As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar o IAM
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do Amazon Quick. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Introdução aos conceitos do IAM](security_iam_concepts.md)
+ [Usando o Quick com o IAM](security_iam_service-with-iam.md)
+ [Transferência de funções do IAM para o Quick](security-create-iam-role.md)
+ [Exemplos de políticas de IAM para Quick](iam-policy-examples.md)
+ [Provisionamento de usuários para o Amazon Quick](provisioning-users.md)
+ [Solução de problemas de identidade e acesso rápidos](security_iam_troubleshoot.md)
# Introdução aos conceitos do IAM
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com mais segurança o acesso aos AWS recursos. Os administradores controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar os recursos do Amazon Quick. O IAM é um AWS serviço da que pode ser usado sem custo adicional.
O IAM é usado com o Amazon Quick de várias maneiras, incluindo as seguintes:
+ Se sua empresa usa o IAM para o gerenciamento de identidade, as pessoas podem ter nomes de usuário e senhas do IAM que usam para fazer login no Amazon Quick.
+ Se você quiser que seus usuários do Amazon Quick sejam criados automaticamente no primeiro login, você pode usar o IAM para criar uma política para usuários pré-autorizados a usar o Amazon Quick.
+ Se você quiser criar acesso especializado para grupos específicos de usuários do Amazon Quick ou para recursos específicos, você pode usar as políticas do IAM para fazer isso.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
## Público
Use as informações a seguir para entender o contexto das informações fornecidas nesta seção e como se aplicam ao seu perfil. A forma como você usa AWS Identity and Access Management (IAM) varia de acordo com o trabalho que você faz no Amazon Quick.
**Usuário do serviço** — Em alguns casos, você pode usar o Amazon Quick como autor ou leitor para interagir com dados, análises e painéis, espaços e agentes por meio do Amazon Quick usando a interface do navegador. Nesses casos, esta seção fornece apenas informações básicas para você. Você não interage diretamente com o serviço IAM, exceto se usar o IAM para entrar no Amazon Quick.
**Administrador do Amazon Quick** — Se você é responsável pelos recursos do Amazon Quick em sua empresa, provavelmente tem acesso total ao Amazon Quick. É seu trabalho determinar quais recursos e recursos do Amazon Quick seus membros da equipe devem acessar. Se você tem requisitos especializados que não consegue resolver usando o painel de administração do Amazon Quick, então você pode trabalhar com seu administrador para criar políticas de permissões para seus usuários do Amazon Quick. Para saber mais sobre o IAM, leia esta página para entender os conceitos básicos do IAM. Para saber mais sobre como sua empresa pode usar o IAM com o Amazon Quick, consulte Como [usar o Amazon Quick com o IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrador** — Se você é administrador do sistema, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso ao Amazon Quick. Para ver exemplos de políticas baseadas em identidade do Amazon Quick que você pode usar no IAM, consulte [Políticas baseadas em identidade do IAM para](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) o Amazon Quick.
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
**Topics**
+ [Conta da AWS usuário root](#security_iam_authentication-rootuser)
+ [Usuários e grupos do IAM](#security_iam_authentication-iamuser)
+ [Perfis do IAM](#security_iam_authentication-iamrole)
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Usando o Quick com o IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
Antes de usar o IAM para gerenciar o acesso ao Amazon Quick, você deve entender quais recursos do IAM estão disponíveis para uso com o Amazon Quick. Para ter uma visão de alto nível de como o Amazon Quick e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Políticas rápidas da Amazon (baseadas em identidade)](#security_iam_service-with-iam-id-based-policies)
+ [Políticas do Amazon Quick (baseadas em recursos)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada nas tags Amazon Quick](#security_iam_service-with-iam-tags)
+ [Funções do Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Políticas rápidas da Amazon (baseadas em identidade)
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Quick oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
Você pode usar credenciais AWS raiz ou credenciais de usuário do IAM para criar uma conta Amazon Quick. AWS as credenciais raiz e de administrador já têm todas as permissões necessárias para gerenciar o acesso do Amazon Quick aos AWS recursos.
No entanto, recomendamos que você proteja suas credenciais raiz usando as credenciais de usuário do IAM. Para fazer isso, você pode criar uma política e anexá-la ao usuário e às funções do IAM que você planeja usar para o Amazon Quick. A política deve incluir as declarações apropriadas para as tarefas administrativas do Amazon Quick que você precisa realizar, conforme descrito nas seções a seguir.
**Importante**
Esteja ciente do seguinte ao trabalhar com as políticas do Quick e do IAM:
Evite modificar diretamente uma política criada pelo Quick. Quando você mesmo o modifica, o Quick não pode editá-lo. Essa incapacidade pode causar um problema com a política. Para corrigir o problema, exclua a política modificada anteriormente.
Se você receber um erro nas permissões ao tentar criar uma conta do Amazon Quick, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) no *Guia do usuário do IAM*.
Em alguns casos, você pode ter uma conta Amazon Quick que não pode ser acessada nem mesmo da conta raiz (por exemplo, se você excluiu acidentalmente o serviço de diretório). Nesse caso, você pode excluir sua conta antiga do Amazon Quick e recriá-la. Para obter mais informações, consulte [Excluir sua assinatura do Amazon Quick e fechar a conta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Ações](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Amazon Quick usam o seguinte prefixo antes da ação:`quicksight:`. Por exemplo, para conceder permissão a alguém para executar uma instância do Amazon EC2 com a operação da API `RunInstances` do Amazon EC2, inclua a ação `ec2:RunInstances` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Quick define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Create`, inclua a seguinte ação:
```
"Action": "quicksight:Create*"
```
O Amazon Quick fornece várias ações AWS Identity and Access Management (IAM). Todas as ações do Amazon Quick são prefixadas com`quicksight:`, como`quicksight:Subscribe`. Para obter informações sobre o uso das ações do Amazon Quick em uma política do IAM, consulte [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Para ver a up-to-date lista mais completa das ações do Amazon Quick, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) no *Guia do usuário do IAM*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Veja abaixo um exemplo de política. Isso significa que o autor da chamada com essa política vinculada pode invocar a operação `CreateGroupMembership` em qualquer grupo, desde que o nome do usuário que ele está adicionando ao grupo não seja `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Algumas ações do Amazon Quick, como aquelas para criar recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Algumas ações da API do envolvem vários recursos. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver uma lista dos tipos de recursos do Amazon Quick e seus nomes de recursos da Amazon (ARNs), consulte [Recursos definidos pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Amazon Quick não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de políticas baseadas em identidade do Amazon Quick, consulte Políticas do [Amazon Quick (com base em identidade)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Políticas do Amazon Quick (baseadas em recursos)
O Amazon Quick não oferece suporte a políticas baseadas em recursos. No entanto, você pode usar o console Amazon Quick para configurar o acesso a outros AWS recursos no seu Conta da AWS.
## Autorização baseada nas tags Amazon Quick
O Amazon Quick não oferece suporte à marcação de recursos nem ao controle de acesso com base em tags.
## Funções do Amazon Quick IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas. Você pode usar funções do IAM para agrupar permissões para facilitar o gerenciamento do acesso do usuário às ações do Amazon Quick.
O Amazon Quick não oferece suporte aos seguintes recursos de função:
+ Perfis vinculados ao serviço.
+ Funções de serviço.
+ Credenciais temporárias (uso direto): no entanto, o Amazon Quick usa credenciais temporárias para permitir que os usuários assumam uma função do IAM para acessar painéis incorporados. Para obter mais informações, consulte [Análise incorporada para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Para obter mais informações sobre como o Amazon Quick usa funções do IAM, consulte Como [usar o Amazon Quick com IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) e [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
# Transferência de funções do IAM para o Quick
| |
| --- |
| Aplica-se a: Enterprise Edition |
Quando seus usuários do IAM se inscrevem no Quick, eles podem escolher usar a função gerenciada pelo Amazon Quick (essa é a função padrão). Ou eles podem passar uma função existente do IAM para o Amazon Quick.
Use as seções abaixo para passar as funções existentes do IAM para o Amazon Quick
**Topics**
+ [Pré-requisitos](#security-create-iam-role-prerequisites)
+ [Anexar políticas adicionais](#security-create-iam-role-athena-s3)
+ [Usando funções existentes do IAM no Quick](#security-create-iam-role-use)
## Pré-requisitos
Para que seus usuários passem funções do IAM para o Amazon Quick, seu administrador precisa concluir as seguintes tarefas:
+ **Crie uma função do IAM.** Para obter mais informações sobre como criar perfis do IAM, consulte [Criação de perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) no *Guia do usuário do IAM*.
+ **Anexe uma política de confiança à sua função do IAM que permita que o Amazon Quick assuma a função**. Use o exemplo a seguir para criar uma política de confiança para o perfil. O exemplo de política de confiança a seguir permite que o diretor do Quick assuma a função do IAM à qual está vinculado.
Para obter mais informações sobre como criar políticas de confiança do IAM e anexá-las aos perfis, consulte [Modificar um perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) no *Guia do usuário do IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Atribua as seguintes permissões do IAM ao seu administrador (perfis ou usuários do IAM)**:
+ `quicksight:UpdateResourcePermissions`— Isso concede aos usuários do IAM que são administradores do Amazon Quick a permissão para atualizar as permissões em nível de recurso no Amazon Quick. Para obter mais informações sobre os tipos de recursos definidos pelo Amazon Quick, consulte [Ações, recursos e chaves de condição do Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) no *Guia do usuário do IAM*.
+ `iam:PassRole`— Isso concede aos usuários permissão para passar funções para o Amazon Quick. Para obter mais informações, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*.
+ `iam:ListRoles`— (Opcional) Isso concede aos usuários permissão para ver uma lista de funções existentes no Amazon Quick. Se essa permissão não for concedida, eles poderão utilizar um ARN para usar os perfis do IAM existentes.
Veja a seguir um exemplo de política de permissões do IAM que permite gerenciar permissões em nível de recurso, listar funções do IAM e transmitir funções do IAM no Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Para obter mais exemplos de políticas do IAM que você pode usar com o Amazon Quick, consulte [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Para obter mais informações sobre como atribuir as políticas de permissões a usuários ou grupos de usuários, consulte [Alteração de permissões de um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.
## Anexar políticas adicionais
Se você estiver usando outro AWS serviço, como o Amazon Athena ou o Amazon S3, você pode criar uma política de permissões que conceda ao Amazon Quick permissão para realizar ações específicas. Em seguida, você pode anexar a política às funções do IAM que você posteriormente passará para o Amazon Quick. Veja a seguir exemplos de como você pode configurar e anexar políticas de permissões adicionais aos seus perfis do IAM.
Para ver um exemplo de política gerenciada para o Amazon Quick no Athena, consulte [Política AWSQuicksight AthenaAccess gerenciada no Guia](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) do usuário do *Amazon Athena*. Os usuários do IAM podem acessar essa função no Amazon Quick usando o seguinte ARN:. `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
Veja a seguir um exemplo de uma política de permissões para o Amazon Quick no Amazon S3. Para obter mais informações sobre como usar o IAM com o Amazon S3, consulte [Identity and Access Management no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) no *Guia do usuário do Amazon S3*.
Para obter informações sobre como criar acesso entre contas do Amazon Quick a um bucket do Amazon S3 em outra conta, [consulte Como faço para configurar o acesso entre contas do Quick a um bucket do Amazon S3 em outra conta](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? no Centro de AWS Conhecimento.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Usando funções existentes do IAM no Quick
Se você for administrador do Amazon Quick e tiver permissões para atualizar os recursos do Amazon Quick e passar funções do IAM, você pode usar as funções do IAM existentes no Amazon Quick. Para saber mais sobre os pré-requisitos para a aprovação de funções do IAM no Amazon Quick, consulte os [pré-requisitos](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritos na lista anterior.
Use o procedimento a seguir para aprender como passar funções do IAM no Amazon Quick.
**Para usar uma função do IAM existente no Amazon Quick**
1. No Amazon Quick, escolha o nome da sua conta na barra de navegação no canto superior direito e escolha **Gerenciar QuickSight**.
1. Na página **Gerenciar Amazon Quick** que se abre, escolha **Segurança e permissões** no menu à esquerda.
1. Na página **Segurança e permissões** que se abre, em **Acesso rápido aos AWS serviços da Amazon**, escolha **Gerenciar**.
1. Em **Perfil do IAM**, escolha **Usar um perfil existente** e faça um dos seguintes procedimentos:
+ Selecione na lista o perfil que você deseja usar.
+ Se não visualizar uma lista dos perfis do IAM existentes, você pode inserir o ARN do IAM do perfil no seguinte formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Escolha **Salvar**.
# Exemplos de políticas de IAM para Quick
Esta seção fornece exemplos de políticas do IAM que você pode usar com o Quick.
## Políticas baseadas em identidade do IAM para Quick
Esta seção mostra exemplos de políticas baseadas em identidade para usar com o Quick.
**Topics**
+ [Políticas baseadas em identidade do IAM para administração do console Amazon Quick IAM](#security_iam_conosole-administration)
### Políticas baseadas em identidade do IAM para administração do console Amazon Quick IAM
O exemplo a seguir mostra as permissões do IAM necessárias para as ações de administração do console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM baseadas em identidade para Quick: painéis
O exemplo a seguir mostra uma política do IAM que permite o compartilhamento e incorporação de painéis para painéis específicos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: namespaces
Os exemplos a seguir mostram políticas do IAM que permitem que um administrador do Amazon Quick crie ou exclua namespaces.
**Criar namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Excluir namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: permissões personalizadas
O exemplo a seguir mostra uma política do IAM que permite que um administrador ou desenvolvedor do Amazon Quick gerencie permissões personalizadas.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: personalização de modelos de relatórios por e-mail
O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail no Amazon Quick, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um administrador do Amazon Quick crie e atualize modelos de relatórios de e-mail personalizados e confirme que qualquer endereço de e-mail personalizado do qual ele queira enviar relatórios por e-mail é uma identidade verificada no SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: crie uma conta corporativa com usuários gerenciados do Amazon Quick
O exemplo a seguir mostra uma política que permite aos administradores do Amazon Quick criar uma conta Amazon Quick da edição Enterprise com usuários gerenciados do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: criação de usuários
O exemplo a seguir mostra uma política que permite criar somente usuários do Amazon Quick. Em `quicksight:CreateReader`, `quicksight:CreateUser` e `quicksight:CreateAdmin`, você pode limitar as permissões para **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Para todas as demais permissões descritas neste guia, use **"Resource": "\$1"**. O recurso que você especificar limita o escopo das permissões para o recurso especificado.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: criação e gerenciamento de grupos
O exemplo a seguir mostra uma política que permite que administradores e desenvolvedores do Amazon Quick criem e gerenciem grupos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM baseadas em identidade para Quick: All access for Standard Edition
O exemplo a seguir da edição Amazon Quick Standard mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para a edição Quick: All Access for Enterprise com o IAM Identity Center (Pro roles)
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite que um usuário do Amazon Quick assine o Amazon Quick, crie usuários e gerencie o Active Directory em uma conta do Amazon Quick integrada ao IAM Identity Center.
Essa política também permite que os usuários assinem funções do Amazon Quick Pro que concedem acesso ao Amazon Q em recursos de BI generativo rápido. Para obter mais informações sobre funções profissionais no Amazon Quick, consulte [Comece a usar o Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: All Access for Enterprise Edition com o IAM Identity Center
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta Amazon Quick integrada ao IAM Identity Center.
Essa política não concede permissões para criar funções Pro no Amazon Quick. Para criar uma política que conceda permissão para assinar funções Pro no Amazon Quick, consulte [Políticas baseadas em identidade do IAM para o Amazon Quick: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: acesso total à edição Enterprise com o Active Directory
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta do Amazon Quick que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: grupos do Active Directory
O exemplo a seguir mostra uma política do IAM que permite o gerenciamento de grupos do Active Directory para uma conta da edição Amazon Quick Enterprise.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Políticas baseadas em identidade do IAM para Quick: usando o console de gerenciamento de ativos administrativos
O exemplo a seguir mostra uma política do IAM que permite o acesso ao console de gerenciamento de ativos do administrador.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: usando o console de gerenciamento de chaves administrativas
O exemplo a seguir mostra uma política do IAM que permite acesso ao console de gerenciamento de chaves do administrador.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
As `"kms:ListAliases"` permissões `"quicksight:ListKMSKeysForUser"` e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do console do Amazon Quick. `"quicksight:ListKMSKeysForUser"`e não `"kms:ListAliases"` são obrigados a usar o gerenciamento de chaves Amazon Quick APIs.
Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à `UpdateKeyRegistration` condição com a chave de `quicksight:KmsKeyArns` condição. Os usuários podem acessar somente as chaves especificadas em `UpdateKeyRegistration`. Para obter mais informações sobre as chaves de condição compatíveis com o Amazon Quick, consulte [Chaves de condição para o Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
O exemplo abaixo concede `Describe` permissões para todos os CMKs que estão registrados em uma conta Amazon Quick e `Update` permissões para específicos CMKs que estão registrados na conta Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS resources Quick: políticas de escopo na edição Enterprise
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Provisionamento de usuários para o Amazon Quick
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
## Autoprovisionamento de um administrador do Amazon Quick
Os administradores do Amazon Quick são usuários que também podem gerenciar os recursos do Amazon Quick, como configurações e contas da conta. Eles também podem comprar assinaturas adicionais de usuário do Amazon Quick, comprar [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) e cancelar a assinatura do Amazon Quick para você. Conta da AWS
Você pode usar uma política de AWS usuário ou grupo para dar aos usuários a capacidade de se adicionarem como administradores do Amazon Quick. Os usuários que receberam essa permissão só podem adicionar eles mesmos como administradores e não podem usar essa política para adicionar outras pessoas. Suas contas se tornam ativas e faturáveis na primeira vez que eles abrem o Amazon Quick. Para configurar o provisionamento automático, conceda permissão a esses usuários para usar a ação `quicksight:CreateAdmin`.
Como alternativa, você pode usar o procedimento a seguir para usar o console para definir ou criar o administrador para o Amazon Quick.
**Para tornar um usuário o administrador do Amazon Quick**
1. Crie o AWS usuário:
+ Use o IAM para criar o usuário que você deseja que seja administrador do Amazon Quick. Como alternativa, identifique um usuário existente no IAM para a função de administrador. Você também pode colocar o usuário em um novo grupo para fins de gerenciamento.
+ Conceda ao usuário (ou grupo) as permissões suficientes.
1. Faça login no seu Console de gerenciamento da AWS com as credenciais do usuário alvo.
1. Vá para [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), digite o endereço de e-mail do usuário de destino e selecione **Continue (Continuar)**.
Em caso de sucesso, o usuário-alvo agora é administrador no Amazon Quick.
## Autoprovisionamento de um autor do Amazon Quick
Os autores do Amazon Quick podem criar fontes de dados, conjuntos de dados, análises e painéis. Eles podem compartilhar análises e painéis com outros usuários do Amazon Quick em sua conta Amazon Quick. No entanto, eles não têm acesso ao menu **Manage Amazon Quick**. Eles não podem alterar as configurações da conta, gerenciar contas, comprar assinaturas adicionais de usuário do Amazon Quick ou capacidade do [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), nem cancelar a assinatura do Amazon Quick para você. Conta da AWS Além disso, os usuários do Author Pro podem criar conteúdo usando linguagem natural, criar bases de conhecimento, configurar ações e acessar recursos avançados de automação.
Você pode usar uma política de AWS usuário ou grupo para dar aos usuários a capacidade de criar uma conta de autor do Amazon Quick para si mesmos. Suas contas se tornam ativas e faturáveis na primeira vez que abrem o Amazon Quick. Para configurar o autoprovisionamento, é necessário conceder a eles permissão para usar a ação `quicksight:CreateUser`.
## Autoprovisionamento de um usuário somente para leitura do Amazon Quick
Usuários ou *leitores* somente para leitura do Amazon Quick podem visualizar e manipular painéis que são compartilhados com eles, mas não podem fazer alterações nem salvar um painel para análise posterior. Os leitores do Amazon Quick não podem criar fontes de dados, conjuntos de dados, análises ou imagens. Eles não podem realizar tarefas administrativas. Escolha essa função para as pessoas que são os consumidores dos painéis, mas não criam sua própria análise, por exemplo, executivos. Os usuários do Reader Pro têm acesso a recursos avançados, incluindo agentes de bate-papo com IA, espaços colaborativos, fluxos e extensões.
Se você estiver usando o Microsoft Active Directory com o Amazon Quick, você pode gerenciar permissões somente de leitura usando um grupo. Caso contrário, você pode convidar usuários em massa para usar o Amazon Quick. Você também pode usar uma política de AWS usuário ou grupo para dar às pessoas a capacidade de criar uma conta Amazon Quick Reader para si mesmas.
As contas dos leitores se tornam ativas e faturáveis na primeira vez que abrem o Amazon Quick. Se você decidir atualizar ou fazer o downgrade de um usuário, o faturamento desse usuário será proporcional ao mês. Para configurar o autoprovisionamento, é necessário conceder a eles permissão para usar a ação `quicksight:CreateReader`.
Os leitores que estão acostumados a atualizar painéis de forma automática ou programática para casos de uso quase em tempo real devem escolher o preço por capacidade. Para leitores que pagam preços por usuário, cada leitor está limitado ao uso manual por apenas uma pessoa.
# Solução de problemas de identidade e acesso rápidos
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Quick e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Amazon Quick
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda.
O erro de exemplo a seguir ocorre quando o usuário `mateojackson` do IAM tenta usar o console para visualizar detalhes sobre um *widget*, mas não tem as permissões `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `quicksight:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para o Amazon Quick.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Amazon Quick. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Quick
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Quick é compatível com esses recursos, consulte[Usando o Quick com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.