Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questa sezione fornisce esempi di policy IAM che puoi utilizzare con Amazon QuickSight.
Policy basate sull'identità IAM per Amazon QuickSight
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Amazon. QuickSight
Argomenti
- Politiche basate sull'identità IAM per l'amministrazione della console IAM QuickSight
- Policy basate sull'identità IAM per Amazon: dashboard QuickSight
- Policy basate sull'identità IAM per Amazon: namespace QuickSight
- Policy basate sull'identità IAM per Amazon QuickSight: autorizzazioni personalizzate
- Policy basate sull'identità IAM per Amazon QuickSight: personalizzazione dei modelli di report e-mail
- Policy basate sull'identità IAM per Amazon QuickSight: crea un account Enterprise con utenti gestiti QuickSight
- Policy basate sull'identità IAM per Amazon QuickSight: creazione di utenti
- Policy basate sull'identità IAM per Amazon QuickSight: creazione e gestione di gruppi
- Policy basate sull'identità IAM per Amazon QuickSight: accesso completo per l'edizione Standard
- Policy basate sull'identità IAM per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
- Policy basate sull'identità IAM per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center
- Policy basate sull'identità IAM per Amazon QuickSight: accesso completo per l'edizione Enterprise con Active Directory
- Policy basate sull'identità IAM per Amazon QuickSight: gruppi di active directory
- Policy basate sull'identità IAM per Amazon QuickSight: utilizzo della console di gestione degli asset di amministrazione
- Policy basate sull'identità IAM per Amazon QuickSight: utilizzo della console di gestione delle chiavi di amministrazione
- AWS risorse Amazon QuickSight: politiche di analisi nell'edizione Enterprise
Politiche basate sull'identità IAM per l'amministrazione della console IAM QuickSight
L'esempio seguente mostra le autorizzazioni IAM necessarie per le azioni di amministrazione della console QuickSight IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
Policy basate sull'identità IAM per Amazon: dashboard QuickSight
L'esempio seguente mostra una policy IAM che consente la condivisione di pannelli di controllo e l'incorporamento di pannelli specifici.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333
:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89
",
"Effect": "Allow"
}
]
}
Policy basate sull'identità IAM per Amazon: namespace QuickSight
Gli esempi seguenti mostrano le politiche IAM che consentono a un QuickSight amministratore di creare o eliminare namespace.
Creazione degli spazi dei nomi
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
Eliminazione degli spazi dei nomi
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: autorizzazioni personalizzate
L'esempio seguente mostra una policy IAM che consente a un QuickSight amministratore o uno sviluppatore di gestire autorizzazioni personalizzate.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in QuickSight, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa policy consente a un QuickSight amministratore di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail sia un'identità verificata in SES.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight: DescribeAccountCustomization",
"quicksight: CreateAccountCustomization",
"quicksight: UpdateAccountCustomization",
"quicksight: DescribeEmailCustomizationTemplate",
"quicksight: CreateEmailCustomizationTemplate",
"quicksight: UpdateEmailCustomizationTemplate",
"ses: GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: crea un account Enterprise con utenti gestiti QuickSight
L'esempio seguente mostra una politica che consente agli QuickSight amministratori di creare un QuickSight account Enterprise edition con utenti QuickSight gestiti.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: creazione di utenti
L'esempio seguente mostra una politica che consente di creare solo QuickSight utenti Amazon. Per quicksight:CreateReader
, quicksight:CreateUser
e quicksight:CreateAdmin
, è possibile limitare le autorizzazioni a "Resource":
"arn:aws:quicksight::
. Per tutte le altre autorizzazioni descritte in questa guida, utilizza <YOUR_AWS_ACCOUNTID>
:user/${aws:userid}""Resource":
"*"
. La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID
>:user/${aws:userid}"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: creazione e gestione di gruppi
L'esempio seguente mostra una policy che consente QuickSight agli amministratori e agli sviluppatori di creare e gestire gruppi.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: accesso completo per l'edizione Standard
L'esempio seguente per l'edizione Amazon QuickSight Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente a un QuickSight utente di iscriversi QuickSight, creare utenti e gestire Active Directory in un QuickSight account integrato con IAM Identity Center.
Questa policy consente inoltre agli utenti di sottoscrivere ruoli QuickSight Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di BI QuickSight generativa. Per ulteriori informazioni sui ruoli Pro in Amazon QuickSight, consultaInizia a usare la BI generativa.
Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"sso:ListApplications",
"sso:GetSharedSsoConfiguration",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAccessScope",
"sso:GetSSOStatus",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DisableAWSServiceAccess",
"organizations:EnableAWSServiceAccess",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"user-subscriptions:ListClaims",
"user-subscriptions:ListUserSubscriptions",
"user-subscriptions:DeleteClaim",
"sso-directory:DescribeUsers",
"sso-directory:DescribeGroups",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeGroup",
"sso-directory:DescribeUser",
"sso-directory:DescribeDirectory",
"signin:ListTrustedIdentityPropagationApplicationsForConsole",
"signin:CreateTrustedIdentityPropagationApplicationForConsole",
"q:CreateAssignment",
"q:DeleteAssignment"
],
"Resource": [
"*"
]
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un QuickSight account integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in. QuickSight Per creare una politica che conceda il permesso di sottoscrivere ruoli Pro in QuickSight, vedi. Policy basate sull'identità IAM per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un QuickSight account che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: gruppi di active directory
L'esempio seguente mostra una policy IAM che consente la gestione di gruppi Active Directory per un account Amazon QuickSight Enterprise edition.
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
Policy basate sull'identità IAM per Amazon QuickSight: utilizzo della console di gestione degli asset di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle risorse di amministrazione.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
Policy basate sull'identità IAM per Amazon QuickSight: utilizzo della console di gestione delle chiavi di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle chiavi di amministrazione.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
Le "kms:ListAliases"
autorizzazioni "quicksight:ListKMSKeysForUser"
e sono necessarie per accedere alle chiavi gestite dal cliente dalla console. QuickSight "quicksight:ListKMSKeysForUser"
e non "kms:ListAliases"
sono necessari per utilizzare la gestione APIs delle QuickSight chiavi.
Per specificare a quali chiavi vuoi che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla UpdateKeyRegistration
condizione con la chiave di quicksight:KmsKeyArns
condizione. Gli utenti possono accedere solo alle chiavi specificate inUpdateKeyRegistration
. Per ulteriori informazioni sulle chiavi di condizione supportate per QuickSight, consulta Condition keys for Amazon QuickSight.
L'esempio seguente concede Describe
le autorizzazioni per tutto ciò CMKs che è registrato in un QuickSight account e le Update
autorizzazioni per determinati elementi CMKs registrati nell'account. QuickSight
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*
"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*
",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1
",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2
",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*
"
}
]
}
AWS risorse Amazon QuickSight: politiche di analisi nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}