As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Análise incorporada para o Amazon Quick Sight
**Importante**
O Amazon Quick Sight tem novas operações de API para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar as operações de `GetSessionEmbedUrl` API `GetDashboardEmbedUrl` e as operações de API para incorporar painéis e o console do Amazon Quick Sight, mas elas não contêm os recursos de incorporação mais recentes. Para obter mais informações sobre a incorporação usando as operações de API antigas, consulte [Como incorporar analytics usando as operações de API GetDashboardEmbedURL e GetSessionEmbedURL](embedded-analytics-deprecated.md).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Com a análise incorporada do Amazon Quick Sight, você pode integrar perfeitamente experiências orientadas por dados em seus aplicativos de software. Você pode estilizar os componentes incorporados para combinar com sua marca. Esse recurso traz o poder do Amazon Quick Sight para seus usuários finais, onde eles podem analisar e interagir com os dados sem sair do aplicativo. Aprimorar a experiência do usuário ao reduzir a complexidade cognitiva oferece aos usuários uma melhor oportunidade de compreensão e de eficácia aprofundadas.
O Amazon Quick Sight oferece suporte à incorporação desses elementos:
+ Console Amazon Quick Sight (experiência de criação completa para usuários registrados)
+ Painéis e imagens do Amazon Quick Sight (para usuários registrados, usuários anônimos, usuários finais públicos)
+ Barra de pesquisa Amazon Quick Sight Q (para usuários registrados e usuários anônimos)
Com um console incorporado do Amazon Quick Sight, você incorpora a experiência completa do Amazon Quick Sight. Isso possibilita o uso das ferramentas de criação do Amazon Quick Sight como parte do seu aplicativo, e não no contexto Console de gerenciamento da AWS de um site independente. Os usuários de um console incorporado do Amazon Quick Sight precisam estar registrados como autores ou administradores do Amazon Quick Sight em seu. Conta da AWS Eles também precisam ser autenticados no mesmo Conta da AWS, usando qualquer um dos métodos de autenticação compatíveis com o Amazon Quick Sight.
Com um painel ou visual incorporado do Amazon Quick Sight, os leitores obtêm a mesma funcionalidade e interatividade que obtêm em um painel ou visual publicado. Para usar um painel ou um elemento visual incorporado, os leitores (visualizadores) podem incluir qualquer um dos seguintes:
+ Usuários do Amazon Quick Sight autenticados em você Conta da AWS por qualquer método suportado pelo Amazon Quick Sight.
+ Visitantes não autenticados de um site ou de uma aplicação: esta opção requer pacotes de sessões com definição de preços da capacidade. Para obter informações sobre os tipos de assinatura, consulte [Entendendo as assinaturas e funções do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/user-types.html#subscription-role-mapping).
+ Diversos usuários finais que visualizam uma exibição em monitores ou em telas grandes por meio de acesso programático.
Se seu aplicativo também residir em AWS, o aplicativo não precisa residir na Conta da AWS mesma assinatura do Amazon Quick Sight. No entanto, o aplicativo precisa ser capaz de assumir a função AWS Identity and Access Management (IAM) que você usa para as chamadas de API.
Antes de incorporar conteúdo, certifique-se de usar a edição Amazon Quick Sight Enterprise no local em Conta da AWS que planeja usar a incorporação.
A incorporação do Amazon Quick Sight está disponível em todos os suportados Regiões da AWS.
**Topics**
+ [Incorporando análises do Amazon Quick Sight em seus aplicativos](embedding-overview.md)
+ [Incorporação de ativos personalizados do Amazon Quick Sight em seu aplicativo](customize-and-personalize-embedded-analytics.md)
+ [Incorporando imagens e painéis do Amazon Quick Sight com um código de incorporação de 1 clique](1-click-embedding.md)
+ [Incorporação com o Amazon Quick Sight APIs](embedded-analytics-api.md)
# Incorporando análises do Amazon Quick Sight em seus aplicativos
| |
| --- |
| Aplica-se a: Enterprise Edition |
Para incorporar análises, você pode executar a API de incorporação do Amazon Quick Sight para gerar o código de incorporação. Como alternativa para painéis, você pode copiar um código incorporado ao compartilhar o painel no Amazon Quick Sight. Cada opção é descrita abaixo.
## Incorporação com um único clique para usuários registrados
Ao compartilhar um painel com usuários registrados em sua conta, é possível copiar um código de incorporação para o painel e colá-lo no HTML da aplicação interna.
Usar a incorporação corporativa com 1 clique é melhor para quando você deseja incorporar um painel do Amazon Quick Sight em um aplicativo interno no qual os usuários precisam se autenticar. Ao copiar o código de incorporação, você obtém um código de incorporação estático que não sofre alterações.
Para obter mais informações, consulte [Incorporação de imagens e painéis do Amazon Quick Sight para usuários registrados com um código de incorporação de 1 clique](embedded-analytics-1-click.md).
## Incorporação com o Amazon Quick Sight APIs
A incorporação com a API do Amazon Quick Sight é melhor quando você deseja incorporar a experiência do Amazon Quick Sight em um aplicativo interno no qual os usuários devem se autenticar ou em um aplicativo externo que qualquer pessoa possa acessar. Ao usar as operações de API de incorporação para gerar um código de incorporação, você obtém um código único.
Para obter mais informações, consulte [Incorporação com o Amazon Quick Sight APIs](embedded-analytics-api.md).
# Incorporação de ativos personalizados do Amazon Quick Sight em seu aplicativo
Você pode usar a análise incorporada do Amazon Quick Sight para incorporar ativos personalizados do Amazon Quick Sight em seu aplicativo, personalizados para atender às suas necessidades comerciais. Para painéis e imagens incorporados, os autores do Amazon Quick Sight podem adicionar filtros e detalhamentos que os leitores podem acessar enquanto navegam pelo painel ou pelo visual. Os desenvolvedores do Amazon Quick Sight também podem usar o Amazon Quick Sight SDKs para criar integrações mais estreitas entre seus aplicativos SaaS e seus ativos incorporados do Amazon Quick Sight para adicionar ações de retorno de chamada de pontos de dados às imagens em um painel em tempo de execução.
Para obter mais informações sobre o Amazon Quick Sight SDKs, consulte o `amazon-quicksight-embedding-sdk` on [GitHub](https://github.com/awslabs/amazon-quicksight-embedding-sdk)ou o [NPM](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk).
A seguir, você encontrará descrições de como usar o Amazon Quick Sight SDKs para personalizar suas análises incorporadas do Amazon Quick Sight.
**Topics**
+ [Adicionar ações de retorno de chamada incorporadas em tempo de execução no Amazon Quick Sight](embedding-custom-actions-callback.md)
+ [Filtragem de dados em tempo de execução para painéis e imagens incorporados do Amazon Quick Sight](embedding-runtime-filtering.md)
+ [Personalize a aparência dos painéis e recursos visuais incorporados do Amazon Quick Sight](embedding-runtime-theming.md)
+ [Usando o Amazon Quick Sight Embedding SDK para permitir links compartilháveis para visualizações de painéis incorporadas](embedded-view-sharing.md)
# Adicionar ações de retorno de chamada incorporadas em tempo de execução no Amazon Quick Sight
Use ações de retorno de chamada de ponto de dados incorporadas para criar integrações mais estreitas entre seu aplicativo de software como serviço (SaaS) e seus painéis e recursos visuais incorporados do Amazon Quick Sight. Os desenvolvedores podem registrar pontos de dados para serem chamados de volta com o SDK de incorporação do Amazon Quick Sight. Quando você registra uma ação de retorno de chamada para um elemento visual, os leitores podem selecionar um ponto de dados no elemento visual para receber um retorno de chamada que forneça dados específicos ao ponto de dados selecionado. Essas informações podem ser usadas para sinalizar registros fundamentais, compilar dados brutos específicos para o ponto de dados, capturar registros e compilar dados para processos de back-end.
Os retornos de chamadas incorporados não são compatíveis com o conteúdo de elementos visuais personalizados, caixas de texto ou insights.
Antes de começar a registrar pontos de dados para o retorno de chamada, atualize o SDK de incorporação para a versão 2.3.0. Para obter mais informações sobre o uso do Amazon Quick Sight Embedding SDK, consulte o [amazon-quicksight-embedding-sdk](https://github.com/awslabs/amazon-quicksight-embedding-sdk)on. GitHub
Um retorno de chamada de ponto de dados pode ser registrado em um ou mais recursos visuais em tempo de execução por meio do Amazon Quick Sight SDK. Você também pode registrar um retorno de chamada de ponto de dados para qualquer interação suportada pela estrutura da [VisualCustomAction](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_VisualCustomAction.html)API. Isso permite que o retorno de chamada do ponto de dados seja iniciado quando o usuário seleciona o ponto de dados no elemento visual ou quando o ponto de dados é selecionado usando o menu de contexto do ponto de dados. O exemplo apresentado a seguir registra um retorno de chamada do ponto de dados que o leitor inicia ao selecionar um ponto de dados no elemento visual.
```
/const MY_GET_EMBED_URL_ENDPOINT =
"https://my.api.endpoint.domain/MyGetEmbedUrlApi"; // Sample URL
// The dashboard id to embed
const MY_DASHBOARD_ID = "my-dashboard"; // Sample ID
// The container element in your page that will have the embedded dashboard
const MY_DASHBOARD_CONTAINER = "#experience-container"; // Sample ID
// SOME HELPERS
const ActionTrigger = {
DATA_POINT_CLICK: "DATA_POINT_CLICK",
DATA_POINT_MENU: "DATA_POINT_MENU",
};
const ActionStatus = {
ENABLED: "ENABLED",
DISABLED: "DISABLED",
};
// This function makes a request to your endpoint to obtain an embed url for a given dashboard id
// The example implementation below assumes the endpoint takes dashboardId as request data
// and returns an object with EmbedUrl property
const myGetEmbedUrl = async (dashboardId) => {
const apiOptions = {
dashboardId,
};
const apiUrl = new URL(MY_GET_EMBED_URL_ENDPOINT);
apiUrl.search = new URLSearchParams(apiOptions).toString();
const apiResponse = await fetch(apiUrl.toString());
const apiResponseData = await apiResponse.json();
return apiResponseData.EmbedUrl;
};
// This function constructs a custom action object
const myConstructCustomActionModel = (
customActionId,
actionName,
actionTrigger,
actionStatus
) => {
return {
Name: actionName,
CustomActionId: customActionId,
Status: actionStatus,
Trigger: actionTrigger,
ActionOperations: [
{
CallbackOperation: {
EmbeddingMessage: {},
},
},
],
};
};
// This function adds a custom action on the first visual of first sheet of the embedded dashboard
const myAddVisualActionOnFirstVisualOfFirstSheet = async (
embeddedDashboard
) => {
// 1. List the sheets on the dashboard
const { SheetId } = (await embeddedDashboard.getSheets())[0];
// If you'd like to add action on the current sheet instead, you can use getSelectedSheetId method
// const SheetId = await embeddedDashboard.getSelectedSheetId();
// 2. List the visuals on the specified sheet
const { VisualId } = (await embeddedDashboard.getSheetVisuals(SheetId))[0];
// 3. Add the custom action to the visual
try {
const customActionId = "custom_action_id"; // Sample ID
const actionName = "Flag record"; // Sample name
const actionTrigger = ActionTrigger.DATA_POINT_CLICK; // or ActionTrigger.DATA_POINT_MENU
const actionStatus = ActionStatus.ENABLED;
const myCustomAction = myConstructCustomActionModel(
customActionId,
actionName,
actionTrigger,
actionStatus
);
const response = await embeddedDashboard.addVisualActions(
SheetId,
VisualId,
[myCustomAction]
);
if (!response.success) {
console.log("Adding visual action failed", response.errorCode);
}
} catch (error) {
console.log("Adding visual action failed", error);
}
};
const parseDatapoint = (visualId, datapoint) => {
datapoint.Columns.forEach((Column, index) => {
// FIELD | METRIC
const columnType = Object.keys(Column)[0];
// STRING | DATE | INTEGER | DECIMAL
const valueType = Object.keys(Column[columnType])[0];
const { Column: columnMetadata } = Column[columnType][valueType];
const value = datapoint.RawValues[index][valueType];
const formattedValue = datapoint.FormattedValues[index];
console.log(
`Column: ${columnMetadata.ColumnName} has a raw value of ${value}
and formatted value of ${formattedValue.Value} for visual: ${visualId}`
);
});
};
// This function is used to start a custom workflow after the end user selects a datapoint
const myCustomDatapointCallbackWorkflow = (callbackData) => {
const { VisualId, Datapoints } = callbackData;
parseDatapoint(VisualId, Datapoints);
};
// EMBEDDING THE DASHBOARD
const main = async () => {
// 1. Get embed url
let url;
try {
url = await myGetEmbedUrl(MY_DASHBOARD_ID);
} catch (error) {
console.log("Obtaining an embed url failed");
}
if (!url) {
return;
}
// 2. Create embedding context
const embeddingContext = await createEmbeddingContext();
// 3. Embed the dashboard
const embeddedDashboard = await embeddingContext.embedDashboard(
{
url,
container: MY_DASHBOARD_CONTAINER,
width: "1200px",
height: "300px",
resizeHeightOnSizeChangedEvent: true,
},
{
onMessage: async (messageEvent) => {
const { eventName, message } = messageEvent;
switch (eventName) {
case "CONTENT_LOADED": {
await myAddVisualActionOnFirstVisualOfFirstSheet(embeddedDashboard);
break;
}
case "CALLBACK_OPERATION_INVOKED": {
myCustomDatapointCallbackWorkflow(message);
break;
}
}
},
}
);
};
main().catch(console.error);
```
Você também pode configurar o exemplo anterior para iniciar o retorno de chamada do ponto de dados quando o usuário abrir o menu de contexto. Para fazer isso com o exemplo anterior, defina o valor de `actionTrigger` como `ActionTrigger.DATA_POINT_MENU`.
Depois que um retorno de chamada do ponto de dados é registrado, ele é aplicado à maioria dos pontos de dados no elemento visual ou aos elementos visuais especificados. Os retornos de chamada não se aplicam a totais ou subtotais em elementos visuais. Quando um leitor interage com um ponto de dados, uma `CALLBACK_OPERATION_INVOKED` mensagem é emitida para o SDK de incorporação do Amazon Quick Sight. Esta mensagem é capturada pelo manipulador `onMessage`. A mensagem contém os valores brutos e de exibição para a linha completa de dados associada ao ponto de dados selecionado. Além disso, ela contém os metadados de coluna para todas as colunas do elemento visual em que o ponto de dados está contido. Veja a seguir um exemplo de uma mensagem `CALLBACK_OPERATION_INVOKED`.
```
{
CustomActionId: "custom_action_id",
DashboardId: "dashboard_id",
SheetId: "sheet_id",
VisualId: "visual_id",
DataPoints: [
{
RawValues: [
{
String: "Texas" // 1st raw value in row
},
{
Integer: 1000 // 2nd raw value in row
}
],
FormattedValues: [
{Value: "Texas"}, // 1st formatted value in row
{Value: "1,000"} // 2nd formatted value in row
],
Columns: [
{ // 1st column metadata
Dimension: {
String: {
Column: {
ColumnName: "State",
DatsetIdentifier: "..."
}
}
}
},
{ // 2nd column metadata
Measure: {
Integer: {
Column: {
ColumnName: "Cancelled",
DatsetIdentifier: "..."
},
AggregationFunction: {
SimpleNumericalAggregation: "SUM"
}
}
}
}
]
}
]
}
```
# Filtragem de dados em tempo de execução para painéis e imagens incorporados do Amazon Quick Sight
Você pode usar métodos de filtro no SDK de incorporação do Amazon Quick Sight para aproveitar o poder dos filtros do Amazon Quick Sight em seu aplicativo de software como serviço (SaaS) em tempo de execução. Os filtros de tempo de execução permitem que os proprietários de empresas integrem seus aplicativos aos painéis e recursos visuais incorporados do Amazon Quick Sight. Para isso, crie controles de filtro personalizados na aplicação e aplique definições prévias de filtros com base nos dados da aplicação. Assim, os desenvolvedores poderão ajustar as configurações de filtro para os usuários finais durante o runtime.
Os desenvolvedores podem criar, consultar, atualizar e remover filtros do Amazon Quick Sight em um painel incorporado ou visual de seu aplicativo com o Amazon Quick Sight Embedding SDK. Crie objetos de filtro do Amazon Quick Sight em seu aplicativo com o modelo de [FilterGroup](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_FilterGroup.html)dados e aplique-os a painéis e imagens incorporados usando os métodos de filtro. Para obter mais informações sobre o uso do Amazon Quick Sight Embedding SDK, consulte o [amazon-quicksight-embedding-sdk](https://github.com/awslabs/amazon-quicksight-embedding-sdk)on. GitHub
**Pré-requisitos**
Antes de começar, verifique se você está usando o Amazon Quick Sight Embedding SDK versão 2.5.0 ou superior.
## Terminologia e conceitos
A terminologia apresentada a seguir pode ser útil ao trabalhar com a filtragem de runtime incorporada.
+ *Grupo de filtros*: um conjunto de filtros individuais. Os filtros localizados dentro de um `FilterGroup` são combinados com a lógica OR entre si. Os filtros dentro de a [FilterGroup](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_FilterGroup.html)são aplicados às mesmas pastas ou imagens.
+ *Filtro*: um único filtro. O filtro pode ser um tipo de filtro de categoria, numérico ou de data e hora. Para obter mais informações sobre os filtros, consulte [Filter](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_Filter.html).
## Configurar
Antes de começar, certifique-se de ter os recursos e as informações apresentados a seguir preparados.
+ O ID da planilha da planilha que você deseja delimitar para o `FilterGroup`. Esse ID pode ser obtido com o método `getSheets` no SDK de incorporação.
+ O identificador do conjunto de dados e da coluna do conjunto de dados que você deseja filtrar. Isso pode ser obtido por meio da operação [DescribeDashboardDefinition](https://docs.aws.amazon.com/APIReference/API_DescribeDashboardDefinition.html)da API.
Dependendo do tipo de coluna que você usa, pode haver restrições sobre os tipos de filtros que podem ser adicionados a um ativo incorporado. Para obter mais informações sobre as restrições de filtro, consulte [Filter](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_Filter.html).
+ O ID do elemento visual ao qual você deseja delimitar o `FilterGroup`, se aplicável. Esse ID pode ser obtido ao usar o método `getSheetVisuals` no SDK de incorporação.
Além do método `getSheetVisuals`, o `FilterGroup` que você adicionar pode ser delimitado somente à planilha selecionada no momento.
Para usar esse recurso, você já deve ter um painel ou visual incorporado ao seu aplicativo por meio do Amazon Quick Sight Embedding SDK. Para obter mais informações sobre o uso do Amazon Quick Sight Embedding SDK, consulte o [amazon-quicksight-embedding-sdk](https://github.com/awslabs/amazon-quicksight-embedding-sdk)on. GitHub
## Interface para métodos do SDK
**Métodos “getter” para incorporação de painéis**
A tabela apresentada a seguir descreve os diferentes métodos “getter” para incorporação de painéis que os desenvolvedores podem usar.
| Método | Description |
| --- | --- |
| `getFilterGroupsForSheet(sheetId: string) ` | Retorna tudo o FilterGroups que está atualmente definido para a planilha fornecida no parâmetro. |
| `getFilterGroupsForVisual(sheetId: string, visualId: string)` | Retorna todos os `FilterGroups` delimitados para o elemento visual fornecido no parâmetro. |
Se a planilha fornecida no parâmetro não for a planilha selecionada no painel incorporado no momento, os métodos acima mencionados retornarão um erro.
**Métodos “getter” para incorporação de elementos visuais**
A tabela apresentada a seguir descreve os diferentes métodos “getter” para incorporação de elementos visuais que os desenvolvedores podem usar.
| Método | Description |
| --- | --- |
| `getFilterGroups()` | Retorna todos os `FilterGroups` delimitados, no momento, para o elemento visual incorporado. |
**Métodos “setter”**
A tabela apresentada a seguir descreve diferentes métodos “setter” que os desenvolvedores podem usar para realizar a incorporação de painéis ou de elementos visuais.
| Método | Description |
| --- | --- |
| `addFilterGroups(filterGroups: FilterGroup[])` | Adiciona e aplica o fornecido **FilterGroups**ao painel ou visual incorporado. Uma `ResponseMessage` que indica se a adição ocorreu com êxito é retornada. |
| `updateFilterGroups(filterGroups: FilterGroup[])` | Atualiza os `FilterGroups` na experiência incorporada que contêm um `FilterGroupId` semelhante ao do `FilterGroup` fornecido no parâmetro. Uma `ResponseMessage` que indica se a atualização ocorreu com êxito é retornada. |
| `removeFilterGroups(filterGroupsOrIds: FilterGroup[] \| string[])` | Remove o fornecido FilterGroups do painel e retorna um `ResponseMessage` que indica se a tentativa de remoção foi bem-sucedida. |
O `FilterGroup` fornecido deve estar associado à planilha ou ao elemento visual incorporado que está selecionado no momento.
# Personalize a aparência dos painéis e recursos visuais incorporados do Amazon Quick Sight
Você pode usar o Amazon Quick Sight Embedding SDK (versão 2.5.0 e superior) para fazer alterações no tema de seus painéis e imagens incorporados do Amazon Quick Sight em tempo de execução. A temática de tempo de execução facilita a integração de seu aplicativo de software como serviço (SaaS) com seus ativos incorporados do Amazon Quick Sight. A temática em tempo de execução permite que você sincronize o tema do seu conteúdo incorporado com os temas do aplicativo principal ao qual seus ativos do Amazon Quick Sight estão incorporados. Além disso, é possível usar o tema do runtime para adicionar opções de personalização para leitores. As alterações de tema podem ser aplicadas a ativos incorporados na inicialização ou durante toda a vida útil do painel ou do elemento visual incorporado.
Para obter mais informações sobre os temas, consulte [Usando temas no Amazon Quick Sight](themes-in-quicksight.md). Para obter mais informações sobre o uso do Amazon Quick Sight Embedding SDK, consulte o [amazon-quicksight-embedding-sdk](https://github.com/awslabs/amazon-quicksight-embedding-sdk)on. GitHub
**Pré-requisitos**
Antes de começar a usar, certifique-se de cumprir os pré-requisitos apresentados a seguir.
+ Você está usando o Amazon Quick Sight Embedding SDK versão 2.5.0 ou superior.
+ Você deve ter permissões para acessar o tema com o qual deseja trabalhar. Para conceder permissões a um tema no Amazon Quick Sight, faça uma chamada de `UpdateThemePermissions` API ou use o ícone **Compartilhar** ao lado do tema no editor de análise do console Amazon Quick Sight.
## Terminologia e conceitos
A terminologia apresentada a seguir pode ser útil ao trabalhar com temas de runtime incorporados.
+ *Tema*: uma coleção de configurações que você pode aplicar a várias análises e painéis que alteram a forma como o conteúdo é exibido.
+ *ThemeConfiguration*— Um objeto de configuração que contém todas as propriedades de exibição de um tema.
+ *Substituição de tema*: um objeto `ThemeConfiguration` que é aplicado ao tema ativo para substituir alguns ou todos os aspectos de como o conteúdo é exibido.
+ *ARN do tema — Um* nome de recurso da Amazon (ARN) que identifica um tema do Amazon Quick Sight. A seguir, apresentamos um exemplo de ARN para um tema personalizado.
`arn:aws:quicksight:region:account-id:theme/theme-id`
O Amazon Quick Sight forneceu que os temas iniciais não tenham uma região no ARN do tema. A seguir, apresentamos um exemplo de um ARN para um tema padrão.
`arn:aws:quicksight::aws:theme/CLASSIC`
## Configurar
Certifique-se de ter as informações apresentadas a seguir disponíveis para começar a trabalhar com temas de runtime.
+ O tema ARNs dos temas que você deseja usar. É possível escolher um tema existente ou criar um novo. Para obter uma lista de todos os temas e temas ARNs em sua conta Amazon Quick Sight, faça uma chamada para a operação da [ListThemes](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_ListThemes.html)API. Para obter informações sobre temas predefinidos do Amazon Quick Sight, consulte[Definindo um tema padrão para análises do Amazon Quick com o Amazon Quick APIs](customizing-quicksight-default-theme.md).
+ Se você estiver usando a incorporação para usuários registrados, certifique-se de que o usuário tenha acesso aos temas que deseja usar.
Se você estiver usando a incorporação de usuários anônimos, passe uma lista de temas ARNs para o `AuthorizedResourceArns` parâmetro da `GenerateEmbedUrlForAnonymousUser` API. Os usuários anônimos terão acesso a qualquer tema que esteja listado no parâmetro `AuthorizedResourceArns`.
## Interface para métodos do SDK
**Métodos “setter”**
A tabela apresentada a seguir descreve diferentes métodos “setter” que os desenvolvedores podem usar para os temas de runtime.
| Método | Description |
| --- | --- |
| `setTheme(themeArn: string)` | Substitui o tema ativo de um painel ou de um elemento visual por outro tema. Se aplicado, a substituição do tema será removida. Um erro será retornado se você não tiver acesso ao tema ou se o tema não existir. |
| `setThemeOverride(themeOverride: ThemeConfiguration)` | Define uma `ThemeConfiguration` dinâmica para substituir o tema ativo atual. Isso substitui a substituição do tema definida anteriormente. Quaisquer valores que não são fornecidos na nova `ThemeConfiguration` serão padronizados para os valores do tema ativo no momento. Um erro será retornado se a `ThemeConfiguration` fornecida for inválida. |
## Inicialização de conteúdo incorporado com um tema
Para inicializar um painel ou um elemento visual incorporado com um tema que não corresponde ao padrão, defina um objeto `themeOptions` nos parâmetros `DashboardContentOptions` ou `VisualContentOptions`, e configure a propriedade `themeArn` em `themeOptions` com o ARN do tema desejado.
O exemplo apresentado a seguir inicializa um painel incorporado com o tema `MIDNIGHT`.
```
import { createEmbeddingContext } from 'amazon-quicksight-embedding-sdk';
const embeddingContext = await createEmbeddingContext();
const {
embedDashboard,
} = embeddingContext;
const frameOptions = {
url: '',
container: '#experience-container',
};
const contentOptions = {
themeOptions: {
themeArn: "arn:aws:quicksight::aws:theme/MIDNIGHT"
}
};
// Embedding a dashboard experience
const embeddedDashboardExperience = await embedDashboard(frameOptions, contentOptions);
```
## Inicialização de conteúdo incorporado com uma substituição de tema
Os desenvolvedores podem usar substituições de tema para definir o tema de um painel ou de um elemento visual incorporado durante o runtime. Isso permite que o painel ou o visual herde um tema de um aplicativo de terceiros sem a necessidade de pré-configurar um tema no Amazon Quick Sight. Para inicializar um painel ou um elemento visual incorporado com uma substituição de tema, defina a propriedade `themeOverride` em `themeOptions` nos parâmetros `DashboardContentOptions` ou `VisualContentOptions`. O exemplo apresentado a seguir substitui a fonte do tema de um painel, alterando da fonte padrão para `Amazon Ember`.
```
import { createEmbeddingContext } from 'amazon-quicksight-embedding-sdk';
const embeddingContext = await createEmbeddingContext();
const {
embedDashboard,
} = embeddingContext;
const frameOptions = {
url: '',
container: '#experience-container',
};
const contentOptions = {
themeOptions: {
"themeOverride":{"Typography":{"FontFamilies":[{"FontFamily":"Comic Neue"}]}}
}
};
// Embedding a dashboard experience
const embeddedDashboardExperience = await embedDashboard(frameOptions, contentOptions);
```
## Inicialização de conteúdo incorporado com temas carregados previamente
Os desenvolvedores podem configurar um conjunto de temas de painel para serem carregados previamente na inicialização. Isso é especialmente útil para alternar rapidamente entre diferentes modos de visualização, como os modos escuro e claro. Um painel ou um elemento visual incorporado pode ser inicializado com até cinco temas carregados previamente. Para usar temas carregados previamente, defina a propriedade `preloadThemes` em `DashboardContentOptions` ou em `VisualContentOptions` com uma matriz que contém até cinco `themeArns`. O exemplo apresentado a seguir carrega previamente os temas padrão `Midnight` e `Rainier` para um painel.
```
import { createEmbeddingContext } from 'amazon-quicksight-embedding-sdk';
const embeddingContext = await createEmbeddingContext();
const {
embedDashboard,
} = embeddingContext;
const frameOptions = {
url: '',
container: '#experience-container',
};
const contentOptions = {
themeOptions: {
"preloadThemes": ["arn:aws:quicksight::aws:theme/RAINIER", "arn:aws:quicksight::aws:theme/MIDNIGHT"]
}
};
// Embedding a dashboard experience
const embeddedDashboardExperience = await embedDashboard(frameOptions, contentOptions);
```
# Usando o Amazon Quick Sight Embedding SDK para permitir links compartilháveis para visualizações de painéis incorporadas
Os desenvolvedores do Amazon Quick Sight podem usar o Amazon Quick Sight Embedding SDK (versão 2.8.0 e superior) para permitir que os leitores de painéis incorporados recebam e distribuam links compartilháveis para sua visualização de um painel incorporado. Os desenvolvedores podem usar a incorporação do painel ou do console para gerar um link compartilhável para a página do aplicativo com a referência do Amazon Quick Sight encapsulada usando o SDK do Amazon Quick Sight Embedding. Os leitores do Amazon Quick Sight podem então enviar esse link compartilhável para seus colegas. Quando seus colegas acessam o link compartilhado, eles são direcionados para a página no aplicativo que contém o painel incorporado do Amazon Quick Sight. Os desenvolvedores também podem gerar e salvar links compartilháveis de visualizações do painel que podem ser usados como favoritos para leitores anônimos do Amazon Quick Sight ao usar a incorporação anônima.
**Pré-requisitos**
Antes de começar, verifique se você está usando o Amazon Quick Sight Embedding SDK versão 2.8.0 ou superior
**Topics**
+ [Habilitando a configuração de `SharedView` recursos para análises incorporadas do Amazon Quick Sight](embedded-view-sharing-set-up.md)
+ [Criação de uma visualização compartilhada com a `createSharedView` API Amazon Quick Sight](embedded-view-sharing-sdk-create.md)
+ [Consumindo uma visualização compartilhada do Amazon Quick Sight](embedded-view-sharing-sdk-consume.md)
# Habilitando a configuração de `SharedView` recursos para análises incorporadas do Amazon Quick Sight
Ao criar uma instância incorporada com a API Amazon Quick Sight, defina o valor de `SharedView` na `FeatureConfigurations` carga útil como`true`, conforme mostrado no exemplo abaixo. `SharedView`substitui as `StatePersistence` configurações para usuários registrados que acessam painéis incorporados. Se um usuário de painel tiver `StatePersistence` desabilitado e `SharedView` habilitado, o estado dele será mantido.
```
const generateNewEmbedUrl = async () => {
const generateUrlPayload = {
experienceConfiguration: {
QuickSightConsole: {
FeatureConfigurations: {
"SharedView": {
"Enabled": true
},
},
},
}
const result: GenerateEmbedUrlResult = await generateEmbedUrlForRegisteredUser(generateUrlPayload);
return result.url;
};
```
# Criação de uma visualização compartilhada com a `createSharedView` API Amazon Quick Sight
Após atualizar o SDK de incorporação para a versão 2.8.0 ou para versões superiores, use a API `createSharedView` para criar uma nova visualização compartilhada. Registre o `sharedViewId` e o `dashboardId` retornados pela operação. O exemplo apresentado abaixo cria uma nova visualização compartilhada.
```
const response = await embeddingFrame.createSharedView();
const sharedViewId = response.message.sharedViewId;
const dashboardId = response.message.dashboardId;
```
O método `createSharedView` pode ser chamado somente quando um usuário estiver visualizando um painel. Para a criação de visualizações compartilhadas específicas para o console, certifique-se de que os usuários estejam na página do painel antes de habilitar a ação `createSharedView`. Isso pode ser feito com o evento `PAGE_NAVIGATION`, como mostrado no exemplo abaixo.
```
const contentOptions = {
onMessage: async (messageEvent, metadata) => {
switch (messageEvent.eventName) {
case 'CONTENT_LOADED': {
console.log("Do something when the embedded experience is fully loaded.");
break;
}
case 'ERROR_OCCURRED': {
console.log("Do something when the embedded experience fails loading.");
break;
}
case 'PAGE_NAVIGATION': {
setPageType(messageEvent.message.pageType);
if (messageEvent.message.pageType === 'DASHBOARD') {
setShareEnabled(true);
} else {
setShareEnabled(false);
}
break;
}
}
}
};
```
# Consumindo uma visualização compartilhada do Amazon Quick Sight
Após criar uma nova visualização compartilhada, use o SDK de incorporação para tornar a visualização compartilhada disponível para o consumo para outros usuários. Os exemplos abaixo configuram uma visualização compartilhada consumível para um painel incorporado no Amazon Quick Sight.
------
#### [ With an appended URL ]
Anexe o `sharedViewId` ao URL incorporado, em ` /views/{viewId}`, e compartilhe esse URL com os seus usuários. Os usuários podem usar esse URL para navegar até essa visualização compartilhada.
```
const response = await dashboardFrame.createSharedView();
const newEmbedUrl = await generateNewEmbedUrl();
const formattedUrl = new URL(newEmbedUrl);
formattedUrl.pathname = formattedUrl.pathname.concat('/views/' + response.message.sharedViewId);
const baseUrl = formattedUrl.href;
alert("Click to view this QuickSight shared view", baseUrl);
```
------
#### [ With the contentOptions SDK ]
Forneça um `viewId` nas `contentOptions` para abrir a experiência com o `viewId` indicado.
```
const contentOptions = {
toolbarOptions: {
...
},
viewId: sharedViewId,
};
const embeddedDashboard = await embeddingContext.embedDashboard(
{container: containerRef.current},
contentOptions
);
```
------
#### [ With the InitialPath property ]
```
const shareView = async() => {
const returnValue = await consoleFrame.createSharedView();
const {dashboardId, sharedViewId} = returnValue.message;
const newEmbedUrl = await generateNewEmbedUrl(`/dashboards/${dashboardId}/views/${sharedViewId}`);
setShareUrl(newEmbedUrl);
};
const generateNewEmbedUrl = async (initialPath) => {
const generateUrlPayload = {
experienceConfiguration: {
QuickSightConsole: {
InitialPath: initialPath,
FeatureConfigurations: {
"SharedView": {
"Enabled": true
},
},
},
}
const result: GenerateEmbedUrlResult = await generateEmbedUrlForRegisteredUser(generateUrlPayload);
return result.url;
};
```
------
# Incorporando imagens e painéis do Amazon Quick Sight com um código de incorporação de 1 clique
Você pode incorporar um elemento visual ou um painel em sua aplicação usando um código de incorporação. Você recebe esse código ao compartilhar o painel ou a partir do menu **visual Embed** no Amazon Quick Sight.
É possível incorporar um elemento visual ou um painel em sua aplicação interna para os usuários registrados. Ou você pode ativar o compartilhamento público no console do Amazon Quick Sight. Fazer isso concede a qualquer pessoa na Internet acesso a um elemento visual ou a um painel compartilhado que está incorporado em uma aplicação pública, página wiki ou portal.
A seguir, você encontrará descrições sobre como incorporar elementos visuais e painéis usando o código de incorporação com um clique para elementos visuais ou painéis.
**Topics**
+ [Incorporação de imagens e painéis do Amazon Quick Sight para usuários registrados com um código de incorporação de 1 clique](embedded-analytics-1-click.md)
+ [Incorporação de imagens e painéis do Amazon Quick Sight para usuários anônimos com um código de incorporação de 1 clique](embedded-analytics-1-click-public.md)
# Incorporação de imagens e painéis do Amazon Quick Sight para usuários registrados com um código de incorporação de 1 clique
| |
| --- |
| Aplica-se a: Enterprise Edition |
Você pode incorporar um visual ou um painel em seu aplicativo interno para usuários registrados da sua conta Amazon Quick Sight. Você faz isso usando o código de incorporação obtido ao compartilhar o painel ou a partir do menu **visual Incorporar** no Amazon Quick Sight. Você não precisa executar a API de incorporação do Amazon Quick Sight para gerar o código de incorporação. Você pode copiar o código incorporado do Amazon Quick Sight e colá-lo no código HTML do seu aplicativo interno.
Quando usuários e grupos (ou todos os usuários da sua conta do Amazon Quick Sight) que têm acesso ao painel que você deseja incorporar ou que contém a imagem que você deseja incorporar acessam seu aplicativo interno, eles são solicitados a entrar na conta do Amazon Quick Sight com suas credenciais. Depois de autenticados, eles podem acessar o elemento visual ou o painel na página interna. Se o logon único estiver ativado, os usuários não serão solicitados a fazer login novamente.
A seguir, você encontrará descrições sobre como incorporar um elemento visual ou um painel para usuários registrados usando o código de incorporação para elementos visuais ou painéis.
## Antes de começar
Antes de começar a usar, certifique-se do seguinte:
+ As configurações do navegador da Internet contêm um dos seguintes itens para permitir a comunicação entre o pop-up e o iframe:
+ Suporte nativo para a API Broadcast Channel do Mozilla. Para obter mais informações, consulte a [API Broadcast Channel](https://developer.mozilla.org/en-US/docs/Web/API/Broadcast_Channel_API) na documentação do Mozilla.
+ Suporte para IndexedDB.
+ LocalStorage apoio.
+ A configuração de “bloquear todos os cookies” do seu navegador da Internet está desativada.
## Etapa 1: conceder acesso ao painel
Para que os usuários acessem o painel incorporado, conceda-lhes acesso para visualizá-lo. É possível conceder acesso a um painel para usuários e grupos individuais ou conceder acesso a todos os usuários em sua conta. As permissões de elementos visuais são determinadas no nível do painel. Para conceder acesso a elementos visuais incorporados, conceda acesso ao painel ao qual o elemento visual pertence. Para obter mais informações, consulte [Como conceder acesso a um painel](share-a-dashboard.md).
## Etapa 2: estabelecer o domínio no local em que você deseja incorporar o elemento visual ou o painel em sua lista de permissões
Para incorporar imagens e painéis em seu aplicativo interno, certifique-se de que o domínio em que você está incorporando esteja listado como permitido na sua conta do Amazon Quick Sight. Para obter mais informações, consulte [Domínios estáticos de lista de permissões](manage-domains.md#embedding-static).
## Etapa 3: obter o código de incorporação
Use o procedimento apresentado a seguir para obter o código de incorporação para o elemento visual ou para o painel.
**Obter o código de incorporação para o painel**
1. Abra o painel publicado no Amazon Quick Sight e escolha **Compartilhar** no canto superior direito. Em seguida, escolha **Compartilhar painel**.
1. Na página **Compartilhar painel** que é aberta, escolha **Copiar código de incorporação** no canto superior esquerdo.
O código de incorporação é copiado para a área de transferência e se assemelha ao apresentado a seguir. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
```
**Obter o código de incorporação para o elemento visual**
1. Abra o painel publicado no Amazon Quick Sight e escolha o visual que você deseja incorporar. Em seguida, abra o menu do elemento visual no canto superior direito do elemento visual e escolha **Incorporar elemento visual**.
1. No painel **Incorporar elemento visual** que é aberto, escolha **Copiar código**.
O código de incorporação é copiado para a área de transferência e se assemelha ao apresentado a seguir. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
```
## Etapa 4: colar o código na página HTML da aplicação interna
Use o procedimento apresentado a seguir para colar o código de incorporação na página HTML da aplicação interna.
**Colar o código na página HTML da aplicação interna**
+ Abra o código HTML para qualquer página na qual você deseja incorporar o painel e cole o código de incorporação.
O exemplo a seguir mostra como um painel incorporado se assemelharia. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
Example.com - Employee Portal
Current shipment stats
```
O exemplo a seguir mostra como um elemento visual incorporado se assemelharia. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
Example.com - Employee Portal
Current shipment stats
```
Por exemplo, digamos que você deseje incorporar o elemento visual ou o painel em uma página interna do Google Sites. Você pode abrir a página no Google Sites e colar o código de incorporação em um widget de incorporação.
Se quiser incorporar seu visual ou painel em um SharePoint site interno da Microsoft, você pode criar uma nova página e, em seguida, colar o código de incorporação em uma peça Web de incorporação.
# Incorporação de imagens e painéis do Amazon Quick Sight para usuários anônimos com um código de incorporação de 1 clique
| |
| --- |
| Aplica-se a: Enterprise Edition |
Você pode incorporar um visual ou painel em sites públicos usando o código de incorporação obtido ao compartilhar o visual ou o painel no Amazon Quick Sight. Você também pode ativar o compartilhamento público usando o console Amazon Quick Sight e conceder automaticamente acesso a um painel ou visual compartilhado para qualquer pessoa na Internet.
A seguir, você descobrirá como ativar o compartilhamento público de um elemento visual ou de um painel e incorporar o elemento visual ou o painel para que qualquer pessoa na Internet visualize. Em ambos os casos, você faz isso usando o código de incorporação com um clique.
## Antes de começar
Antes de começar a usar, certifique-se do seguinte:
+ As configurações do navegador da Internet contêm um dos seguintes itens para permitir a comunicação entre o pop-up e o iframe usado pelo compartilhamento:
+ Suporte nativo para a API Broadcast Channel do Mozilla. Para obter mais informações, consulte a [API Broadcast Channel](https://developer.mozilla.org/en-US/docs/Web/API/Broadcast_Channel_API) na documentação do Mozilla.
+ Suporte para IndexedDB.
+ LocalStorage apoio.
+ A configuração de “bloquear todos os cookies” do seu navegador da Internet está desativada.
## Etapa 1: ativar o acesso público para o painel
Para que qualquer pessoa na Internet acesse seu elemento visual ou seu painel incorporado, primeiro é necessário ativar o acesso público para o painel. As permissões de elementos visuais são determinadas no nível do painel. Para conceder acesso a elementos visuais incorporados, conceda acesso ao painel ao qual o elemento visual pertence. Para obter mais informações, consulte [Conceder a qualquer pessoa na Internet acesso a um painel do Amazon Quick Sight](share-a-dashboard-grant-access-anyone.md).
## Etapa 2: estabelecer o domínio no local em que você deseja incorporar o elemento visual ou o painel em sua lista de permissões
Para incorporar imagens e painéis em um aplicativo público, wiki ou portal, certifique-se de que o domínio em que você os está incorporando esteja na lista de permissões da sua conta do Amazon Quick Sight.
## Etapa 3: obter o código de incorporação
Use o procedimento apresentado a seguir para obter o código de incorporação para o elemento visual ou para o painel.
**Obter o código de incorporação para o painel**
1. Abra o painel publicado no Amazon Quick Sight e escolha **Compartilhar** no canto superior direito. Em seguida, escolha **Compartilhar painel**.
1. Na página **Compartilhar painel** que é aberta, escolha **Copiar código de incorporação** no canto superior esquerdo.
O código de incorporação é copiado para a área de transferência e se assemelha ao apresentado a seguir. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
```
**Obter o código de incorporação para o elemento visual**
1. Abra o painel publicado no Amazon Quick Sight e escolha o visual que você deseja incorporar. Em seguida, abra o menu do elemento visual no canto superior direito do elemento visual e escolha **Incorporar elemento visual**.
1. No painel **Incorporar elemento visual** que é aberto, escolha **Copiar código**.
O código de incorporação é copiado para a área de transferência e se assemelha ao apresentado a seguir. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
```
## Etapa 4: colar o código de incorporação em uma página HTML, página wiki ou portal
Use o procedimento apresentado a seguir para colar o código de incorporação em uma página HTML, página wiki ou portal.
**Colar o código de incorporação**
+ Abra o código HTML do local em que você deseja incorporar o elemento visual ou o painel e cole o código de incorporação.
O exemplo a seguir mostra como um painel incorporado se assemelharia. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
Example.com - Employee Portal
Current shipment stats
```
O exemplo a seguir mostra como um elemento visual incorporado se assemelharia. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
Example.com - Employee Portal
Current shipment stats
```
Se as aplicações públicas forem desenvolvidas no Google Sites, abra a página no Google Sites e, em seguida, cole o código de incorporação usando o widget de incorporação.
Certifique-se de que os seguintes domínios no Amazon Quick Sight estejam na sua lista de permissões ao incorporar no Google Sites:
+ `https://googleusercontent.com` (ativação de subdomínios)
+ `https://www.gstatic.com`
+ `https://sites.google.com`
Depois de incorporar o elemento visual ou o painel em sua aplicação, qualquer pessoa com acesso à aplicação poderá acessar o elemento visual ou o painel incorporado. Para atualizar um painel compartilhado com o público, consulte [Atualização de um painel compartilhado publicamente](share-a-dashboard-grant-access-anyone-update.md). Para desativar o compartilhamento público, consulte [Desativação das configurações de compartilhamento público](share-a-dashboard-grant-access-anyone-no-share.md).
Quando você desativa o compartilhamento público, ninguém na Internet pode acessar um painel ou os painéis que você incorporou em uma aplicação pública ou que você compartilhou usando um link. Na próxima vez que alguém tentar visualizar esse painel na Internet, receberá uma mensagem informando que não tem acesso para visualizá-lo.
# Incorporação com o Amazon Quick Sight APIs
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Há apenas algumas etapas envolvidas no processo real de incorporação de análises usando o Amazon Quick Sight APIs.
Antes de começar, certifique-se de ter os seguintes itens em vigor:
+ Configure as permissões necessárias do IAM para a identidade do chamador usada pelo seu aplicativo que usará o AWS SDK para fazer chamadas de API. Por exemplo, conceda permissão para possibilitar a ação `quicksight:GenerateEmbedUrlForAnonymousUser` ou `quicksight:GenerateEmbedUrlForRegisteredUser`.
+ Para incorporar para usuários registrados, compartilhe previamente os ativos do Amazon Quick Sight com eles. Para novos usuários autenticados, saiba como conceder acesso aos ativos. Uma forma de fazer isso é adicionar todos os ativos a uma pasta do Amazon Quick Sight. Se você preferir usar a API Amazon Quick Sight, use as operações de `UpdateDashboardPermissions` API `DescribeDashboardPermissions` e. Para obter mais informações, consulte [DescribeDashboardPermissions](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeDashboardPermissions.html)ou [UpdateDashboardPermissions](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDashboardPermissions.html)na *Amazon Quick API Reference*. Se desejar compartilhar o painel com todos os usuários em um namespace ou em um grupo, você poderá compartilhar o painel com `namespace` ou com `group`.
+ Se você estiver realizando a incorporação de painéis, certifique-se de ter o ID dos painéis que deseja incorporar. O ID do painel corresponde ao código no URL do painel. Também é possível obtê-lo no URL do painel.
+ Um administrador do Amazon Quick Sight deve habilitar explicitamente os domínios nos quais você planeja incorporar suas análises do Amazon Quick Sight. Você pode fazer isso usando o **Manage Amazon Quick Sight**, **Domains and Embedding** no menu de perfil, ou você pode usar o `AllowedDomains` parâmetro de uma chamada de `GenerateEmbedUrlForRegisteredUser` API `GenerateEmbedUrlForAnonymousUser` ou API.
Essa opção só é visível para administradores do Amazon Quick Sight. Você também pode adicionar subdomínios como parte de um domínio. Para obter mais informações, consulte [Permita a listagem de domínios em tempo de execução com a Amazon Quick API](manage-domains.md#embedding-run-time).
Todos os domínios na sua lista de permissões estáticas (como desenvolvimento, preparação e produção) devem ser permitidos explicitamente e devem usar HTTPS. Você pode adicionar até cem domínios à lista de permissões. Você pode adicionar domínios em tempo de execução com as operações da API Amazon Quick Sight.
Depois que todos os pré-requisitos estiverem concluídos, a incorporação do Amazon Quick Sight envolve as seguintes etapas, que serão explicadas mais detalhadamente posteriormente:
1. Para a autenticação, use o servidor de aplicações para autenticar o usuário. Após a autenticação em seu servidor, gere a URL do painel incorporado usando o AWS SDK de que você precisa.
1. Em seu portal web ou aplicativo, incorpore o Amazon Quick Sight usando a URL gerada. Para simplificar esse processo, você pode usar o Amazon Quick Sight Embedding SDK, disponível no [NPMJS](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) e. [GitHub](https://github.com/awslabs/amazon-quicksight-embedding-sdk) Esse JavaScript SDK personalizado foi projetado para ajudá-lo a integrar com eficiência o Amazon Quick Sight às páginas do seu aplicativo, definir padrões, conectar controles, obter retornos de chamada e lidar com erros.
Você pode usar registros AWS CloudTrail de auditoria para obter informações sobre o número de painéis incorporados, usuários de uma experiência incorporada e taxas de acesso.
**Topics**
+ [Incorporação de painéis do Amazon Quick Sight com a API do Amazon Quick Sight](embedding-dashboards.md)
+ [Incorporando imagens do Amazon Quick Sight com o Amazon Quick Sight APIs](embedding-visuals.md)
+ [Incorporando a funcionalidade completa do console Amazon Quick Sight para usuários registrados](embedded-analytics-full-console-for-authenticated-users.md)
+ [Incorporando o Amazon Q na experiência generativa de perguntas e respostas do Amazon Quick Sight](embedding-gen-bi.md)
+ [Incorporando a barra de pesquisa Amazon Quick Sight Q (Classic)](embedding-quicksight-q.md)
+ [Como incorporar analytics usando as operações de API GetDashboardEmbedURL e GetSessionEmbedURL](embedded-analytics-deprecated.md)
# Incorporação de painéis do Amazon Quick Sight com a API do Amazon Quick Sight
Use os tópicos a seguir para aprender sobre a incorporação de painéis com a API Amazon Quick Sight.
**Topics**
+ [Incorporação de painéis do Amazon Quick Sight para usuários registrados](embedded-analytics-dashboards-for-authenticated-users.md)
+ [Incorporação de painéis do Amazon Quick Sight para usuários anônimos (não registrados)](embedded-analytics-dashboards-for-everyone.md)
+ [Como habilitar resumos executivos em painéis incorporados](embedded-analytics-genbi-executive-summaries-dashboard.md)
# Incorporação de painéis do Amazon Quick Sight para usuários registrados
**Importante**
O Amazon Quick Sight tem novas operações de API para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar as operações de `GetSessionEmbedUrl` API `GetDashboardEmbedUrl` e as operações de API para incorporar painéis e o console do Amazon Quick Sight, mas elas não contêm os recursos de incorporação mais recentes. Para obter mais informações sobre incorporação usando as operações de API antigas, consulte [Incorporação de análises usando as operações de GetSessionEmbedURL API GetDashboardEmbedURL e](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics-deprecated.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar painéis incorporados do Amazon Quick Sight para usuários registrados do Amazon Quick Sight.
**Topics**
+ [Etapa 1: configurar permissões](#embedded-dashboards-for-authenticated-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-dashboards-for-authenticated-users-step-2)
+ [Etapa 3: incorporar o URL do painel](#embedded-dashboards-for-authenticated-users-step-3)
## Etapa 1: configurar permissões
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um painel assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o painel. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico. Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico ou para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForRegisteredUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForRegisteredUser`. O parâmetro `AllowedDomains` é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Manage **Amazon Quick Sight**. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar o URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios que estão listados no parâmetro podem acessar o elemento visual incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O modelo de política a seguir fornece essas permissões.
Além disso, se você estiver criando usuários iniciantes que serão leitores do Amazon Quick Sight, certifique-se de adicionar a `quicksight:RegisterUser` permissão na política.
O exemplo de política a seguir fornece permissão para recuperar uma URL de incorporação para usuários iniciantes que serão leitores do Amazon Quick Sight.
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessa seu aplicativo, ele pode assumir a função em nome do usuário e provisionar o usuário no Amazon Quick Sight. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do *Guia do usuário do IAM: *
+ [Criação de uma função para identidades da Web ou federação do OpenID Connect (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Criação de uma função para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
## Etapa 2: gerar o URL com o código de autenticação anexado
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do painel incorporável em seu servidor de aplicações. Se você planeja incorporar painéis para os tipos de identidade IAM ou Amazon Quick Sight, compartilhe o painel com os usuários.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução dessas etapas garante que cada visualizador do painel seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult;
import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.RegisteredUserDashboardEmbeddingConfiguration;
/**
* Class to call QuickSight AWS SDK to get url for dashboard embedding.
*/
public class GetQuicksightEmbedUrlRegisteredUserDashboardEmbedding {
private final AmazonQuickSight quickSightClient;
public GetQuicksightEmbedUrlRegisteredUserDashboardEmbedding() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId, // AWS Account ID
final String dashboardId, // Dashboard ID to embed
final List allowedDomains, // Runtime allowed domain for embedding
final String userArn // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find out how to get user arn for a QuickSight user.
) throws Exception {
final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration()
.withDashboard(new RegisteredUserDashboardEmbeddingConfiguration().withInitialDashboardId(dashboardId));
final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest();
generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId);
generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn);
generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains);
generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(experienceConfiguration);
final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest);
return generateEmbedUrlForRegisteredUserResult.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForRegisteredUser(
accountId,
dashboardId,
openIdToken, // Cognito-based token
userArn, // registered user arn
roleArn, // IAM user role to use for embedding
sessionName, // Session name for the roleArn assume role
allowedDomains, // Runtime allowed domain for embedding
getEmbedUrlCallback, // GetEmbedUrl success callback method
errorCallback // GetEmbedUrl error callback method
) {
const stsClient = new AWS.STS();
let stsParams = {
RoleSessionName: sessionName,
WebIdentityToken: openIdToken,
RoleArn: roleArn
}
stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) {
if (err) {
console.log('Error assuming role');
console.log(err, err.stack);
errorCallback(err);
} else {
const getDashboardParams = {
"AwsAccountId": accountId,
"ExperienceConfiguration": {
"Dashboard": {
"InitialDashboardId": dashboardId
}
},
"UserArn": userArn,
"AllowedDomains": allowedDomains,
"SessionLifetimeInMinutes": 600
};
const quicksightClient = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
expiration: data.Credentials.Expiration
}
});
quicksightClient.generateEmbedUrlForRegisteredUser(getDashboardParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // Use your website domain to secure access to GetEmbedUrl API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: AWS account ID
# dashboardId: Dashboard ID to embed
# userArn: arn of registered user
# allowedDomains: Runtime allowed domain for embedding
# roleArn: IAM user role to use for embedding
# sessionName: session name for the roleArn assume role
def getEmbeddingURL(accountId, dashboardId, userArn, allowedDomains, roleArn, sessionName):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2')
response = quicksightClient.generate_embed_url_for_registered_user(
AwsAccountId=accountId,
ExperienceConfiguration = {
"Dashboard": {
"InitialDashboardId": dashboardId
}
},
UserArn = userArn,
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embedding url: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForRegisteredUser({
'AwsAccountId': '111122223333',
'ExperienceConfiguration': {
'Dashboard': {
'InitialDashboardId': '1c1fe111-e2d2-3b30-44ef-a0e111111cde'
}
},
'UserArn': 'REGISTERED_USER_ARN',
'AllowedDomains': allowedDomains,
'SessionLifetimeInMinutes': 100
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
Status: 200,
EmbedUrl: 'https://quicksightdomain/embed/12345/dashboards/67890...'
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713'
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateDashboardEmbedUrlForRegisteredUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
RegisteredUserDashboardEmbeddingConfiguration registeredUserDashboardEmbeddingConfiguration
= new RegisteredUserDashboardEmbeddingConfiguration
{
InitialDashboardId = "dashboardId"
};
RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration
{
Dashboard = registeredUserDashboardEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest
{
AwsAccountId = "111122223333",
ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration,
UserArn = "REGISTERED_USER_ARN",
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 100
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForRegisteredUser`. Se você estiver adotando uma just-in-time abordagem para adicionar usuários quando eles abrem um painel pela primeira vez, a função também precisa de permissões habilitadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_dashboard_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem o painel.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [Referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o seu usuário for autenticado por meio do Microsoft AD, você não precisará usar `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para usuários do Microsoft AD, você pode usar o `DescribeUser` para obter o ARN do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo com o qual o painel é compartilhado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_dashboard_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso ao painel.
Por fim, obtenha um signed URL para o painel, chame o `generate-embed-url-for-registered-user` partir do servidor de aplicativo. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar a URL para um painel incorporado usando uma chamada do lado do servidor para usuários autenticados por meio de um login único ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight generate-embed-url-for-registered-user \
--aws-account-id 111122223333 \
--session-lifetime-in-minutes 600 \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_visual_role/embeddingsession \
--allowed-domains '["domain1","domain2"]' \
--experience-configuration Dashboard={InitialDashboardId=1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89}
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL do painel
Na seção a seguir, você pode descobrir como usar o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript) para incorporar a URL do painel a partir da etapa 3 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Coloque o painel em uma página HTML.
+ Adicione parâmetros ao painel.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GenerateEmbedUrlForRegisteredUser` para gerar o URL que você pode incorporar à aplicação. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-registered-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890..",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse painel em sua página da web usando o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado à medida que o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros no painel e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O domínio que hospedará os painéis incorporados deverá estar na *lista de permissão*, a lista de domínios aprovados para a sua assinatura do Quick . Esse requisito protege seus dados, impedindo que domínios não aprovados hospedem painéis incorporados. Para obter mais informações sobre a adição de domínios para painéis incorporados, consulte [Permitir a listagem de domínios em tempo de execução com a API Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedding-run-time.html) Sight.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
### SDK 2.0
```
Dashboard Embedding Example
```
### SDK 1.0
```
Basic Embed
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o painel incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Incorporação de painéis do Amazon Quick Sight para usuários anônimos (não registrados)
**Importante**
O Amazon Quick Sight tem novas operações de API para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar as operações de `GetSessionEmbedUrl` API `GetDashboardEmbedUrl` e as operações de API para incorporar painéis e o console do Amazon Quick Sight, mas elas não contêm os recursos de incorporação mais recentes. Para obter mais informações sobre incorporação usando as operações de API antigas, consulte [Incorporação de análises usando as operações de GetSessionEmbedURL API GetDashboardEmbedURL e](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics-deprecated.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar painéis incorporados do Amazon Quick Sight para usuários anônimos (não registrados).
**Topics**
+ [Etapa 1: configurar permissões](#embedded-analytics-dashboards-with-anonymous-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-analytics-dashboards-with-anonymous-users-step-2)
+ [Etapa 3: incorporar o URL do painel](#embedded-analytics-dashboards-with-anonymous-users-step-3)
## Etapa 1: configurar permissões
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um painel assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o painel. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Manage **Amazon Quick Sight**. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O exemplo de política apresentado a seguir fornece essas permissões para uso com `GenerateEmbedUrlForAnonymousUser`. Para que essa abordagem funcione, você também precisa de um pacote de sessões, ou de uma definição de preço da capacidade de sessão, para sua Conta da AWS. Caso contrário, quando um usuário tentar acessar o painel, o erro `UnsupportedPricingPlanException` será retornado.
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário para abrir o painel. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) no *Guia do usuário do IAM*.
## Etapa 2: gerar o URL com o código de autenticação anexado
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção apresentada a seguir, você descobrirá como realizar a autenticação em nome do visitante anônimo e obter o URL do painel incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Um identificador é transferido como o ID exclusivo de sessão do usuário. Este código é executado no servidor da aplicação.
### Java
```
import java.util.List;
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.RegisteredUserDashboardEmbeddingConfiguration;
import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult;
import com.amazonaws.services.quicksight.model.SessionTag;
/**
* Class to call QuickSight AWS SDK to generate embed url for anonymous user.
*/
public class GenerateEmbedUrlForAnonymousUserExample {
private final AmazonQuickSight quickSightClient;
public GenerateEmbedUrlForAnonymousUserExample() {
quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String GenerateEmbedUrlForAnonymousUser(
final String accountId, // YOUR AWS ACCOUNT ID
final String initialDashboardId, // DASHBOARD ID TO WHICH THE CONSTRUCTED URL POINTS.
final String namespace, // ANONYMOUS EMBEDDING REQUIRES SPECIFYING A VALID NAMESPACE FOR WHICH YOU WANT THE EMBEDDING URL
final List authorizedResourceArns, // DASHBOARD ARN LIST TO EMBED
final List allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING
final List sessionTags // SESSION TAGS USED FOR ROW-LEVEL SECURITY
) throws Exception {
AnonymousUserEmbeddingExperienceConfiguration experienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration();
AnonymousUserDashboardEmbeddingConfiguration dashboardConfiguration = new AnonymousUserDashboardEmbeddingConfiguration();
dashboardConfiguration.setInitialDashboardId(initialDashboardId);
experienceConfiguration.setDashboard(dashboardConfiguration);
GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest = new GenerateEmbedUrlForAnonymousUserRequest()
.withAwsAccountId(accountId)
.withNamespace(namespace)
.withAuthorizedResourceArns(authorizedResourceArns)
.withExperienceConfiguration(experienceConfiguration)
.withSessionTags(sessionTags)
.withSessionLifetimeInMinutes(600L); // OPTIONAL: VALUE CAN BE [15-600]. DEFAULT: 600
.withAllowedDomains(allowedDomains);
GenerateEmbedUrlForAnonymousUserResult dashboardEmbedUrl = quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest);
return dashboardEmbedUrl.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForAnonymousUser(
accountId, // YOUR AWS ACCOUNT ID
initialDashboardId, // DASHBOARD ID TO WHICH THE CONSTRUCTED URL POINTS
quicksightNamespace, // VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
authorizedResourceArns, // DASHBOARD ARN LIST TO EMBED
allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING
sessionTags, // SESSION TAGS USED FOR ROW-LEVEL SECURITY
generateEmbedUrlForAnonymousUserCallback, // GENERATEEMBEDURLFORANONYMOUSUSER SUCCESS CALLBACK METHOD
errorCallback // GENERATEEMBEDURLFORANONYMOUSUSER ERROR CALLBACK METHOD
) {
const experienceConfiguration = {
"DashboardVisual": {
"InitialDashboardVisualId": {
"DashboardId": "dashboard_id",
"SheetId": "sheet_id",
"VisualId": "visual_id"
}
}
};
const generateEmbedUrlForAnonymousUserParams = {
"AwsAccountId": accountId,
"Namespace": quicksightNamespace,
"AuthorizedResourceArns": authorizedResourceArns,
"AllowedDomains": allowedDomains,
"ExperienceConfiguration": experienceConfiguration,
"SessionTags": sessionTags,
"SessionLifetimeInMinutes": 600
};
const quicksightClient = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: AccessKeyId,
secretAccessKey: SecretAccessKey,
sessionToken: SessionToken,
expiration: Expiration
}
});
quicksightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO THIS API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
generateEmbedUrlForAnonymousUserCallback(result);
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
quicksightClient = boto3.client('quicksight',region_name='us-west-2')
sts = boto3.client('sts')
# Function to generate embedded URL for anonymous user
# accountId: YOUR AWS ACCOUNT ID
# quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
# authorizedResourceArns: DASHBOARD ARN LIST TO EMBED
# allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING
# dashboardId: DASHBOARD ID TO WHICH THE CONSTRUCTED URL POINTS
# sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY
def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, dashboardId, sessionTags):
try:
response = quicksightClient.generate_embed_url_for_anonymous_user(
AwsAccountId = accountId,
Namespace = quicksightNamespace,
AuthorizedResourceArns = authorizedResourceArns,
AllowedDomains = allowedDomains,
ExperienceConfiguration = {
"Dashboard": {
"InitialDashboardId": dashboardId
}
},
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForAnonymousUser({
'AwsAccountId': '111122223333',
'Namespace' : 'default',
'AuthorizedResourceArns': authorizedResourceArns,
'AllowedDomains': allowedDomains,
'ExperienceConfiguration': experienceConfiguration,
'SessionTags': sessionTags,
'SessionLifetimeInMinutes': 600
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
Status: 200,
EmbedUrl: 'https://quicksightdomain/embed/12345/dashboards/67890..',
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713'
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
sessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest
{
AwsAccountId = "111122223333",
Namespace = default,
AuthorizedResourceArns = authorizedResourceArns,
AllowedDomains = allowedDomains,
ExperienceConfiguration = experienceConfiguration,
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600,
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando a Security Assertion Markup Language (SAML) para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForAnonymousUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::11112222333:role/QuickSightEmbeddingAnonymousPolicy" \
--role-session-name anonymous caller
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_dashboard_role/QuickSightEmbeddingAnonymousPolicy`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usar o ID exclusivo de sessão do perfil para cada usuário garante que as permissões apropriadas sejam definidas para todos os usuários visitantes. Essa ação também mantém cada sessão separada e distinta. Se você estiver usando uma série de servidores Web, por exemplo, para balanceamento de carga, e uma sessão for reconectada a um servidor diferente, uma nova sessão será iniciada.
Para obter um URL assinado para o painel, chame `generate-embed-url-for-anynymous-user` usando o servidor de aplicações. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar o URL para um painel incorporado usando uma chamada do lado do servidor para usuários que estão fazendo visitas anônimas ao seu portal da Web ou à sua aplicação.
```
aws quicksight generate-embed-url-for-anonymous-user \
--aws-account-id 111122223333 \
--namespace default-or-something-else \
--session-lifetime-in-minutes 15 \
--authorized-resource-arns '["dashboard-arn-1","dashboard-arn-2"]' \
--allowed-domains '["domain1","domain2"]' \
--session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \
--experience-configuration 'DashboardVisual={InitialDashboardVisualId={DashboardId=dashboard_id,SheetId=sheet_id,VisualId=visual_id}}'
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL do painel
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você pode descobrir como usar o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript) para incorporar a URL do painel a partir da etapa 2 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Coloque o painel em uma página HTML.
+ Adicione parâmetros ao painel.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GenerateEmbedUrlForAnynymousUser` para gerar o URL que você pode incorporar à aplicação. Este URL é válido por 5 minutos, e a sessão resultante é válida por 10 horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-anynymous-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890..",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse painel em sua página da web usando o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros no painel e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O domínio que hospedará os painéis incorporados deverá estar na *lista de permissão*, a lista de domínios aprovados para a sua assinatura do Quick . Esse requisito protege seus dados, impedindo que domínios não aprovados hospedem painéis incorporados. Para obter mais informações sobre a adição de domínios para painéis incorporados, consulte [Permitir a listagem de domínios em tempo de execução com a API Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedding-run-time.html) Sight.
O exemplo a seguir mostra como usar o URL gerado. Este código reside no seu servidor de aplicações.
### SDK 2.0
```
Dashboard Embedding Example
```
### SDK 1.0
```
Basic Embed
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o painel incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do Amazon Quick Sight Embedding SDK em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Como habilitar resumos executivos em painéis incorporados
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Você pode habilitar resumos executivos em seus painéis incorporados. Quando ativados, os usuários registrados podem gerar resumos executivos que fornecem um resumo de todos os insights que o Amazon Quick Sight gerou para o painel. Os resumos executivos permitem que os leitores encontrem com mais facilidade os principais insights e informações sobre um painel. Para obter mais informações sobre como os usuários geram um resumo executivo de um painel, consulte [Gerar um resumo executivo de um painel do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/use-executive-summaries.html).
**nota**
Os resumos executivos só estão disponíveis em painéis incorporados para usuários registrados e não podem ser habilitados em painéis incorporados para usuários anônimos ou não registrados.
**Para habilitar resumos executivos em painéis incorporados para usuários registrados**
+ Siga as etapas em [Incorporação de painéis do Amazon Quick Sight para que usuários registrados incorporem](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics-dashboards-for-authenticated-users.html) um painel com as seguintes alterações:
1. Ao gerar o URL na Etapa 2, `Enabled: true` defina o `ExecutiveSummary` parâmetro no [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)ou [GenerateEmbedUrlForRegisteredUserWithIdentity](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUserWithIdentity.html)conforme mostrado no exemplo a seguir:
```
ExperienceConfiguration: {
Dashboard: {
InitialDashboardId: dashboard_id,
FeatureConfigurations: {
AmazonQInQuickSight: {
ExecutiveSummary: {
Enabled: true
}
}
}
}
}
}
```
1. Ao incorporar o URL do painel com o Amazon Quick Sight Embedding SDK na Etapa 3, configure-o`contentOptions`, conforme mostrado `executiveSummary: true` no exemplo a seguir:
```
const contentOptions = {
toolbarOptions: {
executiveSummary: true
}
};
```
# Incorporando imagens do Amazon Quick Sight com o Amazon Quick Sight APIs
Você pode incorporar imagens individuais que fazem parte de um painel publicado em seu aplicativo com a API Amazon Quick Sight.
**Topics**
+ [Incorporação de imagens do Amazon Quick Sight para usuários registrados](embedded-analytics-visuals-for-authenticated-users.md)
+ [Incorporação de imagens do Amazon Quick Sight para usuários anônimos (não registrados)](embedded-analytics-visuals-for-everyone.md)
# Incorporação de imagens do Amazon Quick Sight para usuários registrados
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar imagens incorporadas do Amazon Quick Sight para usuários registrados do Amazon Quick Sight.
**Topics**
+ [Etapa 1: configurar permissões](#embedded-visuals-for-authenticated-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-visuals-for-authenticated-users-step-2)
+ [Etapa 3: incorporar o URL de um elemento visual](#embedded-visuals-for-authenticated-users-step-3)
## Etapa 1: configurar permissões
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um visual assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o visual. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico. Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico ou para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForRegisteredUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Manage **Amazon Quick Sight**. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O modelo de política a seguir fornece essas permissões.
Além disso, se você estiver criando usuários iniciantes que serão leitores do Amazon Quick Sight, certifique-se de adicionar a `quicksight:RegisterUser` permissão na política.
O exemplo de política a seguir fornece permissão para recuperar uma URL de incorporação para usuários iniciantes que serão leitores do Amazon Quick Sight.
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que quando um usuário acessa seu aplicativo, seu aplicativo pode assumir a função em nome do usuário e provisionar o usuário no Amazon Quick Sight. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do *Guia do usuário do IAM: *
+ [Criação de uma função para identidades da Web ou federação do OpenID Connect (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Criação de uma função para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
## Etapa 2: gerar o URL com o código de autenticação anexado
Na seção a seguir, você pode descobrir como autenticar seu usuário do Amazon Quick Sight e obter a URL visual incorporável em seu servidor de aplicativos. Se você planeja incorporar elementos visuais para os tipos de identidade IAM ou Amazon Quick Sight, compartilhe o visual com os usuários do Amazon Quick Sight.
Quando um usuário do Amazon Quick Sight acessa seu aplicativo, o aplicativo assume a função do IAM em nome do usuário do Amazon Quick Sight. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário do Amazon Quick Sight ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador do visual seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir realizam a autenticação do IAM em nome do usuário do Amazon Quick Sight. Este código é executado no servidor da aplicação.
### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.DashboardVisualId;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult;
import com.amazonaws.services.quicksight.model.RegisteredUserDashboardVisualEmbeddingConfiguration;
import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration;
import java.util.List;
/**
* Class to call QuickSight AWS SDK to get url for Visual embedding.
*/
public class GenerateEmbedUrlForRegisteredUserTest {
private final AmazonQuickSight quickSightClient;
public GenerateEmbedUrlForRegisteredUserTest() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String getEmbedUrl(
final String accountId, // AWS Account ID
final String dashboardId, // Dashboard ID of the dashboard to embed
final String sheetId, // Sheet ID of the sheet to embed
final String visualId, // Visual ID of the visual to embed
final List allowedDomains, // Runtime allowed domains for embedding
final String userArn // Registered user arn of the user that you want to provide embedded visual. Refer to Get Embed Url section in developer portal to find out how to get user arn for a QuickSight user.
) throws Exception {
final DashboardVisualId dashboardVisual = new DashboardVisualId()
.withDashboardId(dashboardId)
.withSheetId(sheetId)
.withVisualId(visualId);
final RegisteredUserDashboardVisualEmbeddingConfiguration registeredUserDashboardVisualEmbeddingConfiguration
= new RegisteredUserDashboardVisualEmbeddingConfiguration()
.withInitialDashboardVisualId(dashboardVisual);
final RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration()
.withDashboardVisual(registeredUserDashboardVisualEmbeddingConfiguration);
final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest
= new GenerateEmbedUrlForRegisteredUserRequest()
.withAwsAccountId(accountId)
.withUserArn(userArn)
.withExperienceConfiguration(registeredUserEmbeddingExperienceConfiguration)
.withAllowedDomains(allowedDomains);
final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest);
return generateEmbedUrlForRegisteredUserResult.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForRegisteredUser(
accountId, // Your AWS account ID
dashboardId, // Dashboard ID to which the constructed URL points
sheetId, // Sheet ID to which the constructed URL points
visualId, // Visual ID to which the constructed URL points
openIdToken, // Cognito-based token
userArn, // registered user arn
roleArn, // IAM user role to use for embedding
sessionName, // Session name for the roleArn assume role
allowedDomains, // Runtime allowed domain for embedding
getEmbedUrlCallback, // GetEmbedUrl success callback method
errorCallback // GetEmbedUrl error callback method
) {
const stsClient = new AWS.STS();
let stsParams = {
RoleSessionName: sessionName,
WebIdentityToken: openIdToken,
RoleArn: roleArn
}
stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) {
if (err) {
console.log('Error assuming role');
console.log(err, err.stack);
errorCallback(err);
} else {
const getDashboardParams = {
"AwsAccountId": accountId,
"ExperienceConfiguration": {
"DashboardVisual": {
"InitialDashboardVisualId": {
"DashboardId": dashboardId,
"SheetId": sheetId,
"VisualId": visualId
}
}
},
"UserArn": userArn,
"AllowedDomains": allowedDomains,
"SessionLifetimeInMinutes": 600
};
const quicksightGetDashboard = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
expiration: data.Credentials.Expiration
}
});
quicksightGetDashboard.generateEmbedUrlForRegisteredUser(getDashboardParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // Use your website domain to secure access to GetEmbedUrl API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: AWS account ID
# dashboardId: Dashboard ID to embed
# sheetId: SHEET ID to embed from the dashboard
# visualId: Id for the Visual you want to embedded from the dashboard sheet.
# userArn: arn of registered user
# allowedDomains: Runtime allowed domain for embedding
# roleArn: IAM user role to use for embedding
# sessionName: session name for the roleArn assume role
def getEmbeddingURL(accountId, dashboardId, sheetId, visualId, userArn, allowedDomains, roleArn, sessionName):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2')
response = quicksightClient.generate_embed_url_for_registered_user(
AwsAccountId=accountId,
ExperienceConfiguration = {
'DashboardVisual': {
'InitialDashboardVisualId': {
'DashboardId': dashboardId,
'SheetId': sheetId,
'VisualId': visualId
}
},
},
UserArn = userArn,
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embedding url: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForRegisteredUser({
'AwsAccountId': '111122223333',
'ExperienceConfiguration': {
'DashboardVisual': {
'InitialDashboardVisualId': {
'DashboardId': 'dashboard_id',
'SheetId': 'sheet_id',
'VisualId': 'visual_id'
}
}
},
'UserArn': 'REGISTERED_USER_ARN',
'AllowedDomains': allowedDomains,
'SessionLifetimeInMinutes': 100
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateDashboardEmbedUrlForRegisteredUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
DashboardVisualId dashboardVisual = new DashboardVisualId
{
DashboardId = "dashboard_id",
SheetId = "sheet_id",
VisualId = "visual_id"
};
RegisteredUserDashboardVisualEmbeddingConfiguration registeredUserDashboardVisualEmbeddingConfiguration
= new RegisteredUserDashboardVisualEmbeddingConfiguration
{
InitialDashboardVisualId = dashboardVisual
};
RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration
{
DashboardVisual = registeredUserDashboardVisualEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest
{
AwsAccountId = "111122223333",
ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration,
UserArn = "REGISTERED_USER_ARN",
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 100
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForRegisteredUser`. Se você estiver adotando uma just-in-time abordagem para adicionar usuários quando eles abrem um painel pela primeira vez, a função também precisa de permissões habilitadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_visual_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_visual_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem o painel.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [Referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_visual_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para usuários do Microsoft AD, você pode usar o `DescribeUser` para obter o ARN do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo com o qual o visual é compartilhado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_visual_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso ao visual.
Por fim, para obter um URL assinado para o elemento visual, chame `generate-embed-url-for-registered-user` usando o servidor de aplicações. Isso retorna o URL do elemento visual incorporável. O exemplo a seguir mostra como gerar a URL para um visual incorporado usando uma chamada do lado do servidor para usuários autenticados por meio de um login único ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight generate-embed-url-for-registered-user \
--aws-account-id 111122223333 \
--session-lifetime-in-minutes 600 \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_visual_role/embeddingsession \
--allowed-domains '["domain1","domain2"]' \
--experience-configuration 'DashboardVisual={InitialDashboardVisualId={DashboardId=dashboard_id,SheetId=sheet_id,VisualId=visual_id}}'
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL de um elemento visual
Na seção a seguir, você pode descobrir como usar o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript) para incorporar a URL visual da etapa 3 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Estabeleça o elemento visual em uma página HTML.
+ Adicione os parâmetros para o elemento visual.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GenerateEmbedUrlForRegisteredUser` para gerar o URL que você pode incorporar à aplicação. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-registered-user`. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse visual em sua página da web usando o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar parâmetros dentro do visual e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O domínio que hospedará recursos visuais e painéis incorporados deve estar na lista de *permissões, a lista* de domínios aprovados para sua assinatura. Quick Este requisito protege seus dados, impedindo que domínios não aprovados hospedem elementos visuais e painéis incorporados. Para obter mais informações sobre a adição de domínios para recursos visuais e painéis incorporados, consulte [Permitir a listagem de domínios em tempo de execução com a API Amazon](https://docs.aws.amazon.com/quicksight/latest/user/embedding-run-time.html) Quick Sight.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
### SDK 2.0
```
Visual Embedding Example
```
### SDK 1.0
```
Visual Embedding Example
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o visual incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Incorporação de imagens do Amazon Quick Sight para usuários anônimos (não registrados)
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar imagens incorporadas do Amazon Quick Sight para usuários anônimos (não registrados).
**Topics**
+ [Etapa 1: configurar permissões](#embedded-analytics-visuals-with-anonymous-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-analytics-visuals-with-anonymous-users-step-2)
+ [Etapa 3: incorporar o URL de um elemento visual](#embedded-analytics-visuals-with-anonymous-users-step-3)
## Etapa 1: configurar permissões
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um visual assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o visual. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Manage **Amazon Quick Sight**. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário para abrir o elemento visual. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) no *Guia do usuário do IAM*.
## Etapa 2: gerar o URL com o código de autenticação anexado
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção apresentada a seguir, você descobrirá como realizar a autenticação em nome do visitante anônimo e obter o URL do elemento visual incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Um identificador é transferido como o ID exclusivo de sessão do usuário. Este código é executado no servidor da aplicação.
### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.AnonymousUserDashboardVisualEmbeddingConfiguration;
import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.DashboardVisualId;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult;
import com.amazonaws.services.quicksight.model.SessionTag;
import java.util.List;
/**
* Class to call QuickSight AWS SDK to get url for Visual embedding.
*/
public class GenerateEmbedUrlForAnonymousUserTest {
private final AmazonQuickSight quickSightClient;
public GenerateEmbedUrlForAnonymousUserTest() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String getEmbedUrl(
final String accountId, // AWS Account ID
final String namespace, // Anonymous embedding required specifying a valid namespace for which you want the enbedding URL
final List authorizedResourceArns, // Dashboard arn list of dashboard visuals to embed
final String dashboardId, // Dashboard ID of the dashboard to embed
final String sheetId, // Sheet ID of the sheet to embed
final String visualId, // Visual ID of the visual to embed
final List allowedDomains, // Runtime allowed domains for embedding
final List sessionTags // Session tags used for row-level security
) throws Exception {
final DashboardVisualId dashboardVisual = new DashboardVisualId()
.withDashboardId(dashboardId)
.withSheetId(sheetId)
.withVisualId(visualId);
final AnonymousUserDashboardVisualEmbeddingConfiguration anonymousUserDashboardVisualEmbeddingConfiguration
= new AnonymousUserDashboardVisualEmbeddingConfiguration()
.withInitialDashboardVisualId(dashboardVisual);
final AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration
= new AnonymousUserEmbeddingExperienceConfiguration()
.withDashboardVisual(anonymousUserDashboardVisualEmbeddingConfiguration);
final GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest
= new GenerateEmbedUrlForAnonymousUserRequest()
.withAwsAccountId(accountId)
.withNamespace(namespace)
// authorizedResourceArns should contain ARN of dashboard used below in ExperienceConfiguration
.withAuthorizedResourceArns(authorizedResourceArns)
.withExperienceConfiguration(anonymousUserEmbeddingExperienceConfiguration)
.withAllowedDomains(allowedDomains)
.withSessionTags(sessionTags)
.withSessionLifetimeInMinutes(600L);
final GenerateEmbedUrlForAnonymousUserResult generateEmbedUrlForAnonymousUserResult
= quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest);
return generateEmbedUrlForAnonymousUserResult.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForAnonymousUser(
accountId, // Your AWS account ID
dashboardId, // Dashboard ID to which the constructed url points
sheetId, // Sheet ID to which the constructed url points
visualId, // Visual ID to which the constructed url points
quicksightNamespace, // valid namespace where you want to do embedding
authorizedResourceArns, // dashboard arn list of dashboard visuals to embed
allowedDomains, // runtime allowed domains for embedding
sessionTags, // session tags used for row-level security
generateEmbedUrlForAnonymousUserCallback, // success callback method
errorCallback // error callback method
) {
const experienceConfiguration = {
"DashboardVisual": {
"InitialDashboardVisualId": {
"DashboardId": dashboardId,
"SheetId": sheetId,
"VisualId": visualId
}
}
};
const generateEmbedUrlForAnonymousUserParams = {
"AwsAccountId": accountId,
"Namespace": quicksightNamespace,
// authorizedResourceArns should contain ARN of dashboard used below in ExperienceConfiguration
"AuthorizedResourceArns": authorizedResourceArns,
"AllowedDomains": allowedDomains,
"ExperienceConfiguration": experienceConfiguration,
"SessionTags": sessionTags,
"SessionLifetimeInMinutes": 600
};
const quicksightClient = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: AccessKeyId,
secretAccessKey: SecretAccessKey,
sessionToken: SessionToken,
expiration: Expiration
}
});
quicksightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO THIS API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
generateEmbedUrlForAnonymousUserCallback(result);
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
quicksightClient = boto3.client('quicksight',region_name='us-west-2')
sts = boto3.client('sts')
# Function to generate embedded URL for anonymous user
# accountId: YOUR AWS ACCOUNT ID
# quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
# authorizedResourceArns: DASHBOARD ARN LIST TO EMBED
# allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING
# experienceConfiguration: DASHBOARD ID, SHEET ID and VISUAL ID TO WHICH THE CONSTRUCTED URL POINTS
# Example experienceConfig -> 'DashboardVisual': {
# 'InitialDashboardVisualId': {
# 'DashboardId': 'dashboardId',
# 'SheetId': 'sheetId',
# 'VisualId': 'visualId'
# }
# },
# sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY
def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, experienceConfiguration, sessionTags):
try:
response = quicksightClient.generate_embed_url_for_anonymous_user(
AwsAccountId = accountId,
Namespace = quicksightNamespace,
AuthorizedResourceArns = authorizedResourceArns,
AllowedDomains = allowedDomains,
ExperienceConfiguration = experienceConfiguration,
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForAnonymousUser({
'AwsAccountId': '111122223333',
'Namespace' : 'default',
// authorizedResourceArns should contain ARN of dashboard used below in ExperienceConfiguration
'AuthorizedResourceArns': authorizedResourceArns,
'ExperienceConfiguration': {
'DashboardVisual': {
'InitialDashboardVisualId': {
'DashboardId': 'dashboard_id',
'SheetId': 'sheet_id',
'VisualId': 'visual_id'
}
}
},
'AllowedDomains': allowedDomains,
'SessionTags': sessionTags,
'SessionLifetimeInMinutes': 600
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateDashboardEmbedUrlForAnonymousUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
DashboardVisualId dashboardVisual = new DashboardVisualId
{
DashboardId = "dashboard_id",
SheetId = "sheet_id",
VisualId = "visual_id"
};
AnonymousUserDashboardVisualEmbeddingConfiguration anonymousUserDashboardVisualEmbeddingConfiguration
= new AnonymousUserDashboardVisualEmbeddingConfiguration
{
InitialDashboardVisualId = dashboardVisual
};
AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration
= new AnonymousUserEmbeddingExperienceConfiguration
{
DashboardVisual = anonymousUserDashboardVisualEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest
{
AwsAccountId = "111222333444",
Namespace = default,
// authorizedResourceArns should contain ARN of dashboard used below in ExperienceConfiguration
AuthorizedResourceArns = { "dashboard_id" },
ExperienceConfiguration = anonymousUserEmbeddingExperienceConfiguration,
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600,
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando a Security Assertion Markup Language (SAML) para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForAnonymousUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::11112222333:role/QuickSightEmbeddingAnonymousPolicy" \
--role-session-name anonymous caller
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_visual_role/QuickSightEmbeddingAnonymousPolicy`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usar o ID exclusivo de sessão do perfil para cada usuário garante que as permissões apropriadas sejam definidas para todos os usuários visitantes. Essa ação também mantém cada sessão separada e distinta. Se você estiver usando uma série de servidores Web, por exemplo, para balanceamento de carga, e uma sessão for reconectada a um servidor diferente, uma nova sessão será iniciada.
Para obter um URL assinado para o elemento visual, chame `generate-embed-url-for-anynymous-user` usando o servidor de aplicações. Isso retorna o URL do elemento visual incorporável. O exemplo a seguir mostra como gerar o URL para um elemento visual incorporado usando uma chamada do lado do servidor para usuários que estão fazendo visitas anônimas ao seu portal da Web ou à sua aplicação.
```
aws quicksight generate-embed-url-for-anonymous-user \
--aws-account-id 111122223333 \
--namespace default-or-something-else \
--session-lifetime-in-minutes 15 \
--authorized-resource-arns '["dashboard-arn-1","dashboard-arn-2"]' \
--allowed-domains '["domain1","domain2"]' \
--session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \
--experience-configuration 'DashboardVisual={InitialDashboardVisualId={DashboardId=dashboard_id,SheetId=sheet_id,VisualId=visual_id}}'
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL de um elemento visual
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você pode descobrir como usar o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript) para incorporar a URL visual da etapa 2 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Estabeleça o elemento visual em uma página HTML.
+ Adicione os parâmetros para o elemento visual.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GenerateEmbedUrlForAnonymousUser` para gerar o URL que você pode incorporar à aplicação. Este URL é válido por 5 minutos, e a sessão resultante é válida por 10 horas. A operação de API fornece ao URL um código de autorização (auth) que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-anonymous-user`. `quicksightdomain`Neste exemplo, é a URL que você usa para acessar sua conta do Amazon Quick Sight.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse visual em sua página da web usando o Amazon Quick Sight [Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar parâmetros dentro do visual e receber retornos de chamada em termos de conclusão de carga visual e erros.
O domínio que hospedará os elementos visuais incorporados deverá estar na *lista de permissão*, a lista de domínios aprovados para a sua assinatura do Quick . Este requisito protege seus dados, impedindo que domínios não aprovados hospedem elementos visuais e painéis incorporados. Para obter mais informações sobre a adição de domínios para recursos visuais e painéis incorporados, consulte [Permitir a listagem de domínios em tempo de execução com a API Amazon](https://docs.aws.amazon.com/quicksight/latest/user/embedding-run-time.html) Quick Sight.
O exemplo a seguir mostra como usar o URL gerado. Este código reside no seu servidor de aplicações.
### SDK 2.0
```
Visual Embedding Example
```
### SDK 1.0
```
Visual Embedding Example
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o visual incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK QuickSight de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Incorporando a funcionalidade completa do console Amazon Quick Sight para usuários registrados
**Importante**
O Amazon Quick Sight tem novas operações de API para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar as operações de `GetSessionEmbedUrl` API `GetDashboardEmbedUrl` e as operações de API para incorporar painéis e o console do Amazon Quick Sight, mas elas não contêm os recursos de incorporação mais recentes. Para obter mais informações sobre incorporação usando as operações de API antigas, consulte [Incorporação de análises usando as operações de GetSessionEmbedURL API GetDashboardEmbedURL e](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics-deprecated.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Com a edição Enterprise, além de fornecer painéis somente para leitura, você também pode fornecer a experiência de console do Amazon Quick Sight em um portal de criação de marca personalizada. Ao usar essa abordagem, você permite que os usuários criem fontes de dados, conjuntos de dados e análises. Na mesma interface, eles podem criar, publicar e visualizar painéis. Se desejar restringir algumas dessas permissões, você também pode fazer isso.
Os usuários que acessam o Amazon Quick Sight por meio de um console incorporado precisam pertencer ao grupo de segurança do autor ou administrador. Os leitores não têm acesso suficiente para usar o console Amazon Quick Sight para criação, independentemente de ele estar incorporado ou fazer parte do Console de gerenciamento da AWS. No entanto, autores e administradores ainda podem acessar painéis incorporados. Se quiser restringir as permissões para alguns dos recursos de criação, você pode adicionar um perfil de permissões personalizado ao usuário com a operação da [UpdateUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateUser.html)API. Use a operação [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)da API para adicionar um novo usuário com um perfil de permissão personalizado anexado. Para obter mais informações, consulte as seções a seguir:
+ Para obter informações sobre a criação de funções personalizadas por meio da definição de permissões personalizadas do console, consulte [Personalização do acesso ao console do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/customizing-permissions-to-the-quicksight-console.html).
+ [Para obter informações sobre o uso de namespaces para isolar usuários, grupos e ativos do Amazon Quick Sight com multilocação, consulte Amazon Quick Sight Namespaces.](https://docs.aws.amazon.com/quicksight/latest/APIReference/controlling-access.html#namespaces.html)
+ Para obter informações sobre como adicionar sua própria marca a um console incorporado do Amazon Quick Sight, consulte [Uso de temas no Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/themes-in-quicksight.html) e as [operações da API de QuickSight temas](https://docs.aws.amazon.com/quicksight/latest/APIReference/qs-assets.html#themes).
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar painéis incorporados do Amazon Quick Sight para usuários registrados.
**Topics**
+ [Etapa 1: configurar permissões](#embedded-analytics-full-console-for-authenticated-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-analytics-full-console-for-authenticated-users-step-2)
+ [Etapa 3: incorporar o URL da sessão do console](#embedded-analytics-full-console-for-authenticated-users-step-3)
+ [Como habilitar recursos de BI generativo em consoles incorporados para usuários registrados](embedding-consoles-genbi.md)
## Etapa 1: configurar permissões
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um Amazon Quick Sight assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para a sessão do console. Para tornar isso possível, crie uma função do IAM em sua AWS conta. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. Adicione `quicksight:RegisterUser` permissões para garantir que o leitor possa acessar o Amazon Quick Sight somente para leitura e não tenha acesso a nenhum outro recurso de dados ou criação. A função do IAM também precisa fornecer permissões para recuperar a sessão URLs do console. Para isso, você adiciona `quicksight:GenerateEmbedUrlForRegisteredUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Manage **Amazon Quick Sight**. Em vez disso, é possível listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, este URL será incorporado ao site que você criar. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O modelo de política a seguir fornece essas permissões.
O exemplo de política a seguir fornece permissão para recuperar um URL da sessão do console. Você pode usar a política sem `quicksight:RegisterUser`, se estiver criando usuários antes que eles acessem uma sessão incorporada.
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessa seu aplicativo, ele pode assumir a função em nome do usuário e provisioná-lo no Amazon Quick Sight. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do *Guia do usuário do IAM: *
+ [Criação de uma função para identidades da Web ou federação do OpenID Connect (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Criação de uma função para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
## Etapa 2: gerar o URL com o código de autenticação anexado
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL da sessão do console incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador da sessão do console seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult;
import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.RegisteredUserQuickSightConsoleEmbeddingConfiguration;
/**
* Class to call QuickSight AWS SDK to get url for QuickSight console embedding.
*/
public class GetQuicksightEmbedUrlRegisteredUserQSConsoleEmbedding {
private final AmazonQuickSight quickSightClient;
public GetQuicksightEmbedUrlRegisteredUserQSConsoleEmbedding() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId,
final String userArn, // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find out how to get user arn for a QuickSight user.
final List allowedDomains, // Runtime allowed domain for embedding
final String initialPath
) throws Exception {
final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration()
.withQuickSightConsole(new RegisteredUserQuickSightConsoleEmbeddingConfiguration().withInitialPath(initialPath));
final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest();
generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId);
generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn);
generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains);
generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(experienceConfiguration);
final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest);
return generateEmbedUrlForRegisteredUserResult.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForRegisteredUser(
accountId,
dashboardId,
openIdToken, // Cognito-based token
userArn, // registered user arn
roleArn, // IAM user role to use for embedding
sessionName, // Session name for the roleArn assume role
allowedDomains, // Runtime allowed domain for embedding
getEmbedUrlCallback, // GetEmbedUrl success callback method
errorCallback // GetEmbedUrl error callback method
) {
const stsClient = new AWS.STS();
let stsParams = {
RoleSessionName: sessionName,
WebIdentityToken: openIdToken,
RoleArn: roleArn
}
stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) {
if (err) {
console.log('Error assuming role');
console.log(err, err.stack);
errorCallback(err);
} else {
const getDashboardParams = {
"AwsAccountId": accountId,
"ExperienceConfiguration": {
"QuickSightConsole": {
"InitialPath": '/start'
}
},
"UserArn": userArn,
"AllowedDomains": allowedDomains,
"SessionLifetimeInMinutes": 600
};
const quicksightGetDashboard = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
expiration: data.Credentials.Expiration
}
});
quicksightGetDashboard.generateEmbedUrlForRegisteredUser(getDashboardParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // Use your website domain to secure access to GetEmbedUrl API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
# Create QuickSight and STS clients
qs = boto3.client('quicksight', region_name='us-east-1')
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: AWS account ID
# userArn: arn of registered user
# allowedDomains: Runtime allowed domain for embedding
# roleArn: IAM user role to use for embedding
# sessionName: session name for the roleArn assume role
def generateEmbeddingURL(accountId, userArn, allowedDomains, roleArn, sessionName):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quickSightClient = assumedRoleSession.client('quicksight', region_name='us-east-1')
experienceConfiguration = {
"QuickSightConsole": {
"InitialPath": "/start"
}
}
response = quickSightClient.generate_embed_url_for_registered_user(
AwsAccountId = accountId,
ExperienceConfiguration = experienceConfiguration,
UserArn = userArn,
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embedding url: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para a sessão do console incorporado. É possível usar esse URL em seu site ou em sua aplicação para exibir a sessão do console.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForRegisteredUser({
'AwsAccountId': '111122223333',
'ExperienceConfiguration': {
'QuickSightConsole': {
'InitialPath': '/start'
}
},
'UserArn': 'REGISTERED_USER_ARN',
'AllowedDomains': allowedDomains,
'SessionLifetimeInMinutes': 100
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
// The URL returned is over 900 characters. For this example, we've shortened the string for
// readability and added ellipsis to indicate that it's incomplete.
{
Status: 200,
EmbedUrl: 'https://quicksightdomain/embed/12345/dashboards/67890..,
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713'
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para a sessão do console incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir o console.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateDashboardEmbedUrlForRegisteredUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
RegisteredUserQuickSightConsoleEmbeddingConfiguration registeredUserQuickSightConsoleEmbeddingConfiguration
= new RegisteredUserQuickSightConsoleEmbeddingConfiguration
{
InitialPath = "/start"
};
RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration
{
QuickSightConsole = registeredUserQuickSightConsoleEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest
{
AwsAccountId = "111122223333",
ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration,
UserArn = "REGISTERED_USER_ARN",
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 100
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForRegisteredUser`. Se você está adotando uma just-in-time abordagem para adicionar usuários quando eles abrem o Amazon Quick Sight pela primeira vez, a função também precisa de permissões habilitadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_console_session_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. A limitação é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem uma sessão de console.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [Referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para usuários do Microsoft AD, você pode usar o `DescribeUser` para obter o ARN do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo apropriado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_dashboard_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso à sessão do console do Amazon Quick Sight.
Por fim, para obter um URL assinado para a sessão do console, chame `generate-embed-url-for-registered-user` usando o servidor de aplicações. Isso retorna o URL da sessão do console incorporável. O exemplo a seguir mostra como gerar a URL para uma sessão de console incorporada usando uma chamada do lado do servidor para usuários autenticados por meio de login único ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight generate-embed-url-for-registered-user \
--aws-account-id 111122223333 \
--entry-point the-url-for--the-console-session \
--session-lifetime-in-minutes 600 \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_dashboard_role/embeddingsession
--allowed-domains '["domain1","domain2"]' \
--experience-configuration QuickSightConsole={InitialPath="/start"}
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL da sessão do console
Na seção a seguir, você pode descobrir como usar o [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript) para incorporar o URL da sessão do console a partir da etapa 3 em seu site ou página do aplicativo. Com o SDK, você pode fazer o seguinte:
+ Estabeleça a sessão do console em uma página HTML.
+ Adicione os parâmetros para a sessão do console.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GenerateEmbedUrlForRegisteredUser` para gerar o URL que você pode incorporar à aplicação. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-registered-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embedding/12345/start...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore essa sessão de console em sua página da web usando o Amazon Quick Sight [Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros na sessão do console e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O domínio que hospedará painéis incorporados deve estar na lista de *permissões, a lista* de domínios aprovados para sua Quick assinatura. Esse requisito protege seus dados, impedindo que domínios não aprovados hospedem painéis incorporados. Para obter mais informações sobre a adição de domínios a um console incorporado, consulte [Permitir a listagem de domínios em tempo de execução com a API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-run-time.html).
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
### SDK 2.0
```
Console Embedding Example
```
### SDK 1.0
```
QuickSight Console Embedding
```
Para que esse exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar a sessão do console incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Como habilitar recursos de BI generativo em consoles incorporados para usuários registrados
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Você pode habilitar os seguintes recursos de BI generativo no seu console incorporado:
+ Resumos executivos: quando ativados, os usuários registrados do Author Pro e do Reader Pro podem gerar resumos executivos que fornecem um resumo de todos os insights que o Amazon Quick Sight gerou para que o painel descubra facilmente os principais insights.
+ Criação: quando habilitado, os usuários do Author Pro podem usar BI generativo para desenvolver campos calculados e criar e refinar os elementos visuais.
+ Perguntas e respostas: quando habilitadas, os usuários do Author Pro e do Reader Pro podem usar as perguntas e respostas baseadas em IA para sugerir e responder a perguntas relacionadas aos seus dados.
+ Narrativas analíticas: quando ativadas, os usuários do Author Pro e do Reader Pro podem fornecer detalhes para gerar rapidamente um primeiro rascunho da sua narrativa analítica.
**Para habilitar recursos de BI generativo em consoles incorporados para usuários registrados**
+ Siga as etapas em [Incorporação da funcionalidade completa do console Amazon Quick Sight para que usuários registrados incorporem](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics-full-console-for-authenticated-users.html) um console com as seguintes alterações:
1. Ao gerar o URL na Etapa 2, `Enabled: true` defina o `FeatureConfigurations` parâmetro para cada um dos recursos que você deseja ativar no [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)ou [GenerateEmbedUrlForRegisteredUserWithIdentity](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUserWithIdentity.html) APIs, conforme mostrado no exemplo a seguir. Se nenhuma configuração for fornecida, os recursos serão desabilitados por padrão.
```
ExperienceConfiguration: {
QuickSightConsole: {
InitialPath: "initial_path",
AmazonQInQuickSight: {
FeatureConfigurations: {
COMMENT: Enable executive summaries
ExecutiveSummary: {
Enabled: true
},
COMMENT: Enable Generative BI authoring
GenerativeAuthoring: {
Enabled: true
},
COMMENT: Enable Q&A
DataQnA: {
Enabled: true
},
COMMENT: Enable data stories
DataStories: {
Enabled: true
}
}
}
}
}
}
```
1. Ao incorporar a URL do console com o Amazon Quick Sight Embedding SDK na Etapa 3, defina os valores no exemplo a seguir conforme desejado. Se nenhuma configuração for fornecida, os recursos serão desabilitados por padrão.
**nota**
Não há nenhuma opção de SDK para habilitar narrativas analíticas. Se as narrativas analíticas forem habilitadas com a API, conforme mostrado na etapa anterior, elas estarão disponíveis para usuários registrados.
```
const contentOptions = {
toolbarOptions: {
executiveSummary: true, // Enable executive summaries
buildVisual: true, // Enable Generative BI authoring
dataQnA: true // Enable Q&A
}
};
```
# Incorporando o Amazon Q na experiência generativa de perguntas e respostas do Amazon Quick Sight
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar uma experiência de perguntas e respostas generativas incorporada que usa recursos aprimorados de NLQ fornecidos pelo. LLMs A experiência de perguntas e respostas generativas é a substituição recomendada para a barra de pesquisa Q incorporada e fornece uma experiência de BI atualizada para os usuários.
**Topics**
+ [Incorporando o Amazon Q na experiência generativa de perguntas e respostas do Amazon Quick Sight para usuários registrados](#embedded-analytics-gen-bi-authenticated-users)
+ [Incorporando o Amazon Q na experiência Quick Generative Q&A para usuários anônimos (não registrados)](#embedded-analytics-gen-bi-anonymous-users)
## Incorporando o Amazon Q na experiência generativa de perguntas e respostas do Amazon Quick Sight para usuários registrados
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar uma experiência de perguntas e respostas generativas incorporada para usuários registrados do Amazon Quick Sight.
**Topics**
+ [Etapa 1: configurar permissões](#embedded-analytics-gen-bi-authenticated-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-analytics-gen-bi-authenticated-users-step-2)
+ [Etapa 3: incorporar o URL da experiência de perguntas e respostas generativas](#embedded-analytics-gen-bi-authenticated-users-step-3)
+ [Funcionalidades opcionais da experiência de perguntas e respostas generativas incorporada](#embedded-analytics-gen-bi-authenticated-users-step-4)
### Etapa 1: configurar permissões
Na seção apresentada a seguir, você encontrará informações sobre como configurar as permissões para a aplicação de backend ou para o servidor Web com a finalidade de incorporar a experiência de perguntas e respostas generativas. Essa tarefa requer acesso administrativo ao AWS Identity and Access Management (IAM).
Cada usuário que acessa uma experiência generativa de perguntas e respostas assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight. Para tornar isso possível, crie um perfil do IAM em sua Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico.
Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico. Como alternativa, você pode conceder as permissões para a geração de um URL para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForRegisteredUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForRegisteredUser`. O parâmetro `AllowedDomains` é opcional. Ele concede aos desenvolvedores a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar **Amazon Quick Sight** e, em vez disso, listar até três domínios ou subdomínios que podem acessar uma URL gerada. Em seguida, esse URL é incorporado ao site do desenvolvedor. Somente os domínios listados no parâmetro podem acessar a experiência de perguntas e respostas generativas incorporada. Sem essa condição, os desenvolvedores podem listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O modelo de política a seguir fornece essas permissões.
Além disso, se você estiver criando usuários iniciantes que serão leitores do Amazon Quick Sight, certifique-se de adicionar a `quicksight:RegisterUser` permissão na política.
O exemplo de política a seguir fornece permissão para recuperar uma URL de incorporação para usuários iniciantes que serão leitores do Amazon Quick Sight.
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que quando um usuário acessa seu aplicativo, seu aplicativo pode assumir a função em nome do usuário e provisionar o usuário no Amazon Quick Sight.
O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança para a autenticação do OpenID Connect ou para a Security Assertion Markup Language (SAML), consulte as seguintes seções do *Guia do usuário do IAM*:
+ [Como criar um perfil para identidades da Web ou federação do OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Como criar um perfil para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
### Etapa 2: gerar o URL com o código de autenticação anexado
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do tópico do Q incorporável em seu servidor de aplicações. Se você planeja incorporar a experiência generativa de perguntas e respostas para os tipos de identidade IAM ou Amazon Quick Sight, compartilhe o tópico de perguntas com os usuários.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, o aplicativo adiciona o usuário ao Amazon Quick Sight, caso esse usuário ainda não exista. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador do tópico Q seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros. A segurança em nível de linha baseada em tags pode ser usada para a incorporação de usuários anônimos na barra Q.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
#### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult;
import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.RegisteredUserGenerativeQnAEmbeddingConfiguration;
/**
* Class to call QuickSight AWS SDK to get url for embedding Generative Q&A experience.
*/
public class RegisteredUserGenerativeQnAEmbeddingSample {
private final AmazonQuickSight quickSightClient;
public RegisteredUserGenerativeQnAEmbeddingSample() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWS CredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId, // AWS Account ID
final String topicId, // Topic ID to embed
final List allowedDomains, // Runtime allowed domain for embedding
final String userArn // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find how to get user arn for a QuickSight user.
) throws Exception {
final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration()
.withGenerativeQnA(new RegisteredUserGenerativeQnAEmbeddingConfiguration().withInitialTopicId(topicId));
final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest();
generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId);
generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn);
generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains);
generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(experienceConfiguration);
final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest);
return generateEmbedUrlForRegisteredUserResult.getEmbedUrl();
}
}
```
#### JavaScript
**nota**
A geração de URL incorporada APIs não pode ser chamada diretamente dos navegadores. Em vez disso, consulte o exemplo que usa Node.js.
#### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: AWS account ID
# topicId: Topic ID to embed
# userArn: arn of registered user
# allowedDomains: Runtime allowed domain for embedding
# roleArn: IAM user role to use for embedding
# sessionName: session name for the roleArn assume role
def getEmbeddingURL(accountId, topicId, userArn, allowedDomains, roleArn, sessionName):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2')
response = quicksightClient.generate_embed_url_for_registered_user(
AwsAccountId=accountId,
ExperienceConfiguration = {
'GenerativeQnA': {
'InitialTopicId': topicId
}
},
UserArn = userArn,
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embedding url: " + str(e)
```
#### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
region: 'us-east-1'
});
quicksightClient.generateEmbedUrlForRegisteredUser({
'AwsAccountId': '111122223333',
'ExperienceConfiguration': {
'GenerativeQnA': {
'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f'
}
},
'UserArn': 'REGISTERED_USER_ARN',
'AllowedDomains': allowedDomains,
'SessionLifetimeInMinutes': 100
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
#### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para a barra de pesquisa Q incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir a barra de pesquisa do Q.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateGenerativeQnAEmbedUrlForRegisteredUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
RegisteredUserGenerativeQnAEmbeddingConfiguration registeredUserGenerativeQnAEmbeddingConfiguration
= new RegisteredUserGenerativeQnAEmbeddingConfiguration
{
InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f"
};
RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration
{
GenerativeQnA = registeredUserGenerativeQnAEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest
{
AwsAccountId = "111122223333",
ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration,
UserArn = "REGISTERED_USER_ARN",
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 100
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
#### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForRegisteredUser`. Se você estiver adotando uma just-in-time abordagem para adicionar usuários quando eles usam um tópico na barra de pesquisa Q, a função também precisa de permissões ativadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_generative_qna_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Para uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_q_search_bar_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem a experiência generativa de perguntas e respostas.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM\
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_generative_qna_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para os usuários do Microsoft AD, você pode usar `DescribeUser` para obter o nome do recurso da Amazon (ARN) do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo com o qual o painel é compartilhado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id 111122223333 \
--namespace default \
--group-name financeusers \
--member-name "embedding_quicksight_q_generative_qna_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso ao painel.
Por fim, obtenha um signed URL para o painel, chame o `generate-embed-url-for-registered-user` partir do servidor de aplicativo. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar a URL para um painel incorporado usando uma chamada do lado do servidor para usuários autenticados por meio de um login único ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight generate-embed-url-for-anonymous-user \
--aws-account-id 111122223333 \
--namespace default-or-something-else \
--authorized-resource-arns '["topic-arn-topicId1","topic-arn-topicId2"]' \
--allowed-domains '["domain1","domain2"]' \
--experience-configuration 'GenerativeQnA={InitialTopicId="topicId1"}' \
--session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \
--session-lifetime-in-minutes 15
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
### Etapa 3: incorporar o URL da experiência de perguntas e respostas generativas
Na seção apresentada a seguir, você encontrará como incorporar o URL da experiência de perguntas e respostas generativas em seu site ou na página da sua aplicação. Você faz isso com o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ()JavaScript. Com o SDK, você pode fazer o seguinte:
+ Adicionar a experiência de perguntas e respostas generativas a uma página HTML.
+ Personalizar o layout e a aparência da experiência incorporada para atender às necessidades de aplicação.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Para gerar o URL que você pode incorporar à aplicação, chame a operação de API `GenerateEmbedUrlForRegisteredUser`. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um valor `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-registered-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore a experiência generativa de perguntas e respostas em sua página da web usando o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL a um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda.
Certifique-se de que o domínio para hospedar a experiência de perguntas e respostas generativas incorporada esteja na lista de *permissões, a lista* de domínios aprovados para sua assinatura do Amazon Quick Sight. Esse requisito protege seus dados, impedindo que domínios não aprovados hospedem painéis incorporados. Para obter mais informações sobre como adicionar domínios para uma experiência de perguntas e respostas generativas incorporada, consulte [Gerenciando domínios](manage-domains.md).
Você pode usar o Amazon Quick Sight Embedding SDK para personalizar o layout e a aparência da experiência de perguntas e respostas generativas incorporada de acordo com seu aplicativo. Use a propriedade `panelType` para configurar o estado inicial da experiência de perguntas e respostas generativas no momento em que ela é renderizada na aplicação. Defina a propriedade `panelType` como `'FULL'` para renderizar o painel completo da experiência de perguntas e respostas generativas. Esse painel é semelhante à experiência que os usuários do Amazon Quick Sight têm no console do Amazon Quick Sight. A altura do quadro do painel não é alterada com base na interação do usuário e respeita o valor definido na propriedade `frameOptions.height`. A imagem apresentada abaixo ilustra o painel da experiência de perguntas e respostas generativas renderizado quando o valor de `panelType` está definido como `'FULL'`.
Defina a propriedade `panelType` como `'SEARCH_BAR'` para renderizar a experiência de perguntas e respostas generativas como uma barra de pesquisa. Esta barra de pesquisa se assemelha à forma como a barra de pesquisa do Q é renderizada quando ocorre a incorporação com uma aplicação. A barra de pesquisa da experiência de perguntas e respostas generativas pode se expandir para um painel maior, que exibe as opções de seleção de tópicos, a lista de sugestões de perguntas, o painel de respostas ou o painel de avisos.
A altura mínima padrão da barra de pesquisa para as perguntas e respostas generativas é aplicada quando o recurso incorporado é carregado. É recomendável definir o valor de `frameOptions.height` como `"38px"` para otimizar a experiência da barra de pesquisa. Use a propriedade `focusedHeight` para definir o tamanho ideal do menu suspenso de seleção de tópicos e da lista de sugestões de perguntas. Use a propriedade `expandedHeight` para definir o tamanho ideal do painel de respostas e do painel de avisos. Caso você escolha a opção `'SEARCH_BAR'`, é recomendável alterar o estilo do contêiner principal com a propriedade “position: absolute” para evitar o deslocamento indesejado do conteúdo na aplicação. A imagem apresentada abaixo ilustra a barra de pesquisa da experiência de perguntas e respostas generativas renderizado quando o valor de `panelType` está definido como `'SEARCH_BAR'`.
Depois de configurar a `panelType` propriedade, use o SDK de incorporação do Amazon Quick Sight para personalizar as seguintes propriedades da experiência generativa de perguntas e respostas.
+ O título do painel de perguntas e respostas generativas (aplicável somente à opção `panelType: FULL`).
+ O texto exibido no espaço reservado da barra de pesquisa.
+ Se a seleção de tópicos é permitida.
+ Se os nomes dos tópicos devem ser exibidos ou ocultos.
+ Se o ícone do Amazon Q deve ser exibido ou oculto (aplicável somente à opção `panelType: FULL`).
+ Se o painel de avisos deve ser exibido ou oculto.
+ Se os usuários têm a opção de maximizar o painel de perguntas e respostas generativas para o modo de tela cheia.
+ O tema do painel de perguntas e respostas generativas. É possível fornecer um ARN com tema personalizado no SDK para alterar a aparência do conteúdo do quadro. Os temas iniciais do Amazon Quick Sight não são compatíveis com painéis de BI generativo incorporados. Para usar um tema inicial do Amazon Quick Sight, salve-o como um tema personalizado no Amazon Quick Sight.
Quando você usa o Amazon Quick Sight Embedding SDK, a experiência generativa de perguntas e respostas em sua página é redimensionada dinamicamente com base no estado. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar parâmetros na experiência generativa de perguntas e respostas e receber retornos de chamada em termos de conclusão do carregamento da página, alterações de estado e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
#### SDK 2.0
```
Generative Q&A Embedding Example
```
Para que esse exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar a experiência de perguntas e respostas generativas incorporada em seu site com. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
### Funcionalidades opcionais da experiência de perguntas e respostas generativas incorporada
As funcionalidades opcionais apresentadas a seguir estão disponíveis para a experiência de perguntas e respostas generativas incorporada com o SDK de incorporação.
#### Invocar ações da barra de pesquisa para perguntas e respostas generativas
+ Elaborar uma pergunta: esse recurso envia uma pergunta para a experiência de perguntas e respostas generativas e realiza a consulta imediatamente.
```
embeddedGenerativeQnExperience.setQuestion('show me monthly revenue');
```
+ Fechar o painel de respostas (aplicável à opção da barra de pesquisa para perguntas e respostas generativas): esse recurso fecha o painel de respostas e retorna o iframe ao estado original da barra de pesquisa.
```
embeddedGenerativeQnExperience.close();
```
Para obter mais informações, consulte o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk).
## Incorporando o Amazon Q na experiência Quick Generative Q&A para usuários anônimos (não registrados)
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções apresentadas a seguir, você encontrará informações detalhadas sobre como configurar uma experiência de perguntas e respostas generativas incorporada para usuários anônimos (não registrados).
**Topics**
+ [Etapa 1: configurar permissões](#embedded-analytics-gen-bi-anonymous-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-analytics-gen-bi-anonymous-users-step-2)
+ [Etapa 3: incorporar o URL da experiência de perguntas e respostas generativas](#embedded-analytics-gen-bi-anonymous-users-step-3)
+ [Funcionalidades opcionais da experiência de perguntas e respostas generativas incorporada](#embedded-analytics-gen-bi-anonymous-users-step-4)
### Etapa 1: configurar permissões
Na seção apresentada a seguir, você encontrará informações sobre como configurar as permissões para a aplicação de backend ou para o servidor Web com a finalidade de incorporar a experiência de perguntas e respostas generativas. Essa tarefa requer acesso administrativo ao AWS Identity and Access Management (IAM).
Cada usuário que acessa uma experiência generativa de perguntas e respostas assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight. Para tornar isso possível, crie um perfil do IAM em sua Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico.
Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico. Como alternativa, você pode conceder as permissões para a geração de um URL para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForAnonymousUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede aos desenvolvedores a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar **Amazon Quick Sight** e, em vez disso, listar até três domínios ou subdomínios que podem acessar uma URL gerada. Em seguida, esse URL é incorporado ao site do desenvolvedor. Somente os domínios que estão listados no parâmetro podem acessar a barra de pesquisa Q incorporada. Sem essa condição, os desenvolvedores podem listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ela poderá assumir o perfil em nome do usuário para carregar a experiência de perguntas e respostas generativas. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) no *Guia do usuário do IAM*.
### Etapa 2: gerar o URL com o código de autenticação anexado
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do tópico do Q incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, o aplicativo adiciona o usuário ao Amazon Quick Sight, caso esse usuário ainda não exista. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
#### Java
```
import java.util.List;
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.AnonymousUserGenerativeQnAEmbeddingConfiguration;
import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult;
import com.amazonaws.services.quicksight.model.SessionTag;
/**
* Class to call QuickSight AWS SDK to generate embed url for anonymous user.
*/
public class GenerateEmbedUrlForAnonymousUserExample {
private final AmazonQuickSight quickSightClient;
public GenerateEmbedUrlForAnonymousUserExample() {
quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String GenerateEmbedUrlForAnonymousUser(
final String accountId, // YOUR AWS ACCOUNT ID
final String initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS AND EXPERIENCE PREPOPULATES INITIALLY
final String namespace, // ANONYMOUS EMBEDDING REQUIRES SPECIFYING A VALID NAMESPACE FOR WHICH YOU WANT THE EMBEDDING URL
final List authorizedResourceArns, // Q TOPIC ARN LIST TO EMBED
final List allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING
final List sessionTags // SESSION TAGS USED FOR ROW-LEVEL SECURITY
) throws Exception {
AnonymousUserEmbeddingExperienceConfiguration experienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration();
AnonymousUserGenerativeQnAEmbeddingConfiguration generativeQnAConfiguration = new AnonymousUserGenerativeQnAEmbeddingConfiguration();
generativeQnAConfiguration.setInitialTopicId(initialTopicId);
experienceConfiguration.setGenerativeQnA(generativeQnAConfiguration);
GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest = new GenerateEmbedUrlForAnonymousUserRequest()
.withAwsAccountId(accountId)
.withNamespace(namespace)
.withAuthorizedResourceArns(authorizedResourceArns)
.withExperienceConfiguration(experienceConfiguration)
.withSessionTags(sessionTags)
.withSessionLifetimeInMinutes(600L); // OPTIONAL: VALUE CAN BE [15-600]. DEFAULT: 600
.withAllowedDomains(allowedDomains);
GenerateEmbedUrlForAnonymousUserResult result = quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest);
return result.getEmbedUrl();
}
}
```
#### JavaScript
**nota**
A geração de URL incorporada APIs não pode ser chamada diretamente dos navegadores. Em vez disso, consulte o exemplo que usa Node.js.
#### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
quicksightClient = boto3.client('quicksight',region_name='us-west-2')
sts = boto3.client('sts')
# Function to generate embedded URL for anonymous user
# accountId: YOUR AWS ACCOUNT ID
# topicId: Topic ID to embed
# quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
# authorizedResourceArns: TOPIC ARN LIST TO EMBED
# allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING
# sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY
def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, sessionTags):
try:
response = quicksightClient.generate_embed_url_for_anonymous_user(
AwsAccountId = accountId,
Namespace = quicksightNamespace,
AuthorizedResourceArns = authorizedResourceArns,
AllowedDomains = allowedDomains,
ExperienceConfiguration = {
'GenerativeQnA': {
'InitialTopicId': topicId
}
},
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
#### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForAnonymousUser({
'AwsAccountId': '111122223333',
'Namespace': 'DEFAULT'
'AuthorizedResourceArns': '["topic-arn-topicId1","topic-arn-topicId2"]',
'AllowedDomains': allowedDomains,
'ExperienceConfiguration': {
'GenerativeQnA': {
'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f'
}
},
'SessionTags': '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]',
'SessionLifetimeInMinutes': 15
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
#### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para a barra de pesquisa Q incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir a barra de pesquisa do Q.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateGenerativeQnAEmbedUrlForAnonymousUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
AnonymousUserGenerativeQnAEmbeddingConfiguration anonymousUserGenerativeQnAEmbeddingConfiguration
= new AnonymousUserGenerativeQnAEmbeddingConfiguration
{
InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f"
};
AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration
= new AnonymousUserEmbeddingExperienceConfiguration
{
GenerativeQnA = anonymousUserGenerativeQnAEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest
{
AwsAccountId = "111122223333",
Namespace = "DEFAULT",
AuthorizedResourceArns '["topic-arn-topicId1","topic-arn-topicId2"]',
AllowedDomains = allowedDomains,
ExperienceConfiguration = anonymousUserEmbeddingExperienceConfiguration,
SessionTags = '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]',
SessionLifetimeInMinutes = 15,
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
#### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForAnonymousUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_generative_qna_role" \
--role-session-name anonymous caller
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Para uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_q_search_bar_role/QuickSightEmbeddingAnonymousPolicy`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais. Além disso, essa ação também mantém cada sessão separada e distinta. Se você estiver usando uma série de servidores Web, por exemplo, para balanceamento de carga, e uma sessão for reconectada a um servidor diferente, uma nova sessão será iniciada.
Para obter um URL assinado para o painel, chame `generate-embed-url-for-anynymous-user` usando o servidor de aplicações. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar o URL para um painel incorporado usando uma chamada do lado do servidor para usuários que estão fazendo visitas anônimas ao seu portal da Web ou à sua aplicação.
```
aws quicksight generate-embed-url-for-anonymous-user \
--aws-account-id 111122223333 \
--namespace default-or-something-else \
--authorized-resource-arns '["topic-arn-topicId","topic-arn-topicId2"]' \
--allowed-domains '["domain1","domain2"]' \
--experience-configuration 'GenerativeQnA={InitialTopicId="topicId1"}' \
--session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \
--session-lifetime-in-minutes 15
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html). Você pode usar essa e outras operações de API no seu próprio código.
### Etapa 3: incorporar o URL da experiência de perguntas e respostas generativas
Na seção apresentada a seguir, você encontrará como incorporar o URL da experiência de perguntas e respostas generativas em seu site ou na página da sua aplicação. Você faz isso com o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ()JavaScript. Com o SDK, você pode fazer o seguinte:
+ Adicionar a experiência de perguntas e respostas generativas a uma página HTML.
+ Personalizar o layout e a aparência da experiência incorporada para atender às necessidades de aplicação.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Para gerar o URL que você pode incorporar à aplicação, chame a operação de API `GenerateEmbedUrlForAnonymousUser`. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um valor `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-anonymous-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore a experiência generativa de perguntas e respostas em sua página da web com o SDK de [incorporação do Amazon Quick Sight ou adicionando](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) essa URL a um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda.
Certifique-se de que o domínio para hospedar a experiência generativa de perguntas e respostas esteja na lista de *permissões, a lista* de domínios aprovados para sua assinatura do Amazon Quick Sight. Este requisito protege os dados ao impedir que domínios não aprovados hospedem experiências incorporadas de perguntas e respostas generativas. Para obter mais informações sobre como adicionar domínios para uma experiência de perguntas e respostas generativas incorporada, consulte [Gerenciando domínios](manage-domains.md).
Você pode usar o Amazon Quick Sight Embedding SDK para personalizar o layout e a aparência da experiência de perguntas e respostas generativas incorporada de acordo com seu aplicativo. Use a propriedade `panelType` para configurar o estado inicial da experiência de perguntas e respostas generativas no momento em que ela é renderizada na aplicação. Defina a propriedade `panelType` como `'FULL'` para renderizar o painel completo da experiência de perguntas e respostas generativas. Esse painel é semelhante à experiência que os usuários do Amazon Quick Sight têm no console do Amazon Quick Sight. A altura do quadro do painel não é alterada com base na interação do usuário e respeita o valor definido na propriedade `frameOptions.height`. A imagem apresentada abaixo ilustra o painel da experiência de perguntas e respostas generativas renderizado quando o valor de `panelType` está definido como `'FULL'`.
Defina a propriedade `panelType` como `'SEARCH_BAR'` para renderizar a experiência de perguntas e respostas generativas como uma barra de pesquisa. Esta barra de pesquisa se assemelha à forma como a barra de pesquisa do Q é renderizada quando ocorre a incorporação com uma aplicação. A barra de pesquisa da experiência de perguntas e respostas generativas pode se expandir para um painel maior, que exibe as opções de seleção de tópicos, a lista de sugestões de perguntas, o painel de respostas ou o painel de avisos.
A altura mínima padrão da barra de pesquisa para as perguntas e respostas generativas é aplicada quando o recurso incorporado é carregado. É recomendável definir o valor de `frameOptions.height` como `"38px"` para otimizar a experiência da barra de pesquisa. Use a propriedade `focusedHeight` para definir o tamanho ideal do menu suspenso de seleção de tópicos e da lista de sugestões de perguntas. Use a propriedade `expandedHeight` para definir o tamanho ideal do painel de respostas e do painel de avisos. Caso você escolha a opção `'SEARCH_BAR'`, é recomendável alterar o estilo do contêiner principal com a propriedade “position: absolute” para evitar o deslocamento indesejado do conteúdo na aplicação. A imagem apresentada abaixo ilustra a barra de pesquisa da experiência de perguntas e respostas generativas renderizado quando o valor de `panelType` está definido como `'SEARCH_BAR'`.
Depois de configurar a `panelType` propriedade, use o SDK de incorporação do Amazon Quick Sight para personalizar as seguintes propriedades da experiência generativa de perguntas e respostas.
+ O título do painel de perguntas e respostas generativas (aplicável somente à opção `panelType: FULL`).
+ O texto exibido no espaço reservado da barra de pesquisa.
+ Se a seleção de tópicos é permitida.
+ Se os nomes dos tópicos devem ser exibidos ou ocultos.
+ Se o ícone do Amazon Q deve ser exibido ou oculto (aplicável somente à opção `panelType: FULL`).
+ Se o painel de avisos deve ser exibido ou oculto.
+ Se os usuários têm a opção de maximizar o painel de perguntas e respostas generativas para o modo de tela cheia.
+ O tema do painel de perguntas e respostas generativas. É possível fornecer um ARN com tema personalizado no SDK para alterar a aparência do conteúdo do quadro. Os temas iniciais do Amazon Quick Sight não são compatíveis com painéis de BI generativo incorporados. Para usar um tema inicial do Amazon Quick Sight, salve-o como um tema personalizado no Amazon Quick Sight.
Quando você usa o Amazon Quick Sight Embedding SDK, a experiência generativa de perguntas e respostas em sua página é redimensionada dinamicamente com base no estado. Com o Amazon Quick Sight Embedding SDK, você também pode controlar parâmetros na experiência generativa de perguntas e respostas e receber retornos de chamada em termos de conclusão do carregamento da página, alterações de estado e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
#### SDK 2.0
```
Generative Q&A Embedding Example
```
Para que esse exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar a experiência de perguntas e respostas generativas incorporada em seu site com. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
### Funcionalidades opcionais da experiência de perguntas e respostas generativas incorporada
As funcionalidades opcionais apresentadas a seguir estão disponíveis para a experiência de perguntas e respostas generativas incorporada com o SDK de incorporação.
#### Invocar ações da barra de pesquisa para perguntas e respostas generativas
+ Elaborar uma pergunta: esse recurso envia uma pergunta para a experiência de perguntas e respostas generativas e realiza a consulta imediatamente.
```
embeddedGenerativeQnExperience.setQuestion('show me monthly revenue');
```
+ Fechar o painel de respostas (aplicável à opção da barra de pesquisa para perguntas e respostas generativas): esse recurso fecha o painel de respostas e retorna o iframe ao estado original da barra de pesquisa.
```
embeddedGenerativeQnExperience.close();
```
Para obter mais informações, consulte o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk).
# Incorporando a barra de pesquisa Amazon Quick Sight Q (Classic)
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Use os tópicos a seguir para aprender como incorporar a barra de pesquisa do Amazon Quick Sight Q ao Amazon Quick Sight APIs.
**Topics**
+ [Incorporando a barra de pesquisa Amazon Quick Sight Q para usuários registrados](embedded-analytics-q-search-bar-for-authenticated-users.md)
+ [Incorporação da barra de pesquisa Amazon Quick Sight Q para usuários anônimos (não registrados)](embedded-analytics-q-search-bar-for-anonymous-users.md)
# Incorporando a barra de pesquisa Amazon Quick Sight Q para usuários registrados
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar uma barra de pesquisa incorporada do Amazon Quick Sight Q para usuários registrados do Amazon Quick Sight.
**Topics**
+ [Etapa 1: configurar permissões](#embedded-q-bar-for-authenticated-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-q-bar-for-authenticated-users-step-2)
+ [Etapa 3: incorporar o URL da barra de pesquisa do Q](#embedded-q-bar-for-authenticated-users-step-3)
+ [Funcionalidades opcionais de incorporação da barra de pesquisa do Amazon Quick Sight Q](#embedded-q-bar-for-authenticated-users-step-4)
## Etapa 1: configurar permissões
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção a seguir, você descobrirá como configurar permissões para sua aplicação de back-end ou para o servidor Web incorporar a barra de pesquisa do Q. Essa tarefa requer acesso administrativo ao AWS Identity and Access Management (IAM).
Cada usuário que acessa um painel assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o painel. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico.
Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico. Como alternativa, você pode conceder as permissões para a geração de um URL para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForRegisteredUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForRegisteredUser`. O parâmetro `AllowedDomains` é opcional. Ele concede aos desenvolvedores a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar **Amazon Quick Sight** e, em vez disso, listar até três domínios ou subdomínios que podem acessar uma URL gerada. Em seguida, esse URL é incorporado ao site do desenvolvedor. Somente os domínios que estão listados no parâmetro podem acessar a barra de pesquisa Q incorporada. Sem essa condição, os desenvolvedores podem listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
O modelo de política a seguir fornece essas permissões.
Além disso, se você estiver criando usuários iniciantes que serão leitores do Amazon Quick Sight, certifique-se de adicionar a `quicksight:RegisterUser` permissão na política.
O exemplo de política a seguir fornece permissão para recuperar uma URL de incorporação para usuários iniciantes que serão leitores do Amazon Quick Sight.
Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessa seu aplicativo, ele pode assumir a função em nome do usuário e provisioná-lo no Amazon Quick Sight.
O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança para a autenticação do OpenID Connect ou para a Security Assertion Markup Language (SAML), consulte as seguintes seções do *Guia do usuário do IAM*:
+ [Como criar um perfil para identidades da Web ou federação do OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Como criar um perfil para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
## Etapa 2: gerar o URL com o código de autenticação anexado
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do tópico do Q incorporável em seu servidor de aplicações. Se você planeja incorporar a barra Q para os tipos de identidade IAM ou Amazon Quick Sight, compartilhe o tópico Q com os usuários.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, o aplicativo adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador do tópico Q seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
### Java
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult;
import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.RegisteredUserQSearchBarEmbeddingConfiguration;
/**
* Class to call QuickSight AWS SDK to get url for embedding the Q search bar.
*/
public class RegisteredUserQSearchBarEmbeddingConfiguration {
private final AmazonQuickSight quickSightClient;
public RegisteredUserQSearchBarEmbeddingConfiguration() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId, // AWS Account ID
final String topicId, // Topic ID to embed
final List allowedDomains, // Runtime allowed domain for embedding
final String userArn // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find how to get user arn for a QuickSight user.
) throws Exception {
final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration()
.withQSearchBar(new RegisteredUserQSearchBarEmbeddingConfiguration().withInitialTopicId(topicId));
final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest();
generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId);
generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn);
generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains);
generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(QSearchBar);
final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest);
return generateEmbedUrlForRegisteredUserResult.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForRegisteredUser(
accountId,
topicId, // Topic ID to embed
openIdToken, // Cognito-based token
userArn, // registered user arn
roleArn, // IAM user role to use for embedding
sessionName, // Session name for the roleArn assume role
allowedDomains, // Runtime allowed domain for embedding
getEmbedUrlCallback, // GetEmbedUrl success callback method
errorCallback // GetEmbedUrl error callback method
) {
const stsClient = new AWS.STS();
let stsParams = {
RoleSessionName: sessionName,
WebIdentityToken: openIdToken,
RoleArn: roleArn
}
stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) {
if (err) {
console.log('Error assuming role');
console.log(err, err.stack);
errorCallback(err);
} else {
const getQSearchBarParams = {
"AwsAccountId": accountId,
"ExperienceConfiguration": {
"QSearchBar": {
"InitialTopicId": topicId
}
},
"UserArn": userArn,
"AllowedDomains": allowedDomains,
"SessionLifetimeInMinutes": 600
};
const quicksightGetQSearchBar = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
expiration: data.Credentials.Expiration
}
});
quicksightGetQSearchBar.generateEmbedUrlForRegisteredUser(getQSearchBarParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // Use your website domain to secure access to GetEmbedUrl API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: AWS account ID
# topicId: Topic ID to embed
# userArn: arn of registered user
# allowedDomains: Runtime allowed domain for embedding
# roleArn: IAM user role to use for embedding
# sessionName: session name for the roleArn assume role
def getEmbeddingURL(accountId, topicId, userArn, allowedDomains, roleArn, sessionName):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2')
response = quicksightClient.generate_embed_url_for_registered_user(
AwsAccountId=accountId,
ExperienceConfiguration = {
"QSearchBar": {
"InitialTopicId": topicId
}
},
UserArn = userArn,
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embedding url: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForRegisteredUser({
'AwsAccountId': '111122223333',
'ExperienceConfiguration': {
'QSearchBar': {
'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f'
}
},
'UserArn': 'REGISTERED_USER_ARN',
'AllowedDomains': allowedDomains,
'SessionLifetimeInMinutes': 100
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
Status: 200,
EmbedUrl: "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...",
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713'
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para a barra de pesquisa Q incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir a barra de pesquisa do Q.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateDashboardEmbedUrlForRegisteredUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
RegisteredUserQSearchBarEmbeddingConfiguration registeredUserQSearchBarEmbeddingConfiguration
= new RegisteredUserQSearchBarEmbeddingConfiguration
{
InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f"
};
RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration
= new RegisteredUserEmbeddingExperienceConfiguration
{
QSearchBar = registeredUserQSearchBarEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest
{
AwsAccountId = "111122223333",
ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration,
UserArn = "REGISTERED_USER_ARN",
AllowedDomains = allowedDomains,
SessionLifetimeInMinutes = 100
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForRegisteredUser`. Se você estiver adotando uma just-in-time abordagem para adicionar usuários quando eles usam um tópico na barra de pesquisa Q, a função também precisa de permissões ativadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Para uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_q_search_bar_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem a barra de pesquisa Q.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para os usuários do Microsoft AD, você pode usar `DescribeUser` para obter o nome do recurso da Amazon (ARN) do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo com o qual o painel é compartilhado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_q_search_bar_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso ao painel.
Por fim, obtenha um signed URL para o painel, chame o `generate-embed-url-for-registered-user` partir do servidor de aplicativo. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar a URL para um painel incorporado usando uma chamada do lado do servidor para usuários autenticados por meio de um login único ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight generate-embed-url-for-registered-user \
--aws-account-id 111122223333 \
--session-lifetime-in-minutes 600 \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_q_search_bar_role/embeddingsession
--allowed-domains '["domain1","domain2"]' \
--experience-configuration QSearchBar={InitialTopicId=U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f}
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL da barra de pesquisa do Q
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção apresentada a seguir, você descobrirá como incorporar o URL da barra de pesquisa Q da etapa 3 no site ou na página da aplicação. Você faz isso com o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ()JavaScript. Com o SDK, você pode fazer o seguinte:
+ Coloque a barra de pesquisa Q em uma página HTML.
+ Adicione os parâmetros para a barra de pesquisa do Q.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Para gerar o URL que você pode incorporar à aplicação, chame a operação de API `GenerateEmbedUrlForRegisteredUser`. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um valor `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-registered-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore a barra de pesquisa Q em sua página da web usando o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda.
Para fazer isso, certifique-se de que o domínio para hospedar a barra de pesquisa Q incorporada esteja na lista de *permissões, a lista* de domínios aprovados para sua assinatura do Amazon Quick Sight. Esse requisito protege seus dados, impedindo que domínios não aprovados hospedem painéis incorporados. Para obter mais informações sobre como adicionar domínios a uma barra de pesquisa Q incorporada, consulte [Gerenciamento de domínios e](https://docs.aws.amazon.com/quicksight/latest/user/manage-qs-domains-and-embedding.html) incorporação.
Quando você usa o Amazon Quick Sight Embedding SDK, a barra de pesquisa Q na sua página é redimensionada dinamicamente com base no estado. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros na barra de pesquisa Q e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
### SDK 2.0
```
Q Search Bar Embedding Example
```
### SDK 1.0
```
QuickSight Q Search Bar Embedding
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o painel incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
## Funcionalidades opcionais de incorporação da barra de pesquisa do Amazon Quick Sight Q
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
As funcionalidades opcionais a seguir estão disponíveis para a barra de pesquisa Q incorporada usando o SDK de incorporação.
### Invocar ações da barra de pesquisa do Q
As opções apresentadas a seguir são compatíveis somente para a incorporação da barra de pesquisa do Q.
+ Definir uma pergunta na barra de pesquisa Q: este recurso envia uma pergunta para a barra de pesquisa Q e a consulta imediatamente. O recurso também abre automaticamente o pop-over do Q.
```
qBar.setQBarQuestion('show me monthly revenue');
```
+ Fechar o pop-over do Q: este recurso fecha o pop-over do Q e retorna o iframe ao tamanho original da barra de pesquisa do Q.
```
qBar.closeQPopover();
```
Para obter mais informações, consulte o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk).
# Incorporação da barra de pesquisa Amazon Quick Sight Q para usuários anônimos (não registrados)
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar uma barra de pesquisa incorporada do Amazon Quick Sight Q para usuários anônimos (não registrados).
**Topics**
+ [Etapa 1: configurar permissões](#embedded-q-bar-for-anonymous-users-step-1)
+ [Etapa 2: gerar o URL com o código de autenticação anexado](#embedded-q-bar-for-anonymous-users-step-2)
+ [Etapa 3: incorporar o URL da barra de pesquisa do Q](#embedded-q-bar-for-anonymous-users-step-3)
+ [Funcionalidades opcionais de incorporação da barra de pesquisa do Amazon Quick Sight Q](#embedded-q-bar-for-anonymous-users-step-4)
## Etapa 1: configurar permissões
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção a seguir, você descobrirá como configurar permissões para sua aplicação de back-end ou para o servidor Web incorporar a barra de pesquisa do Q. Essa tarefa requer acesso administrativo ao AWS Identity and Access Management (IAM).
Cada usuário que acessa uma barra de pesquisa Q assume uma função que lhe dá acesso ao Amazon Quick Sight e permissões para a barra de pesquisa Q. Para tornar isso possível, crie uma função do IAM em seu Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar a incorporação de um URLs grupo de usuários específico.
Com a ajuda do caractere curinga *\$1*, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico. Como alternativa, você pode conceder as permissões para a geração de um URL para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona `quicksight:GenerateEmbedUrlForAnonymousUser`.
É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro `AllowedDomains` de uma operação de API `GenerateEmbedUrlForAnonymousUser`. O parâmetro `AllowedDomains` é opcional. Ele concede aos desenvolvedores a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar **Amazon Quick Sight** e, em vez disso, listar até três domínios ou subdomínios que podem acessar uma URL gerada. Em seguida, esse URL é incorporado ao site do desenvolvedor. Somente os domínios que estão listados no parâmetro podem acessar a barra de pesquisa Q incorporada. Sem essa condição, os desenvolvedores podem listar qualquer domínio da Internet no parâmetro `AllowedDomains`.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição `AllowedEmbeddingDomains` à política do IAM. Para obter mais informações sobre o `AllowedDomains` parâmetro, consulte [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)a *Amazon Quick Sight API Reference*.
**Prática recomendada de segurança para operadores de condições do IAM**
Operadores de condição do IAM configurados incorretamente podem permitir acesso não autorizado aos seus recursos incorporados do Quick por meio de variações de URL. Ao usar a chave de `quicksight:AllowedEmbeddingDomains` condição em suas políticas do IAM, use operadores de condição que permitem domínios específicos ou negam todos os domínios que não são especificamente permitidos. Para obter mais informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no Guia do usuário do IAM.
Muitas variações diferentes de URL podem apontar para o mesmo recurso. Por exemplo, URLs todos os itens a seguir têm o mesmo conteúdo:
`https://example.com`
`https://example.com/`
`https://Example.com`
Se sua política usa operadores que não levam em conta essas variações de URL, um invasor pode contornar suas restrições fornecendo variações de URL equivalentes.
Você deve validar se sua política do IAM usa operadores de condição apropriados para evitar ignorar vulnerabilidades e garantir que somente os domínios pretendidos possam acessar seus recursos incorporados.
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário para abrir a barra de pesquisa do Q. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaFunctionsToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "AllowEC2InstancesToAssumeThisRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre as políticas de confiança, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) no *Guia do usuário do IAM*.
## Etapa 2: gerar o URL com o código de autenticação anexado
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do tópico do Q incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, o aplicativo adiciona o usuário ao Amazon Quick Sight, caso esse usuário ainda não exista. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
Para obter mais informações, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/AnonymousUserQSearchBarEmbeddingConfiguration.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/AnonymousUserQSearchBarEmbeddingConfiguration.html).
### Java
```
import java.util.List;
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.AnonymousUserQSearchBarEmbeddingConfiguration;
import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest;
import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult;
import com.amazonaws.services.quicksight.model.SessionTag;
/**
* Class to call QuickSight AWS SDK to generate embed url for anonymous user.
*/
public class GenerateEmbedUrlForAnonymousUserExample {
private final AmazonQuickSight quickSightClient;
public GenerateEmbedUrlForAnonymousUserExample() {
quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {
}
}
)
.build();
}
public String GenerateEmbedUrlForAnonymousUser(
final String accountId, // YOUR AWS ACCOUNT ID
final String initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS AND SEARCHBAR PREPOPULATES INITIALLY
final String namespace, // ANONYMOUS EMBEDDING REQUIRES SPECIFYING A VALID NAMESPACE FOR WHICH YOU WANT THE EMBEDDING URL
final List authorizedResourceArns, // Q SEARCHBAR TOPIC ARN LIST TO EMBED
final List allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING
final List sessionTags // SESSION TAGS USED FOR ROW-LEVEL SECURITY
) throws Exception {
AnonymousUserEmbeddingExperienceConfiguration experienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration();
AnonymousUserQSearchBarEmbeddingConfiguration qSearchBarConfiguration = new AnonymousUserQSearchBarEmbeddingConfiguration();
qSearchBarConfiguration.setInitialTopicId(initialTopicId);
experienceConfiguration.setQSearchBar(qSearchBarConfiguration);
GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest = new GenerateEmbedUrlForAnonymousUserRequest()
.withAwsAccountId(accountId)
.withNamespace(namespace)
.withAuthorizedResourceArns(authorizedResourceArns)
.withExperienceConfiguration(experienceConfiguration)
.withSessionTags(sessionTags)
.withSessionLifetimeInMinutes(600L); // OPTIONAL: VALUE CAN BE [15-600]. DEFAULT: 600
.withAllowedDomains(allowedDomains);
GenerateEmbedUrlForAnonymousUserResult qSearchBarEmbedUrl = quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest);
return qSearchBarEmbedUrl.getEmbedUrl();
}
}
```
### JavaScript
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function generateEmbedUrlForAnonymousUser(
accountId, // YOUR AWS ACCOUNT ID
initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS
quicksightNamespace, // VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
authorizedResourceArns, // Q SEARCHBAR TOPIC ARN LIST TO EMBED
allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING
sessionTags, // SESSION TAGS USED FOR ROW-LEVEL SECURITY
generateEmbedUrlForAnonymousUserCallback, // SUCCESS CALLBACK METHOD
errorCallback // ERROR CALLBACK METHOD
) {
const experienceConfiguration = {
"QSearchBar": {
"InitialTopicId": initialTopicId // TOPIC ID CAN BE FOUND IN THE URL ON THE TOPIC AUTHOR PAGE
}
};
const generateEmbedUrlForAnonymousUserParams = {
"AwsAccountId": accountId,
"Namespace": quicksightNamespace,
"AuthorizedResourceArns": authorizedResourceArns,
"AllowedDomains": allowedDomains,
"ExperienceConfiguration": experienceConfiguration,
"SessionTags": sessionTags,
"SessionLifetimeInMinutes": 600
};
const quicksightClient = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: AccessKeyId,
secretAccessKey: SecretAccessKey,
sessionToken: SessionToken,
expiration: Expiration
}
});
quicksightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO THIS API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
generateEmbedUrlForAnonymousUserCallback(result);
}
});
}
```
### Python3
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
quicksightClient = boto3.client('quicksight',region_name='us-west-2')
sts = boto3.client('sts')
# Function to generate embedded URL for anonymous user
# accountId: YOUR AWS ACCOUNT ID
# quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
# authorizedResourceArns: TOPIC ARN LIST TO EMBED
# allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING
# experienceConfiguration: configuration which specifies the TOPIC ID to point URL to
# sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY
def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, experienceConfiguration, sessionTags):
try:
response = quicksightClient.generate_embed_url_for_anonymous_user(
AwsAccountId = accountId,
Namespace = quicksightNamespace,
AuthorizedResourceArns = authorizedResourceArns,
AllowedDomains = allowedDomains,
ExperienceConfiguration = experienceConfiguration,
SessionTags = sessionTags,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
### Node.js
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para gerar a URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksightClient = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksightClient.generateEmbedUrlForAnonymousUser({
'AwsAccountId': '111122223333',
'Namespace': 'DEFAULT'
'AuthorizedResourceArns': '["topic-arn-topicId1","topic-arn-topicId2"]',
'AllowedDomains': allowedDomains,
'ExperienceConfiguration': {
'QSearchBar': {
'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f'
}
},
'SessionTags': '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]',
'SessionLifetimeInMinutes': 15
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
Status: 200,
EmbedUrl : 'https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...',
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713'
}
```
### .NET/C\$1
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para gerar o URL para a barra de pesquisa Q incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir a barra de pesquisa do Q.
**Example**
```
using System;
using Amazon.QuickSight;
using Amazon.QuickSight.Model;
namespace GenerateQSearchBarEmbedUrlForAnonymousUser
{
class Program
{
static void Main(string[] args)
{
var quicksightClient = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
SessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
AnonymousUserQSearchBarEmbeddingConfiguration anonymousUserQSearchBarEmbeddingConfiguration
= new AnonymousUserQSearchBarEmbeddingConfiguration
{
InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f"
};
AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration
= new AnonymousUserEmbeddingExperienceConfiguration
{
QSearchBar = anonymousUserQSearchBarEmbeddingConfiguration
};
Console.WriteLine(
quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest
{
AwsAccountId = "111122223333",
Namespace = "DEFAULT",
AuthorizedResourceArns '["topic-arn-topicId1","topic-arn-topicId2"]',
AllowedDomains = allowedDomains,
ExperienceConfiguration = anonymousUserEmbeddingExperienceConfiguration,
SessionTags = '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]',
SessionLifetimeInMinutes = 15,
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
}
}
}
```
### AWS CLI
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GenerateEmbedUrlForAnonymousUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \
--role-session-name anonymous caller
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Para uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_q_search_bar_role/QuickSightEmbeddingAnonymousPolicy`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais. Além disso, essa ação também mantém cada sessão separada e distinta. Se você estiver usando uma série de servidores Web, por exemplo, para balanceamento de carga, e uma sessão for reconectada a um servidor diferente, uma nova sessão será iniciada.
Para obter um URL assinado para o painel, chame `generate-embed-url-for-anynymous-user` usando o servidor de aplicações. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como gerar o URL para um painel incorporado usando uma chamada do lado do servidor para usuários que estão fazendo visitas anônimas ao seu portal da Web ou à sua aplicação.
```
aws quicksight generate-embed-url-for-anonymous-user \
--aws-account-id 111122223333 \
--namespace default-or-something-else \
--authorized-resource-arns '["topic-arn-topicId1","topic-arn-topicId2"]' \
--allowed-domains '["domain1","domain2"]' \
--experience-configuration 'QSearchBar={InitialTopicId="topicId1"}' \
--session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \
--session-lifetime-in-minutes 15
```
Para obter mais informações sobre o uso dessa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Você pode usar essa e outras operações de API no seu próprio código.
## Etapa 3: incorporar o URL da barra de pesquisa do Q
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
Na seção apresentada a seguir, você descobrirá como incorporar o URL da barra de pesquisa Q da etapa 3 no site ou na página da aplicação. Você faz isso com o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ()JavaScript. Com o SDK, você pode fazer o seguinte:
+ Coloque a barra de pesquisa Q em uma página HTML.
+ Adicione os parâmetros para a barra de pesquisa do Q.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Para gerar o URL que você pode incorporar à aplicação, chame a operação de API `GenerateEmbedUrlForAnonymousUser`. Esse URL é válido por cinco minutos e a sessão resultante é válida por, no máximo, dez horas. A operação de API fornece ao URL um valor `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `generate-embed-url-for-anonymous-user`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore a barra de pesquisa Q em sua página da web usando o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda.
Para fazer isso, certifique-se de que o domínio para hospedar a barra de pesquisa Q incorporada esteja na lista de *permissões, a lista* de domínios aprovados para sua assinatura do Amazon Quick Sight. Este requisito protege seus dados, impedindo que domínios não aprovados hospedem a barra de pesquisa Q incorporada. Para obter mais informações sobre como adicionar domínios a uma barra de pesquisa Q incorporada, consulte [Gerenciamento de domínios e](https://docs.aws.amazon.com/quicksight/latest/user/manage-qs-domains-and-embedding.html) incorporação.
Quando você usa o Amazon Quick Sight Embedding SDK, a barra de pesquisa Q na sua página é redimensionada dinamicamente com base no estado. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros na barra de pesquisa Q e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
### SDK 2.0
```
Q Search Bar Embedding Example
```
### SDK 1.0
```
QuickSight Q Search Bar Embedding
```
Para que esse exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar a barra de pesquisa Q incorporada em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
## Funcionalidades opcionais de incorporação da barra de pesquisa do Amazon Quick Sight Q
**nota**
A barra de pesquisa incorporada do Amazon Quick Sight Q oferece a experiência clássica de perguntas e respostas do Amazon Quick Sight. O Amazon Quick Sight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência de perguntas e respostas generativas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte [Incorporando o Amazon Q na experiência de perguntas e respostas generativas do Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html).
As funcionalidades opcionais a seguir estão disponíveis para a barra de pesquisa Q incorporada usando o SDK de incorporação.
### Invocar ações da barra de pesquisa do Q
As opções apresentadas a seguir são compatíveis somente para a incorporação da barra de pesquisa do Q.
+ Definir uma pergunta na barra de pesquisa Q: este recurso envia uma pergunta para a barra de pesquisa Q e a consulta imediatamente. O recurso também abre automaticamente o pop-over do Q.
```
qBar.setQBarQuestion('show me monthly revenue');
```
+ Fechar o pop-over do Q: este recurso fecha o pop-over do Q e retorna o iframe ao tamanho original da barra de pesquisa do Q.
```
qBar.closeQPopover();
```
Para obter mais informações, consulte o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk).
# Como incorporar analytics usando as operações de API GetDashboardEmbedURL e GetSessionEmbedURL
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
As seguintes operações de API para incorporar os painéis do Amazon Quick Sight e o console do Amazon Quick Sight foram substituídas pelas operações de GenerateEmbedUrlForRegisteredUser API GenerateEmbedUrlForAnonymousUser e. Você ainda pode usá-las para incorporar analytics em sua aplicação, mas elas não têm mais manutenção e não contêm os recursos ou as funcionalidades de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html)
+ A operação [GetDashboardEmbedUrl](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetDashboardEmbedUrl.html)da API incorpora painéis interativos.
+ A operação [GetSessionEmbedUrl](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetSessionEmbedUrl.html)da API incorpora o console Amazon Quick Sight.
**Topics**
+ [Incorporação de painéis para todos os usuários de GetDashboardEmbedURL (API antiga)](embedded-analytics-dashboards-with-anonymous-users-get.md)
+ [Incorporação de painéis para usuários registrados de GetDashboardEmbedUrl (API antiga)](embedded-analytics-dashboards-for-authenticated-users-get.md)
+ [Incorporação do console Amazon Quick Sight usando GetSessionEmbedUrl (API antiga)](embedded-analytics-full-console-for-authenticated-users-get.md)
# Incorporação de painéis para todos os usuários de GetDashboardEmbedURL (API antiga)
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar painéis incorporados do Amazon Quick Sight para todos (usuários não autenticados) usando URL. GetDashboardEmbed
**Topics**
+ [Etapa 1: configurar permissões](embedded-analytics-dashboards-with-anonymous-users-get-step-1.md)
+ [Etapa 2: obter o URL com o código de autenticação anexado](embedded-analytics-dashboards-with-anonymous-users-get-step-2.md)
+ [Etapa 3: incorporar o URL do painel](embedded-analytics-dashboards-with-anonymous-users-get-step-3.md)
# Etapa 1: configurar permissões
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um painel assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o painel. Para tornar isso possível, crie uma função do IAM em sua AWS conta. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir.
O exemplo de política apresentado a seguir fornece essas permissões para uso com `IdentityType=ANONYMOUS`. Para que essa abordagem funcione, você também precisa de um pacote de sessão, ou preço da capacidade da sessão, em sua AWS conta. Caso contrário, quando um usuário tentar acessar o painel, o erro `UnsupportedPricingPlanException` será retornado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:GetDashboardEmbedUrl",
"quickSight:GetAnonymousUserEmbedUrl"
],
"Resource": "*"
}
]
}
```
------
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário para abrir o painel. O exemplo a seguir mostra uma função chamada `QuickSightEmbeddingAnonymousPolicy`, que tem o exemplo de política antes do recurso.
Para obter mais informações sobre as políticas de confiança, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) no *Guia do usuário do IAM*.
# Etapa 2: obter o URL com o código de autenticação anexado
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção apresentada a seguir, você descobrirá como realizar a autenticação em nome do visitante anônimo e obter o URL do painel incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Um identificador é transferido como o ID exclusivo de sessão do usuário. Este código é executado no servidor da aplicação.
------
#### [ Java ]
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GetDashboardEmbedUrlRequest;
import com.amazonaws.services.quicksight.model.GetDashboardEmbedUrlResult;
/**
* Class to call QuickSight AWS SDK to get url for dashboard embedding.
*/
public class GetQuicksightEmbedUrlNoAuth {
private static String ANONYMOUS = "ANONYMOUS";
private final AmazonQuickSight quickSightClient;
public GetQuicksightEmbedUrlNoAuth() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId, // YOUR AWS ACCOUNT ID
final String dashboardId, // YOUR DASHBOARD ID TO EMBED
final String addtionalDashboardIds, // ADDITIONAL DASHBOARD-1 ADDITIONAL DASHBOARD-2
final boolean resetDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
final boolean undoRedoDisabled // OPTIONAL PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
) throws Exception {
GetDashboardEmbedUrlRequest getDashboardEmbedUrlRequest = new GetDashboardEmbedUrlRequest()
.withDashboardId(dashboardId)
.withAdditionalDashboardIds(addtionalDashboardIds)
.withAwsAccountId(accountId)
.withNamespace("default") // Anonymous embedding requires specifying a valid namespace for which you want the embedding url
.withIdentityType(ANONYMOUS)
.withResetDisabled(resetDisabled)
.withUndoRedoDisabled(undoRedoDisabled);
GetDashboardEmbedUrlResult dashboardEmbedUrl = quickSightClient.getDashboardEmbedUrl(getDashboardEmbedUrlRequest);
return dashboardEmbedUrl.getEmbedUrl();
}
}
```
------
#### [ JavaScript ]
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function getDashboardEmbedURL(
accountId, // YOUR AWS ACCOUNT ID
dashboardId, // YOUR DASHBOARD ID TO EMBED
additionalDashboardIds, // ADDITIONAL DASHBOARD-1 ADDITIONAL DASHBOARD-2
quicksightNamespace, // VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
resetDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
undoRedoDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
getEmbedUrlCallback, // GETEMBEDURL SUCCESS CALLBACK METHOD
errorCallback // GETEMBEDURL ERROR CALLBACK METHOD
) {
const getDashboardParams = {
AwsAccountId: accountId,
DashboardId: dashboardId,
AdditionalDashboardIds: additionalDashboardIds,
Namespace: quicksightNamespace,
IdentityType: 'ANONYMOUS',
ResetDisabled: resetDisabled,
SessionLifetimeInMinutes: 600,
UndoRedoDisabled: undoRedoDisabled
};
const quicksightGetDashboard = new AWS.QuickSight({
region: process.env.AWS_REGION,
});
quicksightGetDashboard.getDashboardEmbedUrl(getDashboardParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO GETEMBEDURL API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
```
------
#### [ Python3 ]
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
qs = boto3.client('quicksight',region_name='us-east-1')
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: YOUR AWS ACCOUNT ID
# dashboardId: YOUR DASHBOARD ID TO EMBED
# additionalDashboardIds: ADDITIONAL DASHBOARD-1 ADDITIONAL DASHBOARD-2 WITHOUT COMMAS
# quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING
# resetDisabled: PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
# undoRedoDisabled: OPTIONAL PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
def getDashboardURL(accountId, dashboardId, quicksightNamespace, resetDisabled, undoRedoDisabled):
try:
response = qs.get_dashboard_embed_url(
AwsAccountId = accountId,
DashboardId = dashboardId,
AdditionalDashboardIds = additionalDashboardIds,
Namespace = quicksightNamespace,
IdentityType = 'ANONYMOUS',
SessionLifetimeInMinutes = 600,
UndoRedoDisabled = undoRedoDisabled,
ResetDisabled = resetDisabled
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
------
#### [ Node.js ]
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para obter a URL do painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksight = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksight.getDashboardEmbedUrl({
'AwsAccountId': '111122223333',
'DashboardId': 'dashboard-id',
'AdditionalDashboardIds': 'added-dashboard-id-1 added-dashboard-id-2 added-dashboard-id-3'
'Namespace' : 'default',
'IdentityType': 'ANONYMOUS',
'SessionLifetimeInMinutes': 100,
'UndoRedoDisabled': false,
'ResetDisabled': true
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{ Status: 200,
EmbedUrl: 'https://dashboards.example.com/embed/620bef10822743fab329fb3751187d2d…
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713' }
```
------
#### [ .NET/C\$1 ]
O exemplo a seguir mostra o código.NET/C \$1 que você pode usar no servidor de aplicativo para obter o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
var client = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
sessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
Console.WriteLine(
client.GetDashboardEmbedUrlAsync(new GetDashboardEmbedUrlRequest
{
AwsAccountId = “111122223333”,
DashboardId = "dashboard-id",
AdditionalDashboardIds = "added-dashboard-id-1 added-dashboard-id-2 added-dashboard-id-3",
Namespace = default,
IdentityType = IdentityType.ANONYMOUS,
SessionLifetimeInMinutes = 600,
UndoRedoDisabled = false,
ResetDisabled = true
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
```
------
#### [ AWS CLI ]
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o Security Assertion Markup Language (SAML) para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GetDashboardEmbedURL`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::11112222333:role/QuickSightEmbeddingAnonymousPolicy" \
--role-session-name anonymous caller
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_dashboard_role/QuickSightEmbeddingAnonymousPolicy`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usar o ID exclusivo de sessão do perfil para cada usuário garante que as permissões apropriadas sejam definidas para todos os usuários visitantes. Essa ação também mantém cada sessão separada e distinta. Se você estiver usando uma série de servidores Web, por exemplo, para balanceamento de carga, e uma sessão for reconectada a um servidor diferente, uma nova sessão será iniciada.
Para obter um URL assinado para o painel, chame `get-dashboard-embed-url` usando o servidor de aplicações. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como obter o URL para um painel incorporado usando uma chamada do lado do servidor para usuários que estão fazendo visitas anônimas ao seu portal da Web ou à sua aplicação.
```
aws quicksight get-dashboard-embed-url \
--aws-account-id 111122223333 \
--dashboard-id dashboard-id \
--additional-dashboard-ids added-dashboard-id-1 added-dashboard-id-2 added-dashboard-id-3
--namespace default-or-something-else \
--identity-type ANONYMOUS \
--session-lifetime-in-minutes 30 \
--undo-redo-disabled true \
--reset-disabled true \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/QuickSightEmbeddingAnonymousPolicy/embeddingsession
```
Para obter mais informações sobre essa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetDashboardEmbedUrl.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetDashboardEmbedUrl.html). Você pode usar essa e outras operações de API no seu próprio código.
------
# Etapa 3: incorporar o URL do painel
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Na seção a seguir, você pode descobrir como usar o [SDK de incorporação do Amazon Quick Sight (JavaScript) para incorporar](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) a URL do painel a partir da etapa 2 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Coloque o painel em uma página HTML.
+ Adicione parâmetros ao painel.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GetDashboardEmbedUrl` para obter o URL que você pode incorporar à aplicação. Este URL é válido por 5 minutos, e a sessão resultante é válida por 10 horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `get-dashboard-embed-url`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https: //dashboards.example.com/embed/620bef10822743fab329fb3751187d2d...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse painel em sua página da web usando o Amazon Quick Sight [Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros no painel e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código reside no seu servidor de aplicações.
```
Basic Embed
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o painel incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK QuickSight de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Incorporação de painéis para usuários registrados de GetDashboardEmbedUrl (API antiga)
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Nas seções a seguir, você encontrará informações detalhadas sobre como configurar painéis incorporados do Amazon Quick Sight para usuários registrados usando`GetDashboardEmbedUrl`.
**Topics**
+ [Etapa 1: configurar permissões](embedded-dashboards-for-authenticated-users-get-step-1.md)
+ [Etapa 2: obter o URL com o código de autenticação anexado](embedded-dashboards-for-authenticated-users-get-step-2.md)
+ [Etapa 3: incorporar o URL do painel](embedded-dashboards-for-authenticated-users-get-step-3.md)
# Etapa 1: configurar permissões
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um painel assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para o painel. Para tornar isso possível, crie uma função do IAM em sua AWS conta. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. A função do IAM precisa fornecer permissões para recuperar o painel URLs. Para isso, você adiciona `quicksight:GetDashboardEmbedUrl`.
O exemplo de política apresentado a seguir fornece essas permissões para uso com `IdentityType=IAM`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:GetDashboardEmbedUrl"
],
"Resource": "*"
}
]
}
```
------
O exemplo de política a seguir fornece permissão para recuperar um URL do painel. Você usa a política `quicksight:RegisterUser` se estiver criando usuários iniciantes que serão leitores do Amazon Quick Sight.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
Se você usar `QUICKSIGHT` como `identityType` e fornecer o nome do recurso da Amazon (ARN) do usuário, também precisará permitir a ação `quicksight:GetAuthCode` em sua política. O exemplo de política a seguir fornece essa permissão.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:GetDashboardEmbedUrl",
"quicksight:GetAuthCode"
],
"Resource": "*"
}
]
}
```
------
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessa seu aplicativo, ele pode assumir a função em nome do usuário e provisionar o usuário no Amazon Quick Sight. O exemplo a seguir mostra uma função chamada `embedding_quicksight_dashboard_role`, que tem o exemplo de política antes do recurso.
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do *Guia do usuário do IAM: *
+ [Como criar um perfil para identidades da Web ou federação do OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Como criar um perfil para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
# Etapa 2: obter o URL com o código de autenticação anexado
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL do painel incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador do painel seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
------
#### [ Java ]
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicSessionCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GetDashboardEmbedUrlRequest;
import com.amazonaws.services.quicksight.model.GetDashboardEmbedUrlResult;
import com.amazonaws.services.securitytoken.AWSSecurityTokenService;
import com.amazonaws.services.securitytoken.model.AssumeRoleRequest;
import com.amazonaws.services.securitytoken.model.AssumeRoleResult;
/**
* Class to call QuickSight AWS SDK to get url for dashboard embedding.
*/
public class GetQuicksightEmbedUrlIAMAuth {
private static String IAM = "IAM";
private final AmazonQuickSight quickSightClient;
private final AWSSecurityTokenService awsSecurityTokenService;
public GetQuicksightEmbedUrlIAMAuth(final AWSSecurityTokenService awsSecurityTokenService) {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {}
}
)
.build();
this.awsSecurityTokenService = awsSecurityTokenService;
}
public String getQuicksightEmbedUrl(
final String accountId, // YOUR AWS ACCOUNT ID
final String dashboardId, // YOUR DASHBOARD ID TO EMBED
final String openIdToken, // TOKEN TO ASSUME ROLE WITH ROLEARN
final String roleArn, // IAM USER ROLE TO USE FOR EMBEDDING
final String sessionName, // SESSION NAME FOR THE ROLEARN ASSUME ROLE
final boolean resetDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
final boolean undoRedoDisabled // OPTIONAL PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
) throws Exception {
AssumeRoleRequest request = new AssumeRoleRequest()
.withRoleArn(roleArn)
.withRoleSessionName(sessionName)
.withTokenCode(openIdToken)
.withDurationSeconds(3600);
AssumeRoleResult assumeRoleResult = awsSecurityTokenService.assumeRole(request);
AWSCredentials temporaryCredentials = new BasicSessionCredentials(
assumeRoleResult.getCredentials().getAccessKeyId(),
assumeRoleResult.getCredentials().getSecretAccessKey(),
assumeRoleResult.getCredentials().getSessionToken());
AWSStaticCredentialsProvider awsStaticCredentialsProvider = new AWSStaticCredentialsProvider(temporaryCredentials);
GetDashboardEmbedUrlRequest getDashboardEmbedUrlRequest = new GetDashboardEmbedUrlRequest()
.withDashboardId(dashboardId)
.withAwsAccountId(accountId)
.withIdentityType(IAM)
.withResetDisabled(resetDisabled)
.withUndoRedoDisabled(undoRedoDisabled)
.withRequestCredentialsProvider(awsStaticCredentialsProvider);
GetDashboardEmbedUrlResult dashboardEmbedUrl = quickSightClient.getDashboardEmbedUrl(getDashboardEmbedUrlRequest);
return dashboardEmbedUrl.getEmbedUrl();
}
}
```
------
#### [ JavaScript ]
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function getDashboardEmbedURL(
accountId, // YOUR AWS ACCOUNT ID
dashboardId, // YOUR DASHBOARD ID TO EMBED
openIdToken, // TOKEN TO ASSUME ROLE WITH ROLEARN
roleArn, // IAM USER ROLE TO USE FOR EMBEDDING
sessionName, // SESSION NAME FOR THE ROLEARN ASSUME ROLE
resetDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
undoRedoDisabled, // OPTIONAL PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
getEmbedUrlCallback, // GETEMBEDURL SUCCESS CALLBACK METHOD
errorCallback // GETEMBEDURL ERROR CALLBACK METHOD
) {
const stsClient = new AWS.STS();
let stsParams = {
RoleSessionName: sessionName,
WebIdentityToken: openIdToken,
RoleArn: roleArn
}
stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) {
if (err) {
console.log('Error assuming role');
console.log(err, err.stack);
errorCallback(err);
} else {
const getDashboardParams = {
AwsAccountId: accountId,
DashboardId: dashboardId,
IdentityType: 'IAM',
ResetDisabled: resetDisabled,
SessionLifetimeInMinutes: 600,
UndoRedoDisabled: undoRedoDisabled
};
const quicksightGetDashboard = new AWS.QuickSight({
region: process.env.AWS_REGION,
credentials: {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
expiration: data.Credentials.Expiration
}
});
quicksightGetDashboard.getDashboardEmbedUrl(getDashboardParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO GETEMBEDURL API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
});
}
```
------
#### [ Python3 ]
```
import json
import boto3
from botocore.exceptions import ClientError
# Create QuickSight and STS clients
qs = boto3.client('quicksight',region_name='us-east-1')
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: YOUR AWS ACCOUNT ID
# dashboardId: YOUR DASHBOARD ID TO EMBED
# openIdToken: TOKEN TO ASSUME ROLE WITH ROLEARN
# roleArn: IAM USER ROLE TO USE FOR EMBEDDING
# sessionName: SESSION NAME FOR THE ROLEARN ASSUME ROLE
# resetDisabled: PARAMETER TO ENABLE DISABLE RESET BUTTON IN EMBEDDED DASHBAORD
# undoRedoDisabled: PARAMETER TO ENABLE DISABLE UNDO REDO BUTTONS IN EMBEDDED DASHBAORD
def getDashboardURL(accountId, dashboardId, openIdToken, roleArn, sessionName, resetDisabled, undoRedoDisabled):
try:
assumedRole = sts.assume_role(
RoleArn = roleArn,
RoleSessionName = sessionName,
WebIdentityToken = openIdToken
)
except ClientError as e:
return "Error assuming role: " + str(e)
else:
assumedRoleSession = boto3.Session(
aws_access_key_id = assumedRole['Credentials']['AccessKeyId'],
aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'],
aws_session_token = assumedRole['Credentials']['SessionToken'],
)
try:
quickSight = assumedRoleSession.client('quicksight',region_name='us-east-1')
response = quickSight.get_dashboard_embed_url(
AwsAccountId = accountId,
DashboardId = dashboardId,
IdentityType = 'IAM',
SessionLifetimeInMinutes = 600,
UndoRedoDisabled = undoRedoDisabled,
ResetDisabled = resetDisabled
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
return "Error generating embeddedURL: " + str(e)
```
------
#### [ Node.js ]
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para obter a URL do painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksight = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksight.getDashboardEmbedUrl({
'AwsAccountId': '111122223333',
'DashboardId': '1c1fe111-e2d2-3b30-44ef-a0e111111cde',
'IdentityType': 'IAM',
'ResetDisabled': true,
'SessionLifetimeInMinutes': 100,
'UndoRedoDisabled': false,
'StatePersistenceEnabled': true
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{ Status: 200,
EmbedUrl: 'https://dashboards.example.com/embed/620bef10822743fab329fb3751187d2d…
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713' }
```
------
#### [ .NET/C\$1 ]
O exemplo a seguir mostra o código.NET/C \$1 que você pode usar no servidor de aplicativo para obter o URL para o painel incorporado. Você pode usar esse URL no seu site ou aplicativo para exibir o painel.
**Example**
```
var client = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
sessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
Console.WriteLine(
client.GetDashboardEmbedUrlAsync(new GetDashboardEmbedUrlRequest
{
AwsAccountId = “111122223333”,
DashboardId = "1c1fe111-e2d2-3b30-44ef-a0e111111cde",
IdentityType = EmbeddingIdentityType.IAM,
ResetDisabled = true,
SessionLifetimeInMinutes = 100,
UndoRedoDisabled = false,
StatePersistenceEnabled = true
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
```
------
#### [ AWS CLI ]
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GetDashboardEmbedURL`. Se você estiver adotando uma just-in-time abordagem para adicionar usuários quando eles abrem um painel pela primeira vez, a função também precisa de permissões habilitadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_dashboard_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. *A limitação* é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem o painel.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para usuários do Microsoft AD, você pode usar o `DescribeUser` para obter o ARN do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo com o qual o painel é compartilhado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_dashboard_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso ao painel.
Por fim, obtenha um signed URL para o painel, chame o `get-dashboard-embed-url` partir do servidor de aplicativo. Isso retorna o URL do painel incorporável. O exemplo a seguir mostra como obter a URL de um painel incorporado usando uma chamada do lado do servidor para usuários autenticados por meio AWS Managed Microsoft AD do IAM Identity Center.
```
aws quicksight get-dashboard-embed-url \
--aws-account-id 111122223333 \
--dashboard-id 1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89 \
--identity-type IAM \
--session-lifetime-in-minutes 30 \
--undo-redo-disabled true \
--reset-disabled true \
--state-persistence-enabled true \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_dashboard_role/embeddingsession
```
Para obter mais informações sobre essa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetDashboardEmbedUrl.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetDashboardEmbedUrl.html). Você pode usar essa e outras operações de API no seu próprio código.
------
# Etapa 3: incorporar o URL do painel
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção a seguir, você pode descobrir como usar o [SDK de incorporação do Amazon Quick Sight (JavaScript) para incorporar](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) a URL do painel a partir da etapa 3 em seu site ou página de aplicativo. Com o SDK, você pode fazer o seguinte:
+ Coloque o painel em uma página HTML.
+ Adicione parâmetros ao painel.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GetDashboardEmbedUrl` para obter o URL que você pode incorporar à aplicação. Este URL é válido por 5 minutos, e a sessão resultante é válida por 10 horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `get-dashboard-embed-url`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https: //dashboards.example.com/embed/620bef10822743fab329fb3751187d2d...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore esse painel em sua página da web usando o [SDK de incorporação do Amazon Quick Sight](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL a um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros no painel e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
```
Basic Embed
```
Para que este exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar o painel incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```
# Incorporação do console Amazon Quick Sight usando GetSessionEmbedUrl (API antiga)
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: desenvolvedores do Amazon Quick |
Nas seções a seguir, você encontrará informações detalhadas sobre como fornecer a experiência de console do Amazon Quick Sight em um portal de criação personalizado para usuários registrados usando a API. `GetSessionEmbedUrl`
**Topics**
+ [Etapa 1: configurar permissões](embedded-analytics-full-console-for-authenticated-users-get-step-1.md)
+ [Etapa 2: obter o URL com o código de autenticação anexado](embedded-analytics-full-console-for-authenticated-users-get-step-2.md)
+ [Etapa 3: incorporar o URL da sessão do console](embedded-analytics-full-console-for-authenticated-users-get-step-3.md)
# Etapa 1: configurar permissões
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.
Cada usuário que acessa um Amazon Quick Sight assume uma função que lhe dá acesso e permissões ao Amazon Quick Sight para a sessão do console. Para tornar isso possível, crie uma função do IAM em sua AWS conta. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. Adicione `quicksight:RegisterUser` permissões para garantir que o leitor possa acessar o Amazon Quick Sight somente para leitura e não tenha acesso a nenhum outro recurso de dados ou criação. A função do IAM também precisa fornecer permissões para recuperar a sessão URLs do console. Para isso, você adiciona `quicksight:GetSessionEmbedUrl`.
O exemplo de política apresentado a seguir fornece essas permissões para uso com `IdentityType=IAM`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetSessionEmbedUrl",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
O exemplo de política a seguir fornece permissão para recuperar um URL da sessão do console. Você usa a política sem `quicksight:RegisterUser`, se estiver criando usuários antes que eles acessem uma sessão incorporada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:GetSessionEmbedUrl"
],
"Resource": "*"
}
]
}
```
------
Se você usar `QUICKSIGHT` como `identityType` e fornecer o nome do recurso da Amazon (ARN) do usuário, também precisará permitir a ação `quicksight:GetAuthCode` em sua política. O exemplo de política a seguir fornece essa permissão.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:GetSessionEmbedUrl",
"quicksight:GetAuthCode"
],
"Resource": "*"
}
]
}
```
------
A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessa seu aplicativo, ele pode assumir a função em nome do usuário e provisionar o usuário no Amazon Quick Sight. O exemplo a seguir mostra uma função chamada `embedding_quicksight_console_session_role`, que tem o exemplo de política antes do recurso.
Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do *Guia do usuário do IAM: *
+ [Como criar um perfil para identidades da Web ou federação do OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Como criar um perfil para uma federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)
# Etapa 2: obter o URL com o código de autenticação anexado
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção apresentada a seguir, você descobrirá como realizar a autenticação do usuário e obter o URL da sessão do console incorporável em seu servidor de aplicações.
Quando um usuário acessa a aplicação, ela assume o perfil do IAM em nome do usuário. Em seguida, ele adiciona o usuário ao Amazon Quick Sight, se esse usuário ainda não existir. Depois disso, ela transfere um identificador como o ID exclusivo de sessão do usuário.
A execução das etapas descritas garante que cada visualizador da sessão do console seja provisionado de forma exclusiva no Amazon Quick Sight. Ele também aplica as configurações por usuário, como a segurança em nível de linha e padrões dinâmicos para os parâmetros.
Os exemplos a seguir executam a autenticação do IAM em nome do usuário. Este código é executado no servidor da aplicação.
------
#### [ Java ]
```
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.auth.AWSCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.quicksight.AmazonQuickSight;
import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder;
import com.amazonaws.services.quicksight.model.GetSessionEmbedUrlRequest;
import com.amazonaws.services.quicksight.model.GetSessionEmbedUrlResult;
/**
* Class to call QuickSight AWS SDK to get url for session embedding.
*/
public class GetSessionEmbedUrlQSAuth {
private final AmazonQuickSight quickSightClient;
public GetSessionEmbedUrlQSAuth() {
this.quickSightClient = AmazonQuickSightClientBuilder
.standard()
.withRegion(Regions.US_EAST_1.getName())
.withCredentials(new AWSCredentialsProvider() {
@Override
public AWSCredentials getCredentials() {
// provide actual IAM access key and secret key here
return new BasicAWSCredentials("access-key", "secret-key");
}
@Override
public void refresh() {}
}
)
.build();
}
public String getQuicksightEmbedUrl(
final String accountId, // YOUR AWS ACCOUNT ID
final String userArn // REGISTERED USER ARN TO USE FOR EMBEDDING. REFER TO GETEMBEDURL SECTION IN DEV PORTAL TO FIND OUT HOW TO GET USER ARN FOR A QUICKSIGHT USER
) throws Exception {
GetSessionEmbedUrlRequest getSessionEmbedUrlRequest = new GetSessionEmbedUrlRequest()
.withAwsAccountId(accountId)
.withEntryPoint("/start")
.withUserArn(userArn);
GetSessionEmbedUrlResult sessionEmbedUrl = quickSightClient.getSessionEmbedUrl(getSessionEmbedUrlRequest);
return sessionEmbedUrl.getEmbedUrl();
}
}
```
------
#### [ JavaScript ]
```
global.fetch = require('node-fetch');
const AWS = require('aws-sdk');
function getSessionEmbedURL(
accountId, // YOUR AWS ACCOUNT ID
userArn, // REGISTERED USER ARN TO USE FOR EMBEDDING. REFER TO GETEMBEDURL SECTION IN DEV PORTAL TO FIND OUT HOW TO GET USER ARN FOR A QUICKSIGHT USER
getEmbedUrlCallback, // GETEMBEDURL SUCCESS CALLBACK METHOD
errorCallback // GETEMBEDURL ERROR CALLBACK METHOD
) {
const getSessionParams = {
AwsAccountId: accountId,
EntryPoint: "/start",
UserArn: userArn,
SessionLifetimeInMinutes: 600,
};
const quicksightGetSession = new AWS.QuickSight({
region: process.env.AWS_REGION,
});
quicksightGetSession.getSessionEmbedUrl(getSessionParams, function(err, data) {
if (err) {
console.log(err, err.stack);
errorCallback(err);
} else {
const result = {
"statusCode": 200,
"headers": {
"Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO GETEMBEDURL API
"Access-Control-Allow-Headers": "Content-Type"
},
"body": JSON.stringify(data),
"isBase64Encoded": false
}
getEmbedUrlCallback(result);
}
});
}
```
------
#### [ Python3 ]
```
import json
import boto3
from botocore.exceptions import ClientError
import time
# Create QuickSight and STS clients
qs = boto3.client('quicksight',region_name='us-east-1')
sts = boto3.client('sts')
# Function to generate embedded URL
# accountId: YOUR AWS ACCOUNT ID
# userArn: REGISTERED USER ARN TO USE FOR EMBEDDING. REFER TO GETEMBEDURL SECTION IN DEV PORTAL TO FIND OUT HOW TO GET USER ARN FOR A QUICKSIGHT USER
def getSessionEmbedURL(accountId, userArn):
try:
response = qs.get_session_embed_url(
AwsAccountId = accountId,
EntryPoint = "/start",
UserArn = userArn,
SessionLifetimeInMinutes = 600
)
return {
'statusCode': 200,
'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"},
'body': json.dumps(response),
'isBase64Encoded': bool('false')
}
except ClientError as e:
print(e)
return "Error generating embeddedURL: " + str(e)
```
------
#### [ Node.js ]
O exemplo a seguir mostra o JavaScript (Node.js) que você pode usar no servidor do aplicativo para obter a URL da sessão do console incorporado. É possível usar esse URL em seu site ou em sua aplicação para exibir a sessão do console.
**Example**
```
const AWS = require('aws-sdk');
const https = require('https');
var quicksight = new AWS.Service({
apiConfig: require('./quicksight-2018-04-01.min.json'),
region: 'us-east-1',
});
quicksight.GetSessionEmbedUrl({
'AwsAccountId': '111122223333',
'EntryPoint': 'https://url-for-console-page-to-open',
'SessionLifetimeInMinutes': 600,
'UserArn': 'USER_ARN'
}, function(err, data) {
console.log('Errors: ');
console.log(err);
console.log('Response: ');
console.log(data);
});
```
**Example**
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{ Status: 200,
EmbedUrl: 'https://dashboards.example.com/embed/620bef10822743fab329fb3751187d2d…
RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713' }
```
------
#### [ .NET/C\$1 ]
O exemplo a seguir mostra o código em .NET/C\$1 que você pode usar no servidor de aplicações para obter o URL para a sessão do console incorporada. É possível usar esse URL em seu site ou em sua aplicação para exibir o console.
**Example**
```
var client = new AmazonQuickSightClient(
AccessKey,
SecretAccessKey,
sessionToken,
Amazon.RegionEndpoint.USEast1);
try
{
Console.WriteLine(
client.GetSessionEmbedUrlAsync(new GetSessionEmbedUrlRequest
{
'AwsAccountId': '111122223333',
'EntryPoint': 'https://url-for-console-page-to-open',
'SessionLifetimeInMinutes': 600,
'UserArn': 'USER_ARN'
AwsAccountId = 111122223333,
EntryPoint = https://url-for-console-page-to-open,
SessionLifetimeInMinutes = 600,
UserArn = 'USER_ARN'
}).Result.EmbedUrl
);
} catch (Exception ex) {
Console.WriteLine(ex.Message);
}
```
------
#### [ AWS CLI ]
Para assumir a função, escolha uma das seguintes operações de API AWS Security Token Service (AWS STS):
+ [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Use essa operação quando estiver usando uma identidade do IAM para assumir a função.
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Use essa operação quando estiver usando um provedor de identidade da web para autenticar seu usuário.
+ [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Use essa operação quando estiver usando o SAML para autenticar seus usuários.
O exemplo a seguir mostra o comando da CLI que define a função do IAM. O perfil precisa ter permissões habilitadas para `quicksight:GetSessionEmbedUrl`. Se você está adotando uma just-in-time abordagem para adicionar usuários quando eles abrem o Amazon Quick Sight pela primeira vez, a função também precisa de permissões habilitadas`quicksight:RegisterUser`.
```
aws sts assume-role \
--role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--role-session-name john.doe@example.com
```
A operação `assume-role` retorna três parâmetros de saída: a chave de acesso, a chave secreta e o token da sessão.
**nota**
Se você receber um erro `ExpiredToken` ao chamar a operação `AssumeRole`, isso provavelmente ocorre porque o `SESSION TOKEN` anterior ainda está nas variáveis de ambiente. Resolva isso definindo as seguintes variáveis:
*AWS\$1ACCESS\$1KEY\$1ID*
*AWS\$1SECRET\$1CHAVE DE ACESSO*
*AWS\$1SESSION\$1TOKEN*
O exemplo a seguir mostra como definir esses três parâmetros na CLI. Se você estiver usando uma máquina com Microsoft Windows, use `set` em vez de `export`.
```
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role"
export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role"
export AWS_SESSION_TOKEN = "session_token_from_assume_role"
```
Executar esses comandos define o ID da sessão da função do usuário que está acessando o site `embedding_quicksight_console_session_role/john.doe@example.com`. O ID da sessão da função é composto pelo nome da função a partir de `role-arn` e o valor de `role-session-name`. Usando o ID único da sessão da função para cada usuário garante que as permissões apropriadas sejam definidas para cada usuário. Isso também impede qualquer limitação do acesso do usuário. A limitação é um recurso de segurança que impede que o mesmo usuário acesse o Amazon Quick Sight de vários locais.
O ID da sessão da função também se torna o nome de usuário no Amazon Quick Sight. Você pode usar esse padrão para provisionar seus usuários no Amazon Quick Sight com antecedência ou para provisioná-los na primeira vez que acessarem uma sessão de console.
O exemplo a seguir mostra o comando da CLI que você pode usar para provisionar um usuário. Para obter mais informações sobre [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html), e outras operações da API Amazon Quick Sight, consulte a [referência da API Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html).
```
aws quicksight register-user \
--aws-account-id 111122223333 \
--namespace default \
--identity-type IAM \
--iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_dashboard_role" \
--user-role READER \
--user-name jhnd \
--session-name "john.doe@example.com" \
--email john.doe@example.com \
--region us-east-1 \
--custom-permissions-name TeamA1
```
Se o usuário for autenticado por meio do Microsoft AD, você não precisará usar o `RegisterUser` para configurá-lo. Em vez disso, eles devem ser automaticamente inscritos na primeira vez que acessarem o Amazon Quick Sight. Para usuários do Microsoft AD, você pode usar o `DescribeUser` para obter o ARN do usuário.
Na primeira vez que um usuário acessa o Amazon Quick Sight, você também pode adicionar esse usuário ao grupo apropriado. O exemplo a seguir mostra o comando da CLI para adicionar um usuário a um grupo.
```
aws quicksight create-group-membership \
--aws-account-id=111122223333 \
--namespace=default \
--group-name=financeusers \
--member-name="embedding_quicksight_dashboard_role/john.doe@example.com"
```
Agora você tem um usuário do seu aplicativo que também é usuário do Amazon Quick Sight e que tem acesso à sessão do console do Amazon Quick Sight.
Por fim, para obter um URL assinado para a sessão do console, chame `get-session-embed-url` usando o servidor de aplicações. Isso retorna o URL da sessão do console incorporável. O exemplo a seguir mostra como obter a URL de uma sessão de console incorporada usando uma chamada do lado do servidor para usuários autenticados por meio do Single Sign-on ( AWS Managed Microsoft AD IAM Identity Center).
```
aws quicksight get-dashboard-embed-url \
--aws-account-id 111122223333 \
--entry-point the-url-for--the-console-session \
--session-lifetime-in-minutes 600 \
--user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_dashboard_role/embeddingsession
```
Para obter mais informações sobre essa operação, consulte [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetSessionEmbedUrl.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GetSessionEmbedUrl.html). Você pode usar essa e outras operações de API no seu próprio código.
------
# Etapa 3: incorporar o URL da sessão do console
**Importante**
O Amazon Quick Sight tem novidades APIs para incorporar análises: `GenerateEmbedUrlForAnonymousUser` e. `GenerateEmbedUrlForRegisteredUser`
Você ainda pode usar o `GetDashboardEmbedUrl` e `GetSessionEmbedUrl` APIs para incorporar painéis e o console Amazon Quick Sight, mas eles não contêm os recursos de incorporação mais recentes. Para obter a experiência de up-to-date incorporação mais recente, consulte [Incorporação da análise do Amazon Quick Sight em seus aplicativos](https://docs.aws.amazon.com/quicksight/latest/user/embedding-overview.html).
Na seção a seguir, você pode descobrir como usar o [SDK de incorporação do Amazon Quick Sight (JavaScript) para incorporar](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) o URL da sessão do console a partir da etapa 3 em seu site ou página do aplicativo. Com o SDK, você pode fazer o seguinte:
+ Estabeleça a sessão do console em uma página HTML.
+ Adicione os parâmetros para a sessão do console.
+ Corrija os estados de erro com mensagens que são personalizados para seu aplicativo.
Chame a operação de API `GetSessionEmbedUrl` para obter o URL que você pode incorporar à aplicação. Este URL é válido por 5 minutos, e a sessão resultante é válida por 10 horas. A operação de API fornece ao URL um `auth_code` que possibilita uma sessão de logon único.
Veja a seguir uma resposta de exemplo de `get-dashboard-embed-url`.
```
//The URL returned is over 900 characters. For this example, we've shortened the string for
//readability and added ellipsis to indicate that it's incomplete.
{
"Status": "200",
"EmbedUrl": "https: //dashboards.example.com/embed/620bef10822743fab329fb3751187d2d...",
"RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713"
}
```
Incorpore essa sessão de console em sua página da web usando o Amazon Quick Sight [Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) ou adicionando essa URL em um iframe. Se você definir um número fixo de altura e largura (em pixels), o Amazon Quick Sight os usará e não alterará seu visual à medida que sua janela é redimensionada. Se você definir uma porcentagem relativa de altura e largura, o Amazon Quick Sight fornece um layout responsivo que é modificado conforme o tamanho da janela muda. Ao usar o Amazon Quick Sight Embedding SDK, você também pode controlar os parâmetros na sessão do console e receber retornos de chamada em termos de conclusão do carregamento da página e erros.
O exemplo a seguir mostra como usar o URL gerado. Este código é gerado no seu servidor de aplicações.
```
Basic Embed
```
Para que esse exemplo funcione, certifique-se de usar o Amazon Quick Sight Embedding SDK para carregar a sessão do console incorporado em seu site usando. JavaScript Para obter sua cópia, siga um destes procedimentos:
+ Baixe o [SDK de incorporação do Amazon Quick Sight](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) em. GitHub Esse repositório é mantido por um grupo de desenvolvedores do Amazon Quick Sight.
+ Baixe a versão mais recente do SDK de incorporação em. [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)
+ Se você usa `npm` para JavaScript dependências, faça o download e instale-o executando o comando a seguir.
```
npm install amazon-quicksight-embedding-sdk
```