Etapa 1: configurar permissões

Importante

O Amazon QuickSight tem novas APIs para incorporar analytics: GenerateEmbedUrlForAnonymousUser e GenerateEmbedUrlForRegisteredUser.

Você ainda pode usar as APIs GetDashboardEmbedUrl e GetSessionEmbedUrl para incorporar os painéis e o console do QuickSight, mas elas não contêm as funcionalidades de incorporação mais recentes. Para obter a experiência de incorporação mais recente e atualizada, consulte Incorporação de analytics do QuickSight nas aplicações.

Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo à IAM.

Cada usuário que acessa o QuickSight assume um perfil que lhe concede acesso e permissões do Amazon QuickSight para a sessão do console. Para tornar isso possível, crie uma função do IAM em sua conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. Adicione as permissões quicksight:RegisterUser para garantir que o leitor possa acessar o QuickSight no modo somente leitura e não tenha acesso a nenhum outro dado ou funcionalidade de criação. Além disso, o perfil do IAM precisa fornecer permissões para recuperar os URLs da sessão do console. Para isso, você adiciona quicksight:GetSessionEmbedUrl.

O exemplo de política apresentado a seguir fornece essas permissões para uso com IdentityType=IAM.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

O exemplo de política a seguir fornece permissão para recuperar um URL da sessão do console. Você usa a política sem quicksight:RegisterUser, se estiver criando usuários antes que eles acessem uma sessão incorporada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

Se você usar QUICKSIGHT como identityType e fornecer o nome do recurso da Amazon (ARN) do usuário, também precisará permitir a ação quicksight:GetAuthCode em sua política. O exemplo de política a seguir fornece essa permissão.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

A identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário e provisioná-lo no QuickSight. O exemplo a seguir mostra uma função chamada embedding_quicksight_console_session_role, que tem o exemplo de política antes do recurso.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_console_session_role"
    }
}

Para mais informações sobre as políticas de confiança para autenticação SAML ou OpenId Connect, consulte as seguintes seções do Guia do usuário do IAM:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Incorporação do console do QuickSight usando GetSessionEmbedUrl (API antiga)

Etapa 2: obter o URL