Etapa 1: configurar permissões

nota

A barra de pesquisa QuickSight Q incorporada fornece a experiência clássica de QuickSight perguntas e respostas. QuickSight se integra ao Amazon Q Business para lançar uma nova experiência generativa de perguntas e respostas. Recomenda-se que os desenvolvedores usem a nova experiência generativa de perguntas e respostas. Para obter mais informações sobre a experiência incorporada de perguntas e respostas generativas, consulte. Incorpore o Amazon Q em uma experiência QuickSight generativa de perguntas e respostas

Na seção a seguir, você descobrirá como configurar permissões para sua aplicação de back-end ou para o servidor Web incorporar a barra de pesquisa do Q. Essa tarefa requer acesso administrativo ao AWS Identity and Access Management (IAM).

Cada usuário que acessa um painel assume uma função que lhe dá QuickSight acesso e permissões da Amazon ao painel. Para tornar isso possível, crie um perfil do IAM em sua Conta da AWS. Associe uma política do IAM à função, para fornecer permissões a qualquer usuário que a assumir. O perfil do IAM precisa fornecer permissões para a recuperação de URLs de incorporação para um grupo de usuários específico.

Com a ajuda do caractere curinga *, é possível conceder as permissões para a geração de um URL para todos os usuários em um namespace específico. Como alternativa, você pode conceder as permissões para a geração de um URL para um subconjunto de usuários em namespaces específicos. Para isso, você adiciona quicksight:GenerateEmbedUrlForRegisteredUser.

É possível criar uma condição na política do IAM que limite os domínios que os desenvolvedores podem listar no parâmetro AllowedDomains de uma operação de API GenerateEmbedUrlForRegisteredUser. O parâmetro AllowedDomains é opcional. Ele concede aos desenvolvedores a opção de substituir os domínios estáticos configurados no QuickSight menu Gerenciar e, em vez disso, listar até três domínios ou subdomínios que podem acessar um URL gerado. Em seguida, esse URL é incorporado ao site do desenvolvedor. Somente os domínios que estão listados no parâmetro podem acessar a barra de pesquisa Q incorporada. Sem essa condição, os desenvolvedores podem listar qualquer domínio da Internet no parâmetro AllowedDomains.

Para limitar os domínios que os desenvolvedores podem usar com esse parâmetro, adicione uma condição AllowedEmbeddingDomains à política do IAM. Para obter mais informações sobre o AllowedDomains parâmetro, consulte GenerateEmbedUrlForRegisteredUsera Amazon QuickSight API Reference.

O modelo de política a seguir fornece essas permissões.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

Além disso, se você estiver criando usuários iniciantes que serão QuickSight leitores da Amazon, certifique-se de adicionar a quicksight:RegisterUser permissão na política.

O exemplo de política a seguir fornece permissão para recuperar um URL de incorporação para usuários iniciantes que serão leitores. QuickSight


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
              "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
              "arn:partition:quicksight:region:accountId:user/namespace/userName"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                ]
            }
        }
        }
    ]
}

Por fim, a identidade do IAM da sua aplicação deve ter uma política de confiança associada a ela, para permitir acesso ao perfil que você acabou de criar. Isso significa que quando um usuário acessa seu aplicativo, seu aplicativo pode assumir a função em nome do usuário e provisioná-lo. QuickSight

O exemplo apresentado a seguir mostra um exemplo de política de confiança.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para obter mais informações sobre as políticas de confiança para a autenticação do OpenID Connect ou para a Security Assertion Markup Language (SAML), consulte as seguintes seções do Guia do usuário do IAM:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como incorporar a barra de pesquisa Q para usuários registrados

Etapa 2: gerar o URL