As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso no Quick
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
Você pode usar as seguintes ferramentas para identidade e acesso ao Quick:
+ [Centro de Identidade do IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (somente Enterprise Edition)
+ [Federação do IAM](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (Standard e Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (Somente Enterprise Edition)
+ [Logon único baseado em SAML (edições](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) Standard e Enterprise)
+ [Autenticação multifator (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard e Enterprise Edition)
**nota**
Nas regiões listadas abaixo, as contas Amazon Quick só podem usar o [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) para gerenciamento de identidade e acesso.
`af-south-1` África (Cidade do Cabo)
`ap-southeast-3` Ásia-Pacífico (Jacarta)
`ap-southeast-5`Ásia-Pacífico (Malásia)
`eu-south-1` Europa (Milão)
`eu-central-2` Europa (Zurique)
As seções a seguir ajudam você a configurar o método de gerenciamento de identidade de sua escolha para o Quick.
**Topics**
+ [Usar o IAM](iam.md)
+ [Usar o Centro de Identidade do IAM](setting-up-sso.md)
+ [Federação do IAM](iam-federation.md)
+ [Usando o Active Directory com a edição Amazon Quick Enterprise](aws-directory-service.md)
+ [Usando a autenticação multifatorial (MFA) com o Amazon Quick](using-multi-factor-authentication-mfa.md)
# Usar o IAM
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do Amazon Quick. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Introdução aos conceitos do IAM](security_iam_concepts.md)
+ [Usando o Quick com o IAM](security_iam_service-with-iam.md)
+ [Transferência de funções do IAM para o Quick](security-create-iam-role.md)
+ [Exemplos de políticas de IAM para Quick](iam-policy-examples.md)
+ [Provisionamento de usuários para o Amazon Quick](provisioning-users.md)
+ [Solução de problemas de identidade e acesso rápidos](security_iam_troubleshoot.md)
# Introdução aos conceitos do IAM
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com mais segurança o acesso aos AWS recursos. Os administradores controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar os recursos do Amazon Quick. O IAM é um AWS serviço da que pode ser usado sem custo adicional.
O IAM é usado com o Amazon Quick de várias maneiras, incluindo as seguintes:
+ Se sua empresa usa o IAM para o gerenciamento de identidade, as pessoas podem ter nomes de usuário e senhas do IAM que usam para fazer login no Amazon Quick.
+ Se você quiser que seus usuários do Amazon Quick sejam criados automaticamente no primeiro login, você pode usar o IAM para criar uma política para usuários pré-autorizados a usar o Amazon Quick.
+ Se você quiser criar acesso especializado para grupos específicos de usuários do Amazon Quick ou para recursos específicos, você pode usar as políticas do IAM para fazer isso.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
## Público
Use as informações a seguir para entender o contexto das informações fornecidas nesta seção e como se aplicam ao seu perfil. A forma como você usa AWS Identity and Access Management (IAM) varia de acordo com o trabalho que você faz no Amazon Quick.
**Usuário do serviço** — Em alguns casos, você pode usar o Amazon Quick como autor ou leitor para interagir com dados, análises e painéis, espaços e agentes por meio do Amazon Quick usando a interface do navegador. Nesses casos, esta seção fornece apenas informações básicas para você. Você não interage diretamente com o serviço IAM, exceto se usar o IAM para entrar no Amazon Quick.
**Administrador do Amazon Quick** — Se você é responsável pelos recursos do Amazon Quick em sua empresa, provavelmente tem acesso total ao Amazon Quick. É seu trabalho determinar quais recursos e recursos do Amazon Quick seus membros da equipe devem acessar. Se você tem requisitos especializados que não consegue resolver usando o painel de administração do Amazon Quick, então você pode trabalhar com seu administrador para criar políticas de permissões para seus usuários do Amazon Quick. Para saber mais sobre o IAM, leia esta página para entender os conceitos básicos do IAM. Para saber mais sobre como sua empresa pode usar o IAM com o Amazon Quick, consulte Como [usar o Amazon Quick com o IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrador** — Se você é administrador do sistema, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso ao Amazon Quick. Para ver exemplos de políticas baseadas em identidade do Amazon Quick que você pode usar no IAM, consulte [Políticas baseadas em identidade do IAM para](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) o Amazon Quick.
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
**Topics**
+ [Conta da AWS usuário root](#security_iam_authentication-rootuser)
+ [Usuários e grupos do IAM](#security_iam_authentication-iamuser)
+ [Perfis do IAM](#security_iam_authentication-iamrole)
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Usando o Quick com o IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
Antes de usar o IAM para gerenciar o acesso ao Amazon Quick, você deve entender quais recursos do IAM estão disponíveis para uso com o Amazon Quick. Para ter uma visão de alto nível de como o Amazon Quick e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Políticas rápidas da Amazon (baseadas em identidade)](#security_iam_service-with-iam-id-based-policies)
+ [Políticas do Amazon Quick (baseadas em recursos)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada nas tags Amazon Quick](#security_iam_service-with-iam-tags)
+ [Funções do Amazon Quick IAM](#security_iam_service-with-iam-roles)
## Políticas rápidas da Amazon (baseadas em identidade)
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Amazon Quick oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
Você pode usar credenciais AWS raiz ou credenciais de usuário do IAM para criar uma conta Amazon Quick. AWS as credenciais raiz e de administrador já têm todas as permissões necessárias para gerenciar o acesso do Amazon Quick aos AWS recursos.
No entanto, recomendamos que você proteja suas credenciais raiz usando as credenciais de usuário do IAM. Para fazer isso, você pode criar uma política e anexá-la ao usuário e às funções do IAM que você planeja usar para o Amazon Quick. A política deve incluir as declarações apropriadas para as tarefas administrativas do Amazon Quick que você precisa realizar, conforme descrito nas seções a seguir.
**Importante**
Esteja ciente do seguinte ao trabalhar com as políticas do Quick e do IAM:
Evite modificar diretamente uma política criada pelo Quick. Quando você mesmo o modifica, o Quick não pode editá-lo. Essa incapacidade pode causar um problema com a política. Para corrigir o problema, exclua a política modificada anteriormente.
Se você receber um erro nas permissões ao tentar criar uma conta do Amazon Quick, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) no *Guia do usuário do IAM*.
Em alguns casos, você pode ter uma conta Amazon Quick que não pode ser acessada nem mesmo da conta raiz (por exemplo, se você excluiu acidentalmente o serviço de diretório). Nesse caso, você pode excluir sua conta antiga do Amazon Quick e recriá-la. Para obter mais informações, consulte [Excluir sua assinatura do Amazon Quick e fechar a conta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Ações](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Amazon Quick usam o seguinte prefixo antes da ação:`quicksight:`. Por exemplo, para conceder permissão a alguém para executar uma instância do Amazon EC2 com a operação da API `RunInstances` do Amazon EC2, inclua a ação `ec2:RunInstances` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Quick define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Create`, inclua a seguinte ação:
```
"Action": "quicksight:Create*"
```
O Amazon Quick fornece várias ações AWS Identity and Access Management (IAM). Todas as ações do Amazon Quick são prefixadas com`quicksight:`, como`quicksight:Subscribe`. Para obter informações sobre o uso das ações do Amazon Quick em uma política do IAM, consulte [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Para ver a up-to-date lista mais completa das ações do Amazon Quick, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) no *Guia do usuário do IAM*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Veja abaixo um exemplo de política. Isso significa que o autor da chamada com essa política vinculada pode invocar a operação `CreateGroupMembership` em qualquer grupo, desde que o nome do usuário que ele está adicionando ao grupo não seja `user1`.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Algumas ações do Amazon Quick, como aquelas para criar recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Algumas ações da API do envolvem vários recursos. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver uma lista dos tipos de recursos do Amazon Quick e seus nomes de recursos da Amazon (ARNs), consulte [Recursos definidos pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Amazon Quick não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de políticas baseadas em identidade do Amazon Quick, consulte Políticas do [Amazon Quick (com base em identidade)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html).
## Políticas do Amazon Quick (baseadas em recursos)
O Amazon Quick não oferece suporte a políticas baseadas em recursos. No entanto, você pode usar o console Amazon Quick para configurar o acesso a outros AWS recursos no seu Conta da AWS.
## Autorização baseada nas tags Amazon Quick
O Amazon Quick não oferece suporte à marcação de recursos nem ao controle de acesso com base em tags.
## Funções do Amazon Quick IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas. Você pode usar funções do IAM para agrupar permissões para facilitar o gerenciamento do acesso do usuário às ações do Amazon Quick.
O Amazon Quick não oferece suporte aos seguintes recursos de função:
+ Perfis vinculados ao serviço.
+ Funções de serviço.
+ Credenciais temporárias (uso direto): no entanto, o Amazon Quick usa credenciais temporárias para permitir que os usuários assumam uma função do IAM para acessar painéis incorporados. Para obter mais informações, consulte [Análise incorporada para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Para obter mais informações sobre como o Amazon Quick usa funções do IAM, consulte Como [usar o Amazon Quick com IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) e [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
# Transferência de funções do IAM para o Quick
| |
| --- |
| Aplica-se a: Enterprise Edition |
Quando seus usuários do IAM se inscrevem no Quick, eles podem escolher usar a função gerenciada pelo Amazon Quick (essa é a função padrão). Ou eles podem passar uma função existente do IAM para o Amazon Quick.
Use as seções abaixo para passar as funções existentes do IAM para o Amazon Quick
**Topics**
+ [Pré-requisitos](#security-create-iam-role-prerequisites)
+ [Anexar políticas adicionais](#security-create-iam-role-athena-s3)
+ [Usando funções existentes do IAM no Quick](#security-create-iam-role-use)
## Pré-requisitos
Para que seus usuários passem funções do IAM para o Amazon Quick, seu administrador precisa concluir as seguintes tarefas:
+ **Crie uma função do IAM.** Para obter mais informações sobre como criar perfis do IAM, consulte [Criação de perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) no *Guia do usuário do IAM*.
+ **Anexe uma política de confiança à sua função do IAM que permita que o Amazon Quick assuma a função**. Use o exemplo a seguir para criar uma política de confiança para o perfil. O exemplo de política de confiança a seguir permite que o diretor do Quick assuma a função do IAM à qual está vinculado.
Para obter mais informações sobre como criar políticas de confiança do IAM e anexá-las aos perfis, consulte [Modificar um perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) no *Guia do usuário do IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Atribua as seguintes permissões do IAM ao seu administrador (perfis ou usuários do IAM)**:
+ `quicksight:UpdateResourcePermissions`— Isso concede aos usuários do IAM que são administradores do Amazon Quick a permissão para atualizar as permissões em nível de recurso no Amazon Quick. Para obter mais informações sobre os tipos de recursos definidos pelo Amazon Quick, consulte [Ações, recursos e chaves de condição do Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) no *Guia do usuário do IAM*.
+ `iam:PassRole`— Isso concede aos usuários permissão para passar funções para o Amazon Quick. Para obter mais informações, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*.
+ `iam:ListRoles`— (Opcional) Isso concede aos usuários permissão para ver uma lista de funções existentes no Amazon Quick. Se essa permissão não for concedida, eles poderão utilizar um ARN para usar os perfis do IAM existentes.
Veja a seguir um exemplo de política de permissões do IAM que permite gerenciar permissões em nível de recurso, listar funções do IAM e transmitir funções do IAM no Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Para obter mais exemplos de políticas do IAM que você pode usar com o Amazon Quick, consulte [exemplos de políticas do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Para obter mais informações sobre como atribuir as políticas de permissões a usuários ou grupos de usuários, consulte [Alteração de permissões de um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.
## Anexar políticas adicionais
Se você estiver usando outro AWS serviço, como o Amazon Athena ou o Amazon S3, você pode criar uma política de permissões que conceda ao Amazon Quick permissão para realizar ações específicas. Em seguida, você pode anexar a política às funções do IAM que você posteriormente passará para o Amazon Quick. Veja a seguir exemplos de como você pode configurar e anexar políticas de permissões adicionais aos seus perfis do IAM.
Para ver um exemplo de política gerenciada para o Amazon Quick no Athena, consulte [Política AWSQuicksight AthenaAccess gerenciada no Guia](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) do usuário do *Amazon Athena*. Os usuários do IAM podem acessar essa função no Amazon Quick usando o seguinte ARN:. `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
Veja a seguir um exemplo de uma política de permissões para o Amazon Quick no Amazon S3. Para obter mais informações sobre como usar o IAM com o Amazon S3, consulte [Identity and Access Management no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) no *Guia do usuário do Amazon S3*.
Para obter informações sobre como criar acesso entre contas do Amazon Quick a um bucket do Amazon S3 em outra conta, [consulte Como faço para configurar o acesso entre contas do Quick a um bucket do Amazon S3 em outra conta](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? no Centro de AWS Conhecimento.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Usando funções existentes do IAM no Quick
Se você for administrador do Amazon Quick e tiver permissões para atualizar os recursos do Amazon Quick e passar funções do IAM, você pode usar as funções do IAM existentes no Amazon Quick. Para saber mais sobre os pré-requisitos para a aprovação de funções do IAM no Amazon Quick, consulte os [pré-requisitos](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) descritos na lista anterior.
Use o procedimento a seguir para aprender como passar funções do IAM no Amazon Quick.
**Para usar uma função do IAM existente no Amazon Quick**
1. No Amazon Quick, escolha o nome da sua conta na barra de navegação no canto superior direito e escolha **Gerenciar QuickSight**.
1. Na página **Gerenciar Amazon Quick** que se abre, escolha **Segurança e permissões** no menu à esquerda.
1. Na página **Segurança e permissões** que se abre, em **Acesso rápido aos AWS serviços da Amazon**, escolha **Gerenciar**.
1. Em **Perfil do IAM**, escolha **Usar um perfil existente** e faça um dos seguintes procedimentos:
+ Selecione na lista o perfil que você deseja usar.
+ Se não visualizar uma lista dos perfis do IAM existentes, você pode inserir o ARN do IAM do perfil no seguinte formato: `arn:aws:iam::account-id:role/path/role-name`.
1. Escolha **Salvar**.
# Exemplos de políticas de IAM para Quick
Esta seção fornece exemplos de políticas do IAM que você pode usar com o Quick.
## Políticas baseadas em identidade do IAM para Quick
Esta seção mostra exemplos de políticas baseadas em identidade para usar com o Quick.
**Topics**
+ [Políticas baseadas em identidade do IAM para administração do console Amazon Quick IAM](#security_iam_conosole-administration)
### Políticas baseadas em identidade do IAM para administração do console Amazon Quick IAM
O exemplo a seguir mostra as permissões do IAM necessárias para as ações de administração do console Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas de IAM baseadas em identidade para Quick: painéis
O exemplo a seguir mostra uma política do IAM que permite o compartilhamento e incorporação de painéis para painéis específicos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: namespaces
Os exemplos a seguir mostram políticas do IAM que permitem que um administrador do Amazon Quick crie ou exclua namespaces.
**Criar namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Excluir namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: permissões personalizadas
O exemplo a seguir mostra uma política do IAM que permite que um administrador ou desenvolvedor do Amazon Quick gerencie permissões personalizadas.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: personalização de modelos de relatórios por e-mail
O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail no Amazon Quick, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um administrador do Amazon Quick crie e atualize modelos de relatórios de e-mail personalizados e confirme que qualquer endereço de e-mail personalizado do qual ele queira enviar relatórios por e-mail é uma identidade verificada no SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: crie uma conta corporativa com usuários gerenciados do Amazon Quick
O exemplo a seguir mostra uma política que permite aos administradores do Amazon Quick criar uma conta Amazon Quick da edição Enterprise com usuários gerenciados do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: criação de usuários
O exemplo a seguir mostra uma política que permite criar somente usuários do Amazon Quick. Em `quicksight:CreateReader`, `quicksight:CreateUser` e `quicksight:CreateAdmin`, você pode limitar as permissões para **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Para todas as demais permissões descritas neste guia, use **"Resource": "\$1"**. O recurso que você especificar limita o escopo das permissões para o recurso especificado.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: criação e gerenciamento de grupos
O exemplo a seguir mostra uma política que permite que administradores e desenvolvedores do Amazon Quick criem e gerenciem grupos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Políticas de IAM baseadas em identidade para Quick: All access for Standard Edition
O exemplo a seguir da edição Amazon Quick Standard mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para a edição Quick: All Access for Enterprise com o IAM Identity Center (Pro roles)
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite que um usuário do Amazon Quick assine o Amazon Quick, crie usuários e gerencie o Active Directory em uma conta do Amazon Quick integrada ao IAM Identity Center.
Essa política também permite que os usuários assinem funções do Amazon Quick Pro que concedem acesso ao Amazon Q em recursos de BI generativo rápido. Para obter mais informações sobre funções profissionais no Amazon Quick, consulte [Comece a usar o Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: All Access for Enterprise Edition com o IAM Identity Center
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta Amazon Quick integrada ao IAM Identity Center.
Essa política não concede permissões para criar funções Pro no Amazon Quick. Para criar uma política que conceda permissão para assinar funções Pro no Amazon Quick, consulte [Políticas baseadas em identidade do IAM para o Amazon Quick: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro).
Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: acesso total à edição Enterprise com o Active Directory
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma conta do Amazon Quick que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura do Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para Quick: grupos do Active Directory
O exemplo a seguir mostra uma política do IAM que permite o gerenciamento de grupos do Active Directory para uma conta da edição Amazon Quick Enterprise.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Políticas baseadas em identidade do IAM para Quick: usando o console de gerenciamento de ativos administrativos
O exemplo a seguir mostra uma política do IAM que permite o acesso ao console de gerenciamento de ativos do administrador.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Políticas baseadas em identidade do IAM para o Quick: usando o console de gerenciamento de chaves administrativas
O exemplo a seguir mostra uma política do IAM que permite acesso ao console de gerenciamento de chaves do administrador.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
As `"kms:ListAliases"` permissões `"quicksight:ListKMSKeysForUser"` e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do console do Amazon Quick. `"quicksight:ListKMSKeysForUser"`e não `"kms:ListAliases"` são obrigados a usar o gerenciamento de chaves Amazon Quick APIs.
Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à `UpdateKeyRegistration` condição com a chave de `quicksight:KmsKeyArns` condição. Os usuários podem acessar somente as chaves especificadas em `UpdateKeyRegistration`. Para obter mais informações sobre as chaves de condição compatíveis com o Amazon Quick, consulte [Chaves de condição para o Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
O exemplo abaixo concede `Describe` permissões para todos os CMKs que estão registrados em uma conta Amazon Quick e `Update` permissões para específicos CMKs que estão registrados na conta Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS resources Quick: políticas de escopo na edição Enterprise
O exemplo a seguir da edição Amazon Quick Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Provisionamento de usuários para o Amazon Quick
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
## Autoprovisionamento de um administrador do Amazon Quick
Os administradores do Amazon Quick são usuários que também podem gerenciar os recursos do Amazon Quick, como configurações e contas da conta. Eles também podem comprar assinaturas adicionais de usuário do Amazon Quick, comprar [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) e cancelar a assinatura do Amazon Quick para você. Conta da AWS
Você pode usar uma política de AWS usuário ou grupo para dar aos usuários a capacidade de se adicionarem como administradores do Amazon Quick. Os usuários que receberam essa permissão só podem adicionar eles mesmos como administradores e não podem usar essa política para adicionar outras pessoas. Suas contas se tornam ativas e faturáveis na primeira vez que eles abrem o Amazon Quick. Para configurar o provisionamento automático, conceda permissão a esses usuários para usar a ação `quicksight:CreateAdmin`.
Como alternativa, você pode usar o procedimento a seguir para usar o console para definir ou criar o administrador para o Amazon Quick.
**Para tornar um usuário o administrador do Amazon Quick**
1. Crie o AWS usuário:
+ Use o IAM para criar o usuário que você deseja que seja administrador do Amazon Quick. Como alternativa, identifique um usuário existente no IAM para a função de administrador. Você também pode colocar o usuário em um novo grupo para fins de gerenciamento.
+ Conceda ao usuário (ou grupo) as permissões suficientes.
1. Faça login no seu Console de gerenciamento da AWS com as credenciais do usuário alvo.
1. Vá para [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), digite o endereço de e-mail do usuário de destino e selecione **Continue (Continuar)**.
Em caso de sucesso, o usuário-alvo agora é administrador no Amazon Quick.
## Autoprovisionamento de um autor do Amazon Quick
Os autores do Amazon Quick podem criar fontes de dados, conjuntos de dados, análises e painéis. Eles podem compartilhar análises e painéis com outros usuários do Amazon Quick em sua conta Amazon Quick. No entanto, eles não têm acesso ao menu **Manage Amazon Quick**. Eles não podem alterar as configurações da conta, gerenciar contas, comprar assinaturas adicionais de usuário do Amazon Quick ou capacidade do [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), nem cancelar a assinatura do Amazon Quick para você. Conta da AWS Além disso, os usuários do Author Pro podem criar conteúdo usando linguagem natural, criar bases de conhecimento, configurar ações e acessar recursos avançados de automação.
Você pode usar uma política de AWS usuário ou grupo para dar aos usuários a capacidade de criar uma conta de autor do Amazon Quick para si mesmos. Suas contas se tornam ativas e faturáveis na primeira vez que abrem o Amazon Quick. Para configurar o autoprovisionamento, é necessário conceder a eles permissão para usar a ação `quicksight:CreateUser`.
## Autoprovisionamento de um usuário somente para leitura do Amazon Quick
Usuários ou *leitores* somente para leitura do Amazon Quick podem visualizar e manipular painéis que são compartilhados com eles, mas não podem fazer alterações nem salvar um painel para análise posterior. Os leitores do Amazon Quick não podem criar fontes de dados, conjuntos de dados, análises ou imagens. Eles não podem realizar tarefas administrativas. Escolha essa função para as pessoas que são os consumidores dos painéis, mas não criam sua própria análise, por exemplo, executivos. Os usuários do Reader Pro têm acesso a recursos avançados, incluindo agentes de bate-papo com IA, espaços colaborativos, fluxos e extensões.
Se você estiver usando o Microsoft Active Directory com o Amazon Quick, você pode gerenciar permissões somente de leitura usando um grupo. Caso contrário, você pode convidar usuários em massa para usar o Amazon Quick. Você também pode usar uma política de AWS usuário ou grupo para dar às pessoas a capacidade de criar uma conta Amazon Quick Reader para si mesmas.
As contas dos leitores se tornam ativas e faturáveis na primeira vez que abrem o Amazon Quick. Se você decidir atualizar ou fazer o downgrade de um usuário, o faturamento desse usuário será proporcional ao mês. Para configurar o autoprovisionamento, é necessário conceder a eles permissão para usar a ação `quicksight:CreateReader`.
Os leitores que estão acostumados a atualizar painéis de forma automática ou programática para casos de uso quase em tempo real devem escolher o preço por capacidade. Para leitores que pagam preços por usuário, cada leitor está limitado ao uso manual por apenas uma pessoa.
# Solução de problemas de identidade e acesso rápidos
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Quick e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Quick](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Amazon Quick
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda.
O erro de exemplo a seguir ocorre quando o usuário `mateojackson` do IAM tenta usar o console para visualizar detalhes sobre um *widget*, mas não tem as permissões `quicksight:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `quicksight:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para o Amazon Quick.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Amazon Quick. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Quick
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Quick é compatível com esses recursos, consulte[Usando o Quick com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usar o Centro de Identidade do IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
A edição Amazon Quick Enterprise se integra aos seus diretórios existentes, usando o Microsoft Active Directory ou o login único (IAM Identity Center) usando a Security Assertion Markup Language (SAML). Você pode usar AWS Identity and Access Management (IAM) para aprimorar ainda mais sua segurança ou para opções personalizadas, como a incorporação de painéis.
Na edição Quick Standard, você pode gerenciar usuários inteiramente no Quick. Se preferir, você pode integrar com seus usuários, grupos e perfis existentes no IAM.
Você pode usar as seguintes ferramentas para identidade e acesso ao Amazon Quick:
+ [Centro de Identidade do IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (somente Enterprise Edition)
+ [Federação do IAM](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard e Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (Somente Enterprise Edition)
+ [Logon único baseado em SAML (edições](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) Standard e Enterprise)
+ [Autenticação multifator (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard e Enterprise Edition)
**nota**
Nas regiões listadas abaixo, as contas Amazon Quick só podem usar o [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) para gerenciamento de identidade e acesso.
`af-south-1` África (Cidade do Cabo)
`ap-southeast-3` Ásia-Pacífico (Jacarta)
`ap-southeast-5`Ásia-Pacífico (Malásia)
`eu-south-1` Europa (Milão)
`eu-central-2` Europa (Zurique)
O IAM Identity Center ajuda você a criar ou conectar com segurança suas identidades de força de trabalho e gerenciar seu acesso em todas AWS as contas e aplicativos.
Antes de integrar sua conta Amazon Quick com o IAM Identity Center, configure o IAM Identity Center em sua AWS conta. Se você não configurou o IAM Identity Center em sua AWS organização, consulte [Introdução](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) no *Guia do Centro de Identidade do AWS IAM usuário*.
Se você desejar configurar um provedor de identidades externo com o Centro de Identidade do IAM, consulte [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) para visualizar uma lista das etapas de configuração dos provedores de identidades compatíveis.
**Topics**
+ [Configure sua conta Amazon Quick com o IAM Identity Center](#sec-identity-management-identity-center)
## Configure sua conta Amazon Quick com o IAM Identity Center
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
O IAM Identity Center ajuda você a criar ou configurar com segurança suas identidades de força de trabalho existentes e gerenciar seu acesso em todas AWS as contas e aplicativos. O IAM Identity Center é a abordagem recomendada para autenticação e autorização da força de trabalho em AWS organizações de qualquer tamanho e tipo. Para saber mais sobre o Centro de Identidade do IAM, consulte [Centro de Identidade do AWS IAM](https://aws.amazon.com//iam/identity-center/).
Configure o Amazon Quick e o IAM Identity Center para que você possa se inscrever em uma nova conta Amazon Quick com uma fonte de identidade configurada pelo IAM Identity Center. Com o Centro de Identidade do IAM, você pode configurar seu provedor de identidades externo como uma fonte de identidades. Você também pode usar o IAM Identity Center como um repositório de identidades se não quiser usar um provedor de identidade terceirizado com o Amazon Quick. Os métodos de identidade não podem ser alterados após a criação da conta.
Quando você integra sua conta do Amazon Quick ao IAM Identity Center, os administradores da conta do Amazon Quick podem criar uma nova conta do Amazon Quick que automaticamente tem os grupos do provedor de identidade disponíveis. Isso simplifica o compartilhamento de ativos em grande escala no Amazon Quick.
O acesso a algumas seções do console de administração do Amazon Quick é restrito pelas permissões do IAM. A tabela a seguir resume as ações administrativas que você pode realizar no Amazon Quick com base no tipo de acesso que você escolher.
Para saber mais sobre como se inscrever em uma conta do Amazon Quick com o IAM Identity Center, consulte [Inscrever-se para uma assinatura do Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Ação administrativa | permissões do IAM | Permissões da função de administrador do Amazon Quick |
| --- | --- | --- |
| **Gerenciar ativos** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não |
| **Segurança e permissões** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não |
| **Gerenciar conexões VPC** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não |
| **Chaves do KMS** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não |
| **Configurações da conta** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não |
| **Personalização da conta** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim |
| **Gerenciar usuários** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim (usuários do Centro de Identidade do IAM) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg)Sim (usuários do Amazon Quick e do IAM) |
| **Suas assinaturas** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim |
| **Configurações de dispositivos móveis** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim |
| **Domínios e incorporação** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim |
| **Capacidade do SPICE** | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/success_icon.svg) Sim |
O aplicativo móvel Amazon Quick não é compatível com contas Amazon Quick integradas ao IAM Identity Center.
### Considerações
As ações a seguir removem permanentemente a capacidade dos usuários do Amazon Quick de fazer login no Amazon Quick. O Amazon Quick não recomenda que os usuários do Amazon Quick realizem essas ações.
+ Desabilitar ou excluir o aplicativo Amazon Quick no console do IAM Identity Center. Se você quiser excluir sua conta do Amazon Quick, consulte [Fechando sua conta do Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ Migrar a conta do Amazon Quick que contém sua configuração do IAM Identity Center para uma AWS organização que não contém a instância do IAM Identity Center para a qual sua conta do Amazon Quick está configurada.
+ Excluindo a instância do IAM Identity Center que está configurada em sua conta Amazon Quick.
+ Editar os atributos da aplicação do Centro de Identidade do IAM, por exemplo, o atributo **requer atribuição**.
# Federação do IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**Importante**
O Amazon Quick recomenda que você integre novas assinaturas do Amazon Quick ao IAM Identity Center para gerenciamento de identidade. Este guia do usuário da federação de identidades do IAM é fornecido como referência para as configurações de contas existentes. Para obter mais informações sobre a integração da sua conta do Amazon Quick com o IAM Identity Center, consulte [Configurar sua conta do Amazon Quick com o IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
O Amazon Quick oferece suporte à federação de identidades nas edições Standard e Enterprise. Ao usar usuários federados, você pode gerenciar usuários com seu provedor de identidade empresarial (IdP) e AWS Identity and Access Management usar (IAM) para autenticar usuários quando eles fazem login no Quick. Você pode usar um provedor de identidade terceirizado que ofereça suporte à Security Assertion Markup Language 2.0 (SAML 2.0) para fornecer um fluxo de integração para seus usuários do Amazon Quick. Esses provedores de identidades incluem Serviços de Federação do Active Directory da Microsoft, Okta e Ping One Federation Server. Com a federação de identidades, seus usuários obtêm acesso com um clique aos aplicativos Amazon Quick usando suas credenciais de identidade existentes. Você tem também o benefício de segurança da autenticação de identidade fornecida pelo provedor de identidades. Você pode controlar quais usuários têm acesso ao Amazon Quick usando seu provedor de identidade existente.
**Topics**
+ [Iniciar logon pelo provedor de identidades (IdP)](federated-identities-idp-to-sp.md)
+ [Configurando a federação de IdP usando o IAM e o Amazon Quick](external-identity-providers-setting-up-saml.md)
+ [Iniciando o login a partir do Quick](federated-identities-sp-to-idp.md)
+ [Configurando a federação iniciada pelo provedor de serviços com a edição Quick Enterprise](setup-quicksight-to-idp.md)
+ [Configurando a sincronização de e-mail para usuários federados no Quick](jit-email-syncing.md)
+ [Tutorial: Amazon Quick e federação de identidades do IAM](tutorial-okta-quicksight.md)
# Iniciar logon pelo provedor de identidades (IdP)
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Nesse cenário, seus usuários iniciam o processo de logon no portal do provedor de identidades. Depois que os usuários são autenticados, eles fazem login no Amazon Quick. Depois que o Quick verificar se estão autorizados, seus usuários podem acessar o Quick.
Começando com o acesso de um usuário no IdP, a autenticação passa pelas seguintes etapas:
1. O usuário navega por `https://applications.example.com` e se conecta ao IdP. Nesse momento, o usuário não está conectado ao provedor de serviços.
1. O serviço de federação e o IdP autenticam o usuário:
1. O serviço de federação solicita autenticação do armazenamento de identidades da organização.
1. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.
1. Quando a autenticação é bem-sucedida, o serviço de federação publica a declaração SAML para o navegador do usuário.
1. O usuário abre o Amazon Quick:
1. O navegador do usuário publica a declaração SAML no endpoint de login da AWS para SAML (`https://signin.aws.amazon.com/saml`).
1. AWS O Sign-In recebe a solicitação SAML, processa a solicitação, autentica o usuário e encaminha o token de autenticação para o serviço Amazon Quick.
1. O Amazon Quick aceita o token de autenticação AWS e apresenta o Amazon Quick ao usuário.
Da perspectiva do usuário, o processo acontece de forma transparente. O usuário começa no portal interno da sua organização e acessa um portal de aplicativos Amazon Quick, sem precisar fornecer nenhuma AWS credencial.
No diagrama a seguir, você pode encontrar um fluxo de autenticação entre o Amazon Quick e um provedor de identidade terceirizado (IdP). Neste exemplo, o administrador configurou uma página de login para acessar o Amazon Quick, chamada. `applications.example.com` Quando um usuário faz login, a página de login publica uma solicitação em um serviço de federação que está em conformidade com SAML 2.0. O usuário final inicia a autenticação na página de login do IdP.
![\[Diagrama rápido do SAML. O diagrama contém duas caixas. A primeira descreve um processo de autenticação dentro da empresa. A segunda descreve como funciona a autenticação na AWS. O processo é descrito no texto seguinte à tabela.\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Para obter informações sobre alguns fornecedores comuns, consulte a seguinte documentação de terceiros:
+ CA: [Enabling SAML 2.0 HTTP Post Binding](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta: [Planning a SAML deployment](https://developer.okta.com/docs/concepts/saml/)
+ Ping: [Amazon integrations](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
Use os tópicos a seguir para entender o uso de uma federação existente com AWS:
+ [Federação de identidade AWS no](https://aws.amazon.com/identity/federation/) AWS site
+ [Fornecer acesso aos usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*
+ [Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) no *Guia do usuário do IAM*
# Configurando a federação de IdP usando o IAM e o Amazon Quick
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Você pode usar uma função AWS Identity and Access Management (IAM) e uma URL de estado de retransmissão para configurar um provedor de identidade (IdP) compatível com o SAML 2.0. A função concede aos usuários permissões para acessar o Amazon Quick. O estado de retransmissão corresponde ao portal para o qual o usuário é redirecionado após a autenticação com êxito pela AWS.
**Topics**
+ [Pré-requisitos](#external-identity-providers-setting-up-prerequisites)
+ [Etapa 1: criar um provedor SAML no AWS](#external-identity-providers-create-saml-provider)
+ [Etapa 2: configurar permissões AWS para seus usuários federados](#external-identity-providers-grantperms)
+ [Etapa 3: configurar o IdP SAML](#external-identity-providers-config-idp)
+ [Etapa 4: criar declarações para a resposta de autenticação de SAML](#external-identity-providers-create-assertions)
+ [Etapa 5: configurar o estado de retransmissão da federação](#external-identity-providers-relay-state)
## Pré-requisitos
Antes de configurar a conexão com o SAML 2.0, faça o seguinte:
+ Configure seu IdP para estabelecer uma relação de confiança com a AWS:
+ Na rede de sua organização, configure o armazenamento de identidades, como o Windows Active Directory, para trabalhar com um IdP com base no SAML. IdPs Os baseados em SAML incluem os Serviços de Federação do Active Directory, Shibboleth e assim por diante.
+ Usando seu IdP, gerencie o documento de metadados que descreve sua empresa como um provedor de identidades.
+ Configure a autenticação SAML 2.0 usando as mesmas etapas do Console de gerenciamento da AWS. Quando esse processo estiver concluído, você poderá configurar seu estado de retransmissão para corresponder ao estado de retransmissão do Quick. Para obter mais informações, consulte [Configurar o estado de retransmissão da sua federação](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Crie uma conta Amazon Quick e anote o nome a ser usado ao configurar sua política do IAM e o IdP. Para obter mais informações sobre a criação de uma conta Amazon Quick, consulte [Inscrever-se para uma assinatura do Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Depois de criar a configuração para federar de acordo com o Console de gerenciamento da AWS descrito no tutorial, você pode editar o estado de retransmissão fornecido no tutorial. Você faz isso com o estado de retransmissão do Amazon Quick, descrito na etapa 5 a seguir.
Para saber mais, consulte os seguintes recursos:
+ [Integrating Third-Party SAML Solution Providers with AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) no *Guia do usuário do IAM*.
+ [Solução de problemas da federação SAML 2.0 com AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), também no *Guia do usuário do IAM*.
+ [Configurando a confiança entre o ADFS AWS e o uso das credenciais do Active Directory para se conectar ao Amazon Athena com o driver ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) — Este artigo passo a passo é útil, embora você não precise configurar o Athena para usar o Amazon Quick.
## Etapa 1: criar um provedor SAML no AWS
Seu provedor de identidade SAML define o AWS IdP da sua organização como. Ele faz isso usando o documento de metadados que você gerou anteriormente usando seu IdP.
**Para criar um provedor SAML no AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Crie um novo provedor SAML, que é uma entidade no IAM que mantém informações sobre o provedor de identidades da sua organização. Para obter mais informações, consulte [Criar provedores de identidade SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) no *Manual do usuário do IAM*.
1. Como parte do processo, carregue o documento de metadados produzido pelo software de IdP em sua empresa mencionado na seção anterior.
## Etapa 2: configurar permissões AWS para seus usuários federados
Em seguida, crie um perfil do IAM que estabeleça uma relação de confiança entre o IAM e o IdP da sua organização. Essa função identifica o IdP como uma entidade de segurança (entidade confiável) para fins de federação. A função também define quais usuários autenticados pelo IdP da sua organização têm permissão para acessar o Amazon Quick. Para obter mais informações sobre como criar um perfil para um IdP SAML, consulte [Criar um perfil para uma federação do SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) no *Guia do usuário do IAM*.
Depois de criar a função, você pode limitar a função a ter permissões somente para o Amazon Quick anexando uma política embutida à função. O exemplo de documento de política a seguir fornece acesso ao Amazon Quick. Essa política permite que o usuário acesse o Amazon Quick e permite que ele crie contas de autor e contas de leitores.
**nota**
No exemplo a seguir, ** substitua por seu Conta da AWS ID de 12 dígitos (sem hífens '‐').
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Se você quiser fornecer acesso ao Amazon Quick e também a capacidade de criar administradores, autores (usuários padrão) e leitores do Amazon Quick, você pode usar o exemplo de política a seguir.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Você pode ver os detalhes da conta no Console de gerenciamento da AWS.
Depois de configurar o SAML e as políticas ou política do IAM, não é necessário convidar manualmente os usuários. Na primeira vez que os usuários abrem o Amazon Quick, eles são provisionados automaticamente, usando as permissões de mais alto nível na política. Por exemplo, se tiverem permissões para `quicksight:CreateUser` e `quicksight:CreateReader`, serão provisionados como autores. Se também tiverem permissões para `quicksight:CreateAdmin`, serão provisionados como administradores. Cada nível de permissão inclui a capacidade de criar o mesmo nível de usuário e abaixo. Por exemplo, um autor pode adicionar autores ou leitores.
Os usuários convidados manualmente são criados na função atribuída pela pessoa que os convidou. Eles não precisam ter políticas que concedam permissões a eles.
## Etapa 3: configurar o IdP SAML
Depois de criar a função do IAM, atualize seu SAML IdP AWS sobre como provedor de serviços. Para fazer isso, instale o `saml-metadata.xml` arquivo encontrado em [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
Para atualizar os metadados do IdP, consulte as instruções fornecidas por seu IdP. Alguns provedores fornecem a opção de digitar a URL, depois do que o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.
Para obter mais informações, consulte a documentação de seu IdP.
## Etapa 4: criar declarações para a resposta de autenticação de SAML
Em seguida, configure as informações para as quais o IdP passa como atributos SAML AWS como parte da resposta de autenticação. Para obter mais informações, consulte [Configurando declarações de SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Manual do usuário do IAM*.
## Etapa 5: configurar o estado de retransmissão da federação
Por fim, configure o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão do Amazon Quick. Após a autenticação bem-sucedida AWS, o usuário é direcionado para o Amazon Quick, definido como o estado de retransmissão na resposta de autenticação SAML.
A URL do estado de retransmissão do Amazon Quick é a seguinte.
```
https://quicksight.aws.amazon.com
```
# Iniciando o login a partir do Quick
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Nesse cenário, seu usuário inicia o processo de login em um portal de aplicativos Amazon Quick sem estar conectado ao provedor de identidade. Nesse caso, o usuário tem uma conta federada gerenciada por um IdP de terceiros. O usuário pode ter uma conta de usuário no Quick. O Quick envia uma solicitação de autenticação para o IdP. Depois que o usuário é autenticado, o Quick é aberto.
Começando com o login do usuário no Quick, a autenticação passa por estas etapas:
1. O usuário abre o Quick. Neste momento, o usuário não está conectado ao IdP.
1. O usuário tenta fazer login no Amazon Quick.
1. O Amazon Quick redireciona a entrada do usuário para o serviço de federação e solicita a autenticação.
1. O serviço de federação e o IdP autenticam o usuário:
1. O serviço de federação solicita autenticação do armazenamento de identidades da organização.
1. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.
1. Quando a autenticação for bem-sucedida, o serviço de federação publicará a declaração do SAML no navegador do usuário.
1. O navegador do usuário publica a declaração SAML no endpoint de login da AWS para SAML (`https://signin.aws.amazon.com/saml`).
1. AWS O Sign-In recebe a solicitação SAML, processa a solicitação, autentica o usuário e encaminha o token de autenticação para o serviço Amazon Quick.
1. O Amazon Quick aceita o token de autenticação AWS e apresenta o Amazon Quick ao usuário.
Da perspectiva do usuário, o processo acontece de forma transparente. O usuário começa em um portal de aplicativos Amazon Quick. O Amazon Quick negocia a autenticação com o serviço de federação da sua organização e. AWS O Amazon Quick abre sem que o usuário precise fornecer nenhuma credencial adicional.
# Configurando a federação iniciada pelo provedor de serviços com a edição Quick Enterprise
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidade do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Depois de concluir a configuração do seu provedor de identidade com o AWS Identity and Access Management (IAM), você pode configurar o login iniciado pelo provedor de serviços por meio do Amazon Quick Enterprise Edition. Para que a federação IAM de início rápido funcione, você precisa autorizar o Quick a enviar a solicitação de autenticação ao seu IdP. Um administrador do Quick pode configurar isso adicionando as seguintes informações fornecidas pelo IdP:
+ O URL do IdP — Quick redireciona os usuários para esse URL para autenticação.
+ O parâmetro do estado de retransmissão: esse parâmetro retransmite o estado em que a sessão do navegador estava quando foi redirecionada para autenticação. O IdP redireciona o usuário de volta ao estado original após a autenticação. O estado é fornecido como um URL.
A tabela a seguir mostra o URL de autenticação padrão e o parâmetro de estado de retransmissão para redirecionar o usuário para o URL rápido que você fornece.
| Provedor de identidades | Parâmetro | URL de autenticação |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Contas do Google | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
O Amazon Quick suporta a conexão com um IdP por. Conta da AWS A página de configuração no Amazon Quick fornece testes com URLs base em suas entradas, para que você possa testar as configurações antes de ativar o recurso. Para tornar o processo ainda mais simples, o Amazon Quick fornece um parâmetro (`enable-sso=0`) para desativar temporariamente a federação IAM iniciada pelo Amazon Quick, caso você precise desativá-la temporariamente.
## Para configurar o Amazon Quick como um provedor de serviços que pode iniciar a federação do IAM para um IdP existente
1. Certifique-se de que você já tenha a federação do IAM configurada no seu IdP, no IAM e no Amazon Quick. Para testar essa configuração, verifique se você consegue compartilhar um painel com outra pessoa no domínio da sua empresa.
1. Abra o Amazon Quick e escolha **Gerenciar Amazon Quick** no menu do seu perfil no canto superior direito.
Para realizar esse procedimento, você precisa ser administrador do Amazon Quick. Caso contrário, você não poderá ver **Manage Amazon Quick** no menu do seu perfil.
1. Selecione **Logon único (federação do IAM)** no painel de navegação.
1. Em **Configuração**, **URL do IdP**, insira o URL que o seu IdP fornece para autenticar os usuários.
1. Em **URL do IdP**, insira o parâmetro que o seu IdP fornece para o estado de retransmissão, por exemplo, `RelayState`. O nome real do parâmetro é fornecido pelo seu IdP.
1. Teste o login:
+ Para testar o login com seu provedor de identidades, use o URL personalizado fornecido em **Teste começando com seu IdP**. Você deve acessar a página inicial do Amazon Quick, por exemplo, https://quicksight.aws.amazon.com/sn/ começar.
+ Para testar primeiro o login com o Amazon Quick, use o URL personalizado fornecido em **Teste a end-to-end experiência**. O parâmetro `enable-sso` é anexado ao URL. Se `enable-sso=1`, a federação do IAM tenta se autenticar.
1. Para salvar suas configurações, selecione **Salvar**.
## Para habilitar o IdP de federação do IAM iniciado pelo provedor de serviços
1. Certifique-se de que suas configurações de federação do IAM estejam configuradas e testadas. Se você não tiver certeza sobre a configuração, teste a conexão usando o URLs procedimento anterior.
1. Abra o Amazon Quick e escolha **Gerenciar Amazon Quick** no menu do seu perfil.
1. Selecione **Logon único (federação do IAM)** no painel de navegação.
1. Em **Status**, escolha **ATIVADO**.
1. Verifique se está funcionando desconectando-se do seu IdP e abrindo o Amazon Quick.
## Para desabilitar a federação do IAM iniciada pelo provedor de serviços
1. Abra o Amazon Quick e escolha **Gerenciar Amazon Quick** no menu do seu perfil.
1. Selecione **Logon único (federação do IAM)** no painel de navegação.
1. Em **Status**, escolha **DESATIVADO**.
# Configurando a sincronização de e-mail para usuários federados no Quick
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Na edição Amazon Quick Enterprise, como administrador, você pode impedir que novos usuários usem endereços de e-mail pessoais ao provisionar por meio de seu provedor de identidade (IdP) diretamente para o Quick. O Quick então usa os endereços de e-mail pré-configurados passados pelo IdP ao provisionar novos usuários para sua conta. Por exemplo, você pode fazer com que somente endereços de e-mail atribuídos pela empresa sejam usados quando os usuários forem provisionados para sua conta Amazon Quick por meio do seu IdP.
**nota**
Certifique-se de que seus usuários estejam se federando diretamente para o Amazon Quick por meio de seu IdP. Federar para o Console de gerenciamento da AWS por meio de seu IdP e depois clicar no Amazon Quick resulta em um erro e eles não poderão acessar o Amazon Quick.
Quando você configura a sincronização de e-mail para usuários federados no Amazon Quick, os usuários que acessam sua conta Amazon Quick pela primeira vez têm endereços de e-mail pré-atribuídos. Eles são usados para registrar as contas desses usuários. Com essa abordagem, os usuários podem ignorar manualmente inserindo um endereço de e-mail. Além disso, os usuários não podem usar um endereço de e-mail que possa ser diferente do prescrito por você, o administrador.
O Amazon Quick oferece suporte ao provisionamento por meio de um IdP compatível com a autenticação SAML ou OpenID Connect (OIDC). Para configurar endereços de e-mail para novos usuários ao provisionar por meio de um IdP, você atualiza a relação de confiança do perfil do IAM que eles usam com `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. Em seguida, você adiciona um atributo SAML ou token OIDC em seu IdP. Por último, você ativa a sincronização de e-mail para usuários federados no Amazon Quick.
Os procedimentos a seguir descrevem essas etapas em detalhes.
## Etapa 1: atualizar a relação de confiança do perfil do IAM com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity
Você pode configurar endereços de e-mail para seus usuários usarem ao provisionar por meio do seu IdP para o Amazon Quick. Para isso, adicione a ação `sts:TagSession` à relação de confiança do perfil do IAM usado com `AssumeRoleWithSAML` ou`AssumeRoleWithWebIdentity`. Ao fazer isso, você pode transferir tags de `principal` quando os usuários assumirem o perfil.
O exemplo a seguir ilustra um perfil do IAM atualizado em que o IdP é o Okta. Para usar esse exemplo, atualize o Nome do recurso da Amazon (ARN) `Federated` com o ARN do seu provedor de serviços. Você pode substituir itens em vermelho por suas informações específicas do serviço AWS e do IdP.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Etapa 2: adicionar um atributo SAML ou token OIDC para a tag da entidade principal do IAM no seu IdP
Depois de atualizar a relação de confiança do perfil do IAM, conforme descrito na seção anterior, adicione um atributo SAML ou token OIDC para a tag `Principal` do IAM no seu IdP.
Os exemplos a seguir ilustram um atributo SAML e um token OIDC. Para usar esses exemplos, substitua o endereço de e-mail por uma variável no seu IdP que aponte para o endereço de e-mail de um usuário. Você pode substituir os itens destacados em vermelho pelas suas informações.
+ **Atributo SAML**: o exemplo a seguir ilustra um atributo SAML.
```
john.doe@example.com
```
**nota**
Se você estiver usando o Okta como seu IdP, certifique-se de ativar um sinalizador de recurso na sua conta de usuário do Okta para usar o SAML. Para obter mais informações, consulte [Okta e AWS parceria para simplificar o acesso por meio de tags de sessão](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) no blog da Okta.
+ **Token OIDC**: a seguir, ilustramos um exemplo de token OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Etapa 3: ativar a sincronização de e-mail para usuários federados no Amazon Quick
Conforme descrito anteriormente, atualize a relação de confiança do perfil do IAM e adicione um atributo SAML ou token OIDC para a tag `Principal` do IAM no seu IdP. Em seguida, ative a sincronização de e-mail para usuários federados no Amazon Quick, conforme descrito no procedimento a seguir.
**Para ativar a sincronização de e-mail para usuários federados**
1. Em qualquer página do Amazon Quick, escolha seu nome de usuário no canto superior direito e escolha **Gerenciar Amazon Quick**.
1. Escolha **Logon único (federação do IAM)** no menu à esquerda.
1. Na página **Federação do IAM iniciada pelo provedor de serviços**, em **Sincronização de e-mail para usuários federados**, escolha **ATIVADO**.
Quando a sincronização de e-mail para usuários federados está ativada, o Amazon Quick usa os endereços de e-mail que você configurou nas etapas 1 e 2 ao provisionar novos usuários para sua conta. Os usuários não podem inserir seus próprios endereços de e-mail.
Quando a sincronização de e-mail para usuários federados está desativada, o Amazon Quick solicita que os usuários insiram seu endereço de e-mail manualmente ao provisionar novos usuários para sua conta. Eles podem usar qualquer endereço de e-mail que quiserem.
# Tutorial: Amazon Quick e federação de identidades do IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores do Amazon Quick e desenvolvedores do Amazon Quick |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
No tutorial a seguir, você pode encontrar um passo a passo para configurar o IdP Okta como um serviço de federação para o Amazon Quick. Embora este tutorial mostre a integração do AWS Identity and Access Management (IAM) e do Okta, você também pode replicar essa solução usando o SAML 2.0 de sua escolha. IdPs
No procedimento a seguir, você cria um aplicativo no Okta IdP usando o atalho “Federação de contas AWS ”. O Okta descreve esse aplicativo de integração da seguinte forma:
“Ao federar o Okta às contas do Amazon Web Services (AWS) Identity and Access Management (IAM), os usuários finais obtêm acesso de login único a todas as funções atribuídas com suas credenciais Okta. AWS Em cada uma delas Conta da AWS, os administradores configuram a federação e configuram AWS funções para confiar no Okta. Quando os usuários fazem login AWS, eles obtêm a experiência de login único do Okta para ver as funções atribuídas. AWS Em seguida, eles podem selecionar um perfil desejado, que definiu suas permissões durante a sessão autenticada. Clientes com um grande número de AWS contas, confira o aplicativo AWS Single Sign-On como alternativa.” (https://www.okta.com/aws/)
**Para criar um aplicativo Okta usando o atalho do aplicativo “Federação de AWS contas” do Okta**
1. Faça login no painel do Okta. Se você não tiver uma, crie uma conta gratuita do Okta Developer Edition usando [esse URL da marca Amazon Quick](https://developer.okta.com/quickstart/). Depois de ativar seu e-mail, faça login no Okta.
1. No site do Okta, escolha **<> Developer Console** no canto superior esquerdo e selecione **Classic UI**.
1. Escolha **Add Applications** e **Add app**.
1. Insira **aws** em **Search** e escolha **AWS Account Federation** nos resultados da pesquisa.
1. Escolha **Add** para criar uma instância dessa aplicação.
1. Em **Application label**, insira **AWS Account Federation - Amazon Quick**.
1. Escolha **Próximo**.
1. Em **SAML 2.0**, **Default Relay State**, insira **https://quicksight.aws.amazon.com**.
1. Abra o menu de contexto (clique com o botão direito do mouse) em **Identity Provider metadata** e escolha salvar o arquivo. Nomeie o arquivo `metadata.xml`. Você precisará dele para o próximo procedimento.
O conteúdo do arquivo é semelhante ao seguinte:
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Depois de salvar o arquivo XML, vá até o final da página do Okta e escolha **Done**.
1. Mantenha essa janela do navegador aberta, se possível. Você precisará dela posteriormente no tutorial.
Em seguida, você criará um provedor de identidades na sua Conta da AWS.
**Para criar um provedor SAML no AWS Identity and Access Management (IAM)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Provedores de identidades**, **Criar provedor**.
1. Insira as seguintes configurações:
+ **Tipo de provedor**: escolha **SAML** na lista.
+ **Nome do provedor**: insira **Okta**.
+ **Documento de metadados**: carregue o arquivo XML `manifest.xml` do procedimento anterior.
1. Escolha **Próximo passo**, **Criar**.
1. Localize o IdP que você criou e selecione-o para visualizar as configurações. Anote o **ARN do provedor**. Você precisa disso para concluir o tutorial.
1. Verifique se o provedor de identidades foi criado com suas configurações. No IAM, escolha **Provedores de identidades**, **Okta** (o IdP que você adicionou), **Baixar metadados**. O arquivo deve ser o que você carregou recentemente.
Em seguida, você cria uma função do IAM para permitir que a federação SAML 2.0 atue como uma entidade confiável em seu Conta da AWS. Para esta etapa, você precisa escolher como deseja provisionar usuários no Amazon Quick. Você pode executar uma das seguintes ações:
+ Conceda permissão à função do IAM para que visitantes iniciantes se tornem usuários do Amazon Quick automaticamente.
**Para criar um perfil do IAM para uma federação SAML 2.0 como uma entidade confiável**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Funções** e **Criar função**.
1. Em **Selecionar tipo de entidade confiável**, escolha o cartão rotulado como **Federação SAML 2.0**.
1. Em **Provedor SAML**, selecione o IdP criado no procedimento anterior, por exemplo, `Okta`.
1. Habilite a opção **Permitir acesso programático e ao Console de Gerenciamento da AWS **.
1. Escolha **Próximo: Permissões**.
1. Cole a política a seguir no editor.
No editor da política, atualize o JSON com o nome do recurso da Amazon (ARN) do seu provedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Selecione **Revisar política**.
1. Em **Nome**, insira e **QuicksightOktaFederatedPolicy** e selecione **Create policy (Criar política)**.
1. Escolha **Criar política**, **JSON** pela segunda vez.
1. Cole a política a seguir no editor.
No editor de políticas, atualize o JSON com seu Conta da AWS ID. Deve ser o mesmo ID de conta que você usou na política anterior no ARN do provedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Você pode omitir o Região da AWS nome no ARN, conforme mostrado a seguir.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Selecione **Revisar política**.
1. Em **Nome**, insira e **QuicksightCreateReader** e selecione **Create policy (Criar política)**.
1. Atualize a lista de políticas escolhendo o ícone de atualização à direita.
1. Em **Pesquisar**, insira **QuicksightOktaFederatedPolicy**. Escolha a política para habilitá-la (![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/checkbox-on.png)).
Se você não quiser usar o provisionamento automático, ignore a etapa a seguir.
Para adicionar um usuário do Amazon Quick, use [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Para adicionar um grupo Amazon Quick, use [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Para adicionar usuários ao grupo Amazon Quick, use [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Opcional) Em **Pesquisar**, insira **QuicksightCreateReader**. Escolha a política para habilitá-la (![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/checkbox-on.png)).
Execute essa etapa se quiser provisionar usuários do Amazon Quick automaticamente, em vez de usar a API do Amazon Quick.
A política `QuicksightCreateReader` ativa o provisionamento automático ao permitir o uso da ação `quicksight:CreateReader`. Isso concede aos assinantes do painel (nível de leitor) acesso aos usuários iniciantes. Posteriormente, um administrador do Amazon Quick pode atualizá-los no menu de perfil do Amazon Quick, **Gerenciar o Amazon Quick**, **Gerenciar usuários**.
1. Para continuar anexando as políticas ou a política do IAM, escolha **Próximo: tags**.
1. Escolha **Próximo: revisar**.
1. Em **Nome do perfil**, insira **QuicksightOktaFederatedRole** e escolha **Criar perfil**.
1. Verifique se você concluiu essa parte com êxito seguindo as seguintes etapas:
1. Volte para a página principal do console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Você pode usar o botão **Voltar** do seu navegador.
1. Escolha **Perfis**.
1. Em **Pesquisar**, insira Okta. **QuicksightOktaFederatedRole**Escolha entre os resultados da pesquisa.
1. Na página **Resumo** da política, examine a guia **Permissões**. Verifique se o perfil tem a política ou as políticas que você anexou a ele. Ele deve ter `QuicksightOktaFederatedPolicy`. Se você optou por adicionar a capacidade de criar usuários, também deve ter `QuicksightCreateReader`.
1. Use o ícone ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/caret-right-filled.png) para abrir cada política. Verifique se o texto corresponde ao que é mostrado neste procedimento. Verifique novamente se você adicionou seu próprio Conta da AWS número no lugar do número de conta de exemplo 111111111111.
1. Na guia **Relações de confiança**, verifique se o campo **Entidades confiáveis** contém o ARN do provedor de identidades. Você pode verificar novamente o ARN no console do IAM abrindo **Provedores de identidades**, **Okta**.
**Para criar uma chave de acesso para o Okta**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Adicione uma política que permita ao Okta exibir uma lista de perfis do IAM para o usuário. Para isso, escolha **Política**, **Criar política**.
1. Escolha **JSON** e insira a política a seguir.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Escolha **Revisar política**.
1. Em **Name (Nome)**, insira **OktaListRolesPolicy**. Selecione **Criar política**.
1. Adicione um usuário para que você possa fornecer uma chave de acesso ao Okta.
No painel de navegação, escolha **Usuários**, **Adicionar usuário**.
1. Use as seguintes configurações:
+ Em **Nome do usuário**, digite `OktaSSOUser`.
+ Em **Tipo de acesso**, habilite **Acesso programático**.
1. Escolha **Próximo: Permissões**.
1. Escolha **Anexar políticas existentes diretamente**.
1. Em **Pesquisar****OktaListRolesPolicy**, insira e escolha entre os resultados **OktaListRolesPolicy**da pesquisa.
1. Escolha **Próximo: tags** e **Próximo: revisar**.
1. Selecione **Criar usuário**. Agora você pode obter a chave de acesso.
1. Baixe o arquivo de chaves selecionando **Baixar .csv**. O arquivo contém o mesmo ID da chave de acesso e a mesma chave de acesso secreta que são exibidas nessa tela. No entanto, como AWS não exibe essas informações pela segunda vez, certifique-se de baixar o arquivo.
1. Verifique se você concluiu essa etapa corretamente seguindo os seguintes passos:
1. Abra o console do IAM e escolha **Usuários**. Pesquise **Okta SSOUser** e abra-o escolhendo o nome de usuário nos resultados da pesquisa.
1. Na guia **Permissões**, verifique se o **OktaListRolesPolicy**está anexado.
1. Use o ícone ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/caret-right-filled.png) para abrir a política. Verifique se o texto corresponde ao que é mostrado neste procedimento.
1. Na guia **Credenciais de segurança**, você pode verificar a chave de acesso, embora já a tenha baixado. Você pode voltar a essa guia para criar uma chave de acesso quando precisar de uma nova.
No procedimento a seguir, você retorna ao Okta para fornecer a chave de acesso. A chave de acesso funciona com suas novas configurações de segurança para permitir AWS e o Okta IdP para trabalhar em conjunto.
**Para finalizar a configuração do aplicativo Okta com as configurações AWS**
1. Volte para o painel do Okta. Se solicitado, faça login. Se o console do desenvolvedor não estiver mais aberto, escolha **Admin** para reabri-lo.
1. Se precisar reabrir o Okta, você pode retornar a esta seção seguindo as etapas a seguir:
1. Faça login no Okta. Selecione **Aplicações**.
1. Escolha **Federação de AWS contas - Amazon Quick** — o aplicativo que você criou no início deste tutorial.
1. Escolha a guia **Sign On**, entre **General** e **Mobile**.
1. Role até **Advanced Sign-On Settings**.
1. Em **Identity Provider ARN (Required only for SAML IAM federation)**, insira o ARN do provedor do procedimento anterior, por exemplo:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Escolha **Done** ou **Save**. O nome do botão varia se você estiver criando ou editando a aplicação.
1. Escolha a guia **Provisioning** e, na parte inferior da guia, selecione **Configure API Integration**.
1. Ative **Enable API integration** para exibir as configurações.
1. Em **Access Key** e **Secret Key**, forneça a chave de acesso e a chave secreta que você baixou anteriormente em um arquivo chamado **OktaSSOUser**`_credentials.csv`.
1. Escolha **Test API Credentials**. Veja acima da configuração **Enable API integration** para ver a mensagem de confirmação **AWS Account Federation was verified successfully**.
1. Escolha **Salvar**.
1. Certifique-se de que **To App** esteja destacado à esquerda e escolha **Edit** à direita.
1. Em **Create Users**, ative a opção **Enable**.
1. Escolha **Salvar**.
1. Na guia **Assignments**, perto de **Provisioning** e **Import**, escolha **Assign**.
1. Faça um ou mais dos seguintes procedimentos para habilitar o acesso federado:
+ Para trabalhar com usuários individuais, escolha **Assign to People**.
+ Para trabalhar com grupos do IAM, escolha **Assign to Groups**. Você pode escolher grupos específicos do IAM ou **Everyone (All users in your organization)**.
1. Para cada grupo ou usuário do IAM, faça o seguinte:
1. Escolha **Assign**, **Role**.
1. Selecione na **QuicksightOktaFederatedRole**lista de funções do IAM.
1. Para **funções de usuário do SAML**, habilite **QuicksightOktaFederatedRole**.
1. Escolha **Save and Go Back** e selecione **Done**.
1. Certifique-se de que você concluiu essa etapa corretamente escolhendo o filtro **People** ou **Groups** à esquerda e verificando os usuários ou grupos inseridos. Se você não conseguir concluir esse processo porque o perfil criado não aparece na lista, retorne aos procedimentos anteriores para verificar as configurações.
**Para fazer login no Amazon Quick usando Okta (login de IdP para provedor de serviços)**
1. Se você estiver usando uma conta de administrador do Okta, mude para o modo de usuário.
1. Entre no painel do Okta Applications com um usuário que tenha recebido acesso federado. Você deve ver um novo aplicativo com sua etiqueta, por exemplo, **Federação de AWS contas - Amazon Quick**.
1. Escolha o ícone do aplicativo para iniciar a **Federação de AWS Contas - Amazon Quick**.
Agora você pode gerenciar identidades usando o Okta e usar o acesso federado com o Quick.
O procedimento a seguir é uma parte opcional deste tutorial. Se você seguir suas etapas, você autoriza o Amazon Quick a encaminhar solicitações de autorização para o IdP em nome de seus usuários. Usando esse método, os usuários podem fazer login no Amazon Quick sem precisar primeiro fazer login usando a página do IdP.
**(Opcional) Para configurar o Amazon Quick para enviar solicitações de autenticação para a Okta**
1. Abra o Amazon Quick e escolha **Gerenciar Amazon Quick** no menu do seu perfil.
1. Selecione **Logon único (federação do IAM)** no painel de navegação.
1. Em **Configuração**, **URL do IdP**, insira o URL que seu IdP fornece para autenticar usuários, por exemplo, https://dev - .okta. *1-----0* com/home/amazon\$1foi/*0oabababababaGQei5d5/282*. Você encontra isso na página do seu aplicativo do Okta, na guia **General**, em **Embed Link**.
1. Para **URL do IdP**, insira `RelayState`.
1. Execute um destes procedimentos:
+ Para testar primeiro o login com seu provedor de identidades, use o URL personalizado fornecido em **Teste começando com seu IdP**. Você deve acessar a página inicial do Amazon Quick, por exemplo, https://quicksight.aws.amazon.com/sn/ começar.
+ Para testar primeiro o login com o Amazon Quick, use o URL personalizado fornecido em **Teste a end-to-end experiência**. O parâmetro `enable-sso` é anexado ao URL. Se `enable-sso=1`, a federação do IAM tenta se autenticar. Se`enable-sso=0`, o Amazon Quick não enviar a solicitação de autenticação e você fizer login no Amazon Quick como antes.
1. Em **Status**, escolha **ATIVADO**.
1. Para salvar suas configurações, selecione **Salvar**.
Você pode criar um link direto para um painel do Amazon Quick para permitir que os usuários usem a federação do IAM para se conectar diretamente a painéis específicos. Para isso, você anexa o sinalizador do estado de retransmissão e o URL do painel ao URL de logon único do Okta, conforme descrito a seguir.
**Para criar um link direto para um painel do Amazon Quick para login único**
1. Localize o URL de logon único (federação do IAM) da aplicação do Okta no arquivo `metadata.xml` que você baixou no início do tutorial. Você encontra o URL quase no fim do arquivo, no elemento chamado `md:SingleSignOnService`. O atributo chama-se `Location` e o valor termina com `/sso/saml`, como mostrado no exemplo a seguir.
```
```
1. Pegue o valor do URL da federação do IAM e acrescente `?RelayState=` seguido pelo URL do seu painel do Amazon Quick. O parâmetro `RelayState` retransmite o estado (o URL) em que o usuário estava quando foi redirecionado ao URL de autenticação.
1. À nova federação do IAM com o estado de retransmissão adicionado, anexe a URL do seu painel do Amazon Quick. O URL resultante deve ser semelhantes ao mostrado a seguir.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Se o link criado não abrir, verifique se você está usando o URL da federação do IAM mais recente do `metadata.xml`. Verifique também se o nome de usuário que você usa para fazer login não está atribuído em mais de um aplicativo do Okta da federação do IAM.
# Usando o Active Directory com a edição Amazon Quick Enterprise
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
A edição Amazon Quick Enterprise oferece suporte [ao AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) e ao [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Para criar um novo diretório para ser seu gerenciador de identidade do Quick, use AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD. Esse é um host do Active Directory na Nuvem AWS que oferece quase as mesmas funcionalidades do Active Directory. Atualmente, você pode se conectar ao Active Directory em qualquer AWS região suportada pelo Amazon Quick, exceto na Ásia-Pacífico (Cingapura). Quando você cria um diretório, você o usa como uma nuvem privada virtual (VPC). Para obter mais informações, consulte [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Se você tiver um diretório existente que deseja usar para o Quick, você pode usar o Active Directory Connector. Esse serviço redireciona as solicitações de diretório para o seu Active Directory, em outro local Região da AWS ou no local, sem armazenar nenhuma informação em cache na nuvem.
Para obter uma explicação sobre como criar e gerenciar um diretório com AWS Managed Microsoft AD, consulte [Usar um AWS Microsoft AD gerenciado com](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) o Quick? no Centro de AWS Conhecimento.
Quando você usa o AWS Directory Service para iniciar um diretório, AWS cria uma unidade organizacional (OU) com o mesmo nome do seu domínio. AWS também cria uma conta administrativa com direitos administrativos delegados para a OU. Você pode criar contas, grupos e políticas dentro da UO utilizando usuários e grupos do Active Directory. Para obter mais informações, consulte [Best Practices for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) no *Directory Service Administration Guide.*
Depois de estabelecer seu diretório, você o usa com o Quick criando grupos para usuários. O Amazon Quick tem seis funções de usuário específicas que podem ser atribuídas, incluindo versões Pro que fornecem acesso a recursos avançados:
+ **Administradores rápidos — Os administradores** podem alterar as configurações da conta, gerenciar contas. Os administradores também podem comprar assinaturas adicionais de usuário do Amazon Quick ou capacidade do [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), ou cancelar a assinatura do Amazon Quick para você. Conta da AWS Os usuários do Admin Pro têm recursos adicionais, incluindo a criação de conteúdo usando linguagem natural, a criação de bases de conhecimento, a configuração de ações e o acesso a fluxos de trabalho de automação avançados.
+ **Autores rápidos — os** autores do Amazon Quick podem criar fontes de dados, conjuntos de dados, análises e painéis. Eles podem compartilhar análises e painéis com outros usuários do Amazon Quick. Além disso, os usuários do Author Pro podem criar conteúdo usando linguagem natural, criar bases de conhecimento, configurar ações e acessar recursos avançados de automação.
+ **Leitores rápidos** — os leitores podem visualizar e interagir com painéis criados por outra pessoa. Os usuários do Reader Pro têm acesso a recursos avançados, incluindo agentes de bate-papo com IA, espaços colaborativos, fluxos e extensões.
Você pode adicionar ou refinar o acesso aplicando as políticas do IAM. Por exemplo, você pode usar as políticas do IAM para permitir que os usuários se cadastrarem sozinhos.
Ao assinar a edição Amazon Quick Enterprise e escolher o Active Directory como seu provedor de identidade, você pode associar seus grupos do AD ao Amazon Quick. Você também pode adicionar ou alterar seus grupos do AD depois.
**Topics**
+ [Integração de diretórios com a edição Quick Enterprise](#directory-integration)
## Integração de diretórios com a edição Quick Enterprise
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
O Quick Enterprise oferece suporte às seguintes opções:
+ AWS Directory Service
+ AWS Directory Service com AD Connector
+ Active Directory on-premises com federação do IAM ou AD Connector
+ Federação do IAM usando Centro de Identidade do AWS IAM ou outro serviço de federação de terceiros
Se você quiser usar a federação do IAM com um Active Directory local, implemente o AWS Directory Service como um Active Directory separado com uma relação de confiança com o Active Directory local.
Se você quiser evitar o uso de uma relação de confiança, pode implantar um domínio independente para autenticação dentro da AWS. Em seguida, você pode criar usuários e grupos no Active Directory. Em seguida, você os mapearia para usuários e grupos no Quick. Neste exemplo, os usuários se autenticam usando suas credenciais de login do Active Directory. Para tornar o acesso ao Quick transparente para seus usuários, use a federação do IAM nesse cenário.
# Usando a autenticação multifatorial (MFA) com o Amazon Quick
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores de sistemas |
**Importante**
O Amazon Quick recomenda que você integre novas assinaturas do Quick ao IAM Identity Center para gerenciamento de identidade. Este guia do usuário da federação de identidades do IAM é fornecido como referência para as configurações de contas existentes. Para obter mais informações sobre como integrar sua conta rápida com o IAM Identity Center, consulte [Configurar sua conta rápida com o IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Há várias maneiras de usar a autenticação multifator (MFA) com o Quick. Você pode usá-lo com AWS Identity and Access Management (IAM). Você pode usá-lo com o AD Connector ou com o [AWS Directory Service](https://aws.amazon.com/directoryservice/) for Microsoft Active Directory, também conhecido como AWS Microsoft Active Directory ou AWS Managed Microsoft Active Directory. E se você usa um provedor de identidade externo (IdP), AWS não precisa ter nenhuma informação sobre o MFA porque isso faz parte da autenticação gerenciada pelo IdP.
Para saber mais, consulte:
+ [Uso de autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no Guia do usuário do IAM.
+ [Habilite a autenticação multifator para o Microsoft AD AWS gerenciado](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) no Guia de AWS Directory Service Administração
+ [Enable Multi-Factor Authentication for AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) no Guia de administração AWS Directory Service
Se você for um desenvolvedor, consulte:
+ [Como faço para usar um token de MFA para autenticar o acesso aos meus AWS recursos por meio da AWS CLI no Centro](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/) [de Conhecimento AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no Guia do usuário do IAM.