As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas do IAM para a Amazon QuickSight
Esta seção fornece exemplos de políticas do IAM que você pode usar com a Amazon QuickSight.
Políticas baseadas em identidade do IAM para a Amazon QuickSight
Esta seção mostra exemplos de políticas baseadas em identidade para usar com a Amazon. QuickSight
Tópicos
- Políticas baseadas em identidade do IAM para administração do console QuickSight do IAM
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: painéis
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: namespaces
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: permissões personalizadas
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: personalização de modelos de relatórios por e-mail
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: crie uma conta corporativa com usuários gerenciados QuickSight
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: criação de usuários
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: criação e gerenciamento de grupos
- Políticas baseadas em identidade do IAM para Amazon QuickSight: acesso total à edição Standard
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o Active Directory
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: grupos do Active Directory
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: usando o console de gerenciamento de ativos administrativos
- Políticas baseadas em identidade do IAM para a Amazon QuickSight: usando o console de gerenciamento de chaves administrativas
- AWS recursos Amazon QuickSight: políticas de escopo na edição Enterprise
Políticas baseadas em identidade do IAM para administração do console QuickSight do IAM
O exemplo a seguir mostra as permissões do IAM necessárias para as ações de administração QuickSight do console do IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: painéis
O exemplo a seguir mostra uma política do IAM que permite o compartilhamento e incorporação de painéis para painéis específicos.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: namespaces
Os exemplos a seguir mostram políticas do IAM que permitem que um QuickSight administrador crie ou exclua namespaces.
Criar namespaces
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Excluir namespaces
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: permissões personalizadas
O exemplo a seguir mostra uma política do IAM que permite que um QuickSight administrador ou desenvolvedor gerencie permissões personalizadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: personalização de modelos de relatórios por e-mail
O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail QuickSight, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um QuickSight administrador crie e atualize modelos de relatórios de e-mail personalizados e confirme que qualquer endereço de e-mail personalizado do qual deseje enviar relatórios por e-mail é uma identidade verificada no SES.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: crie uma conta corporativa com usuários gerenciados QuickSight
O exemplo a seguir mostra uma política que permite aos QuickSight administradores criar uma QuickSight conta da edição Enterprise com usuários QuickSight gerenciados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: criação de usuários
O exemplo a seguir mostra uma política que permite criar somente QuickSight usuários da Amazon. Em quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, você pode limitar as permissões para "Resource":
"arn:aws:quicksight::. Para todas as demais permissões descritas neste guia, use <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". O recurso que você especificar limita o escopo das permissões para o recurso especificado.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: criação e gerenciamento de grupos
O exemplo a seguir mostra uma política que permite que QuickSight administradores e desenvolvedores criem e gerenciem grupos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para Amazon QuickSight: acesso total à edição Standard
O exemplo a seguir para a edição Amazon QuickSight Standard mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)
O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite que um QuickSight usuário se inscreva QuickSight, crie usuários e gerencie o Active Directory em uma QuickSight conta integrada ao IAM Identity Center.
Essa política também permite que os usuários assinem funções QuickSight Pro que concedem acesso ao Amazon Q em recursos de BI QuickSight generativo. Para obter mais informações sobre funções profissionais na Amazon QuickSight, consulteComo começar a usar a BI generativa.
Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center
O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma QuickSight conta integrada ao IAM Identity Center.
Esta política não concede permissões para criar funções Pro em QuickSight. Para criar uma política que conceda permissão para assinar funções Pro em QuickSight, consultePolíticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center (funções Pro).
Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: acesso total à edição Enterprise com o Active Directory
O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma QuickSight conta que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: grupos do Active Directory
O exemplo a seguir mostra uma política do IAM que permite o gerenciamento de grupos do Active Directory para uma conta da Amazon QuickSight Enterprise Edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: usando o console de gerenciamento de ativos administrativos
O exemplo a seguir mostra uma política do IAM que permite o acesso ao console de gerenciamento de ativos do administrador.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Políticas baseadas em identidade do IAM para a Amazon QuickSight: usando o console de gerenciamento de chaves administrativas
O exemplo a seguir mostra uma política do IAM que permite acesso ao console de gerenciamento de chaves do administrador.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
As "kms:ListAliases" permissões "quicksight:ListKMSKeysForUser" e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do QuickSight console. "quicksight:ListKMSKeysForUser"e não "kms:ListAliases" são obrigados a usar o gerenciamento de QuickSight chaves APIs.
Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à UpdateKeyRegistration condição com a chave de quicksight:KmsKeyArns condição. Os usuários podem acessar somente as chaves especificadas em UpdateKeyRegistration. Para obter mais informações sobre as chaves de condição suportadas para QuickSight, consulte Chaves de condição para a Amazon QuickSight.
O exemplo abaixo concede Describe permissões para todos os CMKs que estão registrados QuickSight em uma conta e Update permissões para pessoas específicas CMKs que estão registradas na QuickSight conta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS recursos Amazon QuickSight: políticas de escopo na edição Enterprise
O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
