As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 1: configurar permissões
| Aplica-se a: Enterprise Edition |
| Público-alvo: QuickSight desenvolvedores da Amazon |
Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo IAM a.
Cada usuário que acessa um visual assume uma função que lhe dá QuickSight acesso e permissões à Amazon para o visual. Para tornar isso possível, crie uma IAM função em seu Conta da AWS. Associe uma IAM política à função para fornecer permissões a qualquer usuário que a assuma.
Você pode criar uma condição em sua IAM política que limite os domínios que os desenvolvedores podem listar no AllowedDomains parâmetro de uma GenerateEmbedUrlForAnonymousUser API operação. O parâmetro AllowedDomains é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar QuickSight. Em vez disso, você pode listar até três domínios ou subdomínios que podem acessar um gerado. URL Em seguida, isso URL é incorporado ao site que você cria. Somente os domínios listados no parâmetro podem acessar o painel incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro AllowedDomains.
Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma AllowedEmbeddingDomains condição à sua IAM política. Para obter mais informações sobre o AllowedDomains parâmetro, consulte GenerateEmbedUrlForAnonymousUserna Amazon QuickSight API Reference.
O exemplo de política apresentado a seguir fornece essas permissões para uso com GenerateEmbedUrlForAnonymousUser. Para que essa abordagem funcione, você também precisa de um pacote de sessões, ou de uma definição de preço da capacidade de sessão, para sua Conta da AWS. Caso contrário, quando um usuário tentar acessar o elemento visual, o erro UnsupportedPricingPlanException será retornado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForAnonymousUser" ], "Resource": [ "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}", "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } }
A IAM identidade do seu aplicativo deve ter uma política de confiança associada a ela para permitir o acesso à função que você acabou de criar. Isso significa que, quando um usuário acessar a aplicação, ele poderá assumir o perfil em nome do usuário para abrir o elemento visual. O exemplo apresentado a seguir mostra um exemplo de política de confiança.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para obter mais informações sobre políticas de confiança, consulte Credenciais de segurança temporárias IAM no Guia do IAM usuário.
