Etapa 1: configurar permissões

Na seção a seguir, você descobrirá como configurar permissões para a aplicação de back-end ou para o servidor Web. Essa tarefa requer acesso administrativo IAM a.

Cada usuário que acessa um painel assume uma função que lhe dá QuickSight acesso e permissões da Amazon ao painel. Para tornar isso possível, crie uma IAM função em seu Conta da AWS. Associe uma IAM política à função para fornecer permissões a qualquer usuário que a assuma. A IAM função precisa fornecer permissões para recuperar a incorporação de um grupo URLs de usuários específico. Com a ajuda do caractere curinga *, você pode conceder as permissões para gerar um URL para todos os usuários em um namespace específico ou para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona quicksight:GenerateEmbedUrlForRegisteredUser.

Você pode criar uma condição em sua IAM política que limite os domínios que os desenvolvedores podem listar no AllowedDomains parâmetro de uma GenerateEmbedUrlForRegisteredUser API operação. O parâmetro AllowedDomains é opcional. Ele concede a você, como desenvolvedor, a opção de substituir os domínios estáticos que estão configurados no menu Gerenciar QuickSight. Em vez disso, você pode listar até três domínios ou subdomínios que podem acessar o gerado. URL Em seguida, isso URL é incorporado ao site que você cria. Somente os domínios que estão listados no parâmetro podem acessar o elemento visual incorporado. Sem essa condição, você pode listar qualquer domínio da Internet no parâmetro AllowedDomains.

Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma AllowedEmbeddingDomains condição à sua IAM política. Para obter mais informações sobre o AllowedDomains parâmetro, consulte GenerateEmbedUrlForRegisteredUserna Amazon QuickSight API Reference.

O modelo de política a seguir fornece essas permissões.


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Além disso, se você estiver criando usuários iniciantes que serão QuickSight leitores da Amazon, certifique-se de adicionar a quicksight:RegisterUser permissão na política.

O exemplo de política a seguir fornece permissão para recuperar uma incorporação URL para usuários iniciantes que serão leitores. QuickSight


{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Por fim, a IAM identidade do seu aplicativo deve ter uma política de confiança associada a ela para permitir o acesso à função que você acabou de criar. Isso significa que quando um usuário acessa seu aplicativo, seu aplicativo pode assumir a função em nome do usuário e provisioná-lo. QuickSight O exemplo apresentado a seguir mostra um exemplo de política de confiança.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para obter mais informações sobre políticas de confiança para OpenID Connect ou SAML autenticação, consulte as seguintes seções do Guia do IAMusuário:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Incorporação de painéis para usuários registrados

Etapa 2: gerar o URL