nella *Guida per l'utente di Amazon S3*.
Per informazioni su come creare l'accesso tra account da Amazon Quick a un bucket Amazon S3 in un altro account, [vedi Come si configura l'accesso tra account da Quick a un bucket Amazon S3 in un altro account](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? nel Knowledge Center. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Utilizzo dei ruoli IAM esistenti in Quick
Se sei un amministratore di Amazon Quick e disponi delle autorizzazioni per aggiornare le risorse Amazon Quick e passare i ruoli IAM, puoi utilizzare i ruoli IAM esistenti in Amazon Quick. Per ulteriori informazioni sui prerequisiti per il passaggio dei ruoli IAM in Amazon Quick, consulta i [Prerequisiti](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritti nell'elenco precedente.
Utilizza la seguente procedura per imparare a passare i ruoli IAM in Amazon Quick.
**Per utilizzare un ruolo IAM esistente in Amazon Quick**
1. In Amazon Quick, scegli il nome del tuo account nella barra di navigazione in alto a destra e scegli **Gestisci QuickSight**.
1. Nella pagina **Manage Amazon Quick** che si apre, scegli **Sicurezza e autorizzazioni** nel menu a sinistra.
1. Nella pagina **Sicurezza e autorizzazioni** che si apre, in **Amazon Quick access to AWS services**, scegli **Gestisci**.
1. Per il **ruolo IAM**, scegli **Usa un ruolo esistente**, quindi completa una delle seguenti operazioni:
+ Scegli il ruolo che si desidera usare dall'elenco.
+ Oppure, se non vedi un elenco di ruoli IAM esistenti, puoi inserire l'ARN IAM per il ruolo nel seguente formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Scegli **Save** (Salva).
# Esempi di policy IAM per Quick
Questa sezione fornisce esempi di policy IAM che puoi utilizzare con Quick.
## Politiche basate sull'identità IAM per Quick
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Quick.
**Topics**
+ [Policy basate sull'identità IAM per l'amministrazione della console Amazon Quick IAM](#security_iam_conosole-administration)
### Policy basate sull'identità IAM per l'amministrazione della console Amazon Quick IAM
L'esempio seguente mostra le autorizzazioni IAM necessarie per le azioni di amministrazione della console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: dashboard
L'esempio seguente mostra una policy IAM che consente la condivisione di pannelli di controllo e l'incorporamento di pannelli specifici.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: namespace
Gli esempi seguenti mostrano le policy IAM che consentono a un amministratore di Amazon Quick di creare o eliminare namespace.
**Creazione degli spazi dei nomi**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Eliminazione degli spazi dei nomi**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: autorizzazioni personalizzate
L'esempio seguente mostra una policy IAM che consente a un amministratore o uno sviluppatore di Amazon Quick di gestire autorizzazioni personalizzate.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in Amazon Quick, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa policy consente a un amministratore di Amazon Quick di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail è un'identità verificata in SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Policy basate sull'identità IAM per Quick: crea un account Enterprise con utenti gestiti da Amazon Quick
L'esempio seguente mostra una politica che consente agli amministratori di Amazon Quick di creare un account Amazon Quick in edizione Enterprise con utenti gestiti da Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: creazione di utenti
L'esempio seguente mostra una policy che consente di creare solo utenti Amazon Quick. Per `quicksight:CreateReader`, `quicksight:CreateUser` e `quicksight:CreateAdmin`, è possibile limitare le autorizzazioni a **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Per tutte le altre autorizzazioni descritte in questa guida, utilizza **"Resource": "\$1"**. La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: creazione e gestione di gruppi
L'esempio seguente mostra una policy che consente agli amministratori e agli sviluppatori di Amazon Quick di creare e gestire gruppi.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: All access for Standard edition
L'esempio seguente per l'edizione Amazon Quick Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center (Pro roles)
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente a un utente Amazon Quick di abbonarsi ad Amazon Quick, creare utenti e gestire Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica consente inoltre agli utenti di sottoscrivere ruoli Amazon Quick Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di Quick Generative BI. Per ulteriori informazioni sui ruoli Pro in Amazon Quick, consulta [Introduzione alla BI generativa](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in Amazon Quick. Per creare una policy che conceda l'autorizzazione a sottoscrivere ruoli Pro in Amazon Quick, consulta [Politiche basate sull'identità IAM per Amazon Quick: All access for Enterprise edition with IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)Pro roles).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Politiche basate sull'identità IAM per Quick: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: active directory groups
L'esempio seguente mostra una policy IAM che consente la gestione di gruppi Active Directory per un account Amazon Quick Enterprise edition.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle risorse di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle risorse di amministrazione.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle chiavi di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle chiavi di amministrazione.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Le `"kms:ListAliases"` autorizzazioni `"quicksight:ListKMSKeysForUser"` e sono necessarie per accedere alle chiavi gestite dal cliente dalla console Amazon Quick. `"quicksight:ListKMSKeysForUser"`e non `"kms:ListAliases"` sono obbligati a utilizzare la gestione delle chiavi Amazon Quick APIs.
Per specificare a quali chiavi vuoi che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla `UpdateKeyRegistration` condizione con la chiave di `quicksight:KmsKeyArns` condizione. Gli utenti possono accedere solo alle chiavi specificate in `UpdateKeyRegistration`. Per ulteriori informazioni sulle chiavi di condizione supportate per Amazon Quick, consulta [Condition keys for Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
L'esempio seguente concede `Describe` autorizzazioni per tutti coloro CMKs che sono registrati su un account Amazon Quick e `Update` autorizzazioni per specifici utenti registrati nell'account Amazon CMKs Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS risorse Quick: definizione delle politiche nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Assegnazione di ruoli agli utenti per Amazon Quick
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
## Esecuzione automatica del provisioning di un amministratore Amazon Quick
Gli amministratori di Amazon Quick sono utenti che possono anche gestire le funzionalità di Amazon Quick come le impostazioni e gli account degli account. Possono anche acquistare abbonamenti utente Amazon Quick aggiuntivi, acquistare [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) e annullare l'abbonamento ad Amazon Quick per te. Account AWS
Puoi utilizzare una politica AWS utente o di gruppo per dare agli utenti la possibilità di aggiungersi come amministratori di Amazon Quick. Gli utenti a cui è stata concessa questa capacità possono essere aggiunti solo come amministratori e non possono utilizzare questa policy per aggiungerne altre. I loro account diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateAdmin`.
In alternativa, puoi utilizzare la seguente procedura per utilizzare la console per impostare o creare l'amministratore per Amazon Quick.
**Per rendere un utente amministratore di Amazon Quick**
1. Crea l' AWS utente:
+ Usa IAM per creare l'utente che desideri sia l'amministratore di Amazon Quick. In alternativa, identificare un utente esistente in IAM per il ruolo di amministratore. È anche possibile inserire l'utente all'interno di un nuovo gruppo, per una maggiore gestibilità.
+ Concedere autorizzazioni sufficienti all'utente (o al gruppo).
1. Accedi al tuo Console di gestione AWS con le credenziali dell'utente di destinazione.
1. Andare a [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), digitare l'indirizzo e-mail dell'utente di destinazione e scegliere **Continue (Continua)**.
In caso di successo, l'utente di destinazione è ora un amministratore in Amazon Quick.
## Auto-provisioning di un autore Amazon Quick
Gli autori di Amazon Quick possono creare sorgenti di dati, set di dati, analisi e dashboard. Possono condividere analisi e dashboard con altri utenti Amazon Quick nel tuo account Amazon Quick. Tuttavia, non hanno accesso al menu **Manage Amazon Quick**. Non possono modificare le impostazioni dell'account, gestire gli account, acquistare abbonamenti utente Amazon Quick aggiuntivi o capacità [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) o annullare l'abbonamento ad Amazon Quick for your. Account AWS Gli utenti Author Pro possono inoltre creare contenuti utilizzando il linguaggio naturale, creare basi di conoscenza, configurare azioni e accedere a funzionalità di automazione avanzate.
Puoi utilizzare una politica AWS utente o di gruppo per consentire agli utenti di creare autonomamente un account Amazon Quick Author. I loro account diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateUser`.
## Eseguire il provisioning automatico di un utente di sola lettura Amazon Quick
Gli utenti o *i lettori* di sola lettura di Amazon Quick possono visualizzare e manipolare i dashboard condivisi con loro, ma non possono apportare modifiche o salvare un pannello di controllo per ulteriori analisi. I lettori di Amazon Quick non possono creare sorgenti di dati, set di dati, analisi o immagini. né eseguire attività amministrative. Questo ruolo è consigliabile per gli utenti che sono consumatori dei pannelli di controllo ma non creano analisi proprie, come ad esempio i dirigenti. Gli utenti di Reader Pro hanno accesso a funzionalità avanzate tra cui agenti di chat basati sull'intelligenza artificiale, spazi collaborativi, flussi ed estensioni.
Se utilizzi Microsoft Active Directory con Amazon Quick, puoi gestire le autorizzazioni di sola lettura utilizzando un gruppo. Altrimenti, puoi invitare in blocco gli utenti a utilizzare Amazon Quick. Puoi anche utilizzare una politica AWS utente o di gruppo per dare alle persone la possibilità di creare autonomamente un account Amazon Quick Reader.
Gli account Reader diventano attivi e fatturabili la prima volta che aprono Amazon Quick. Se decidi di effettuare l'upgrade o il downgrade di utente, la fatturazione per tale utente viene ripartita proporzionalmente nel mese. Per configurare il self-provisioning, è necessario assegnare agli utenti l'autorizzazione per l'utilizzo dell'operazione `quicksight:CreateReader`.
I lettori che vengono utilizzati per aggiornare automaticamente o programmaticamente i pannelli di controllo per casi d'uso quasi in tempo reale devono scegliere il prezzo della capacità. Per i lettori con tariffa utente, ciascun lettore è limitato all'uso manuale da parte di un solo individuo.
# Risoluzione dei problemi Identità e accesso rapidi
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Quick e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Quick
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza.
L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` tenta di utilizzare la console per visualizzare i dettagli relativi a *widget*, ma non dispone delle autorizzazioni `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `quicksight:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Quick.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Quick. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Quick
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Quick supporta queste funzionalità, consulta[Utilizzo di Quick con IAM](security_iam_service-with-iam.md).
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.