Fase 1: Configurazione delle autorizzazioni

Nella sezione seguente viene descritto come configurare le autorizzazioni per l'applicazione di back-end o il server Web. Questa attività richiede l'accesso amministrativo a. IAM

Ogni utente che accede a un oggetto visivo assume un ruolo che gli consente QuickSight l'accesso e le autorizzazioni di accesso ad Amazon. Per renderlo possibile, crea un IAM ruolo nel tuo. Account AWS Associa una IAM policy al ruolo per fornire le autorizzazioni a qualsiasi utente che la assume. Il IAM ruolo deve fornire le autorizzazioni per recuperare l'incorporamento URLs per un pool di utenti specifico. Con l'aiuto del carattere jolly *, puoi concedere le autorizzazioni per generare un file URL per tutti gli utenti in uno spazio dei nomi specifico o per un sottoinsieme di utenti in namespace specifici. Per questo, aggiungi quicksight:GenerateEmbedUrlForRegisteredUser.

Puoi creare una condizione nella tua IAM policy che limiti i domini che gli sviluppatori possono elencare nel parametro di un'operazione. AllowedDomains GenerateEmbedUrlForAnonymousUser API Il parametro AllowedDomains è un parametro facoltativo. In qualità di sviluppatore, ti offre la possibilità di sovrascrivere i domini statici configurati nel menu Gestisci. QuickSight Puoi invece elencare fino a tre domini o sottodomini che possono accedere a un file generato. URL Questo URL viene quindi incorporato nel sito Web che crei. Solo i domini elencati nel parametro possono accedere al pannello di controllo incorporato. Senza questa condizione, nel parametro AllowedDomains puoi elencare qualsiasi dominio su Internet.

Per limitare i domini che gli sviluppatori possono utilizzare con questo parametro, aggiungi una AllowedEmbeddingDomains condizione alla tua IAM politica. Per ulteriori informazioni sul AllowedDomains parametro, GenerateEmbedUrlForRegisteredUserconsulta Amazon QuickSight API Reference.

Queste autorizzazioni sono fornite dalla seguente policy di esempio.


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Inoltre, se stai creando utenti alle prime armi che saranno QuickSight lettori di Amazon, assicurati di aggiungere l'quicksight:RegisterUserautorizzazione nella politica.

La seguente politica di esempio fornisce l'autorizzazione a recuperare un incorporamento URL per gli utenti alle prime armi che devono diventare lettori. QuickSight


{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Infine, all'IAMidentità dell'applicazione deve essere associata una politica di attendibilità per consentire l'accesso al ruolo appena creato. Ciò significa che quando un utente accede all'applicazione, quest'ultima può assumere il ruolo per conto dell'utente e fornire all' QuickSightutente l'accesso. Di seguito è mostrata una policy di attendibilità di esempio.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Per ulteriori informazioni sulle politiche di attendibilità per OpenID Connect o SAML l'autenticazione, consulta le seguenti sezioni della Guida per l'IAMutente:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Incorporamento di elementi visivi QuickSight per gli utenti registrati

Fase 2: Generare il URL