IAMexemplos de políticas para a Amazon QuickSight - Amazon QuickSight

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMexemplos de políticas para a Amazon QuickSight

Esta seção fornece exemplos de IAM políticas que você pode usar com a Amazon QuickSight.

IAMpolíticas baseadas em identidade para a Amazon QuickSight

Esta seção mostra exemplos de políticas baseadas em identidade para usar com a Amazon. QuickSight

Tópicos

IAMpolíticas baseadas em identidade para administração do console QuickSight IAM

O exemplo a seguir mostra as IAM permissões necessárias para ações de administração QuickSight IAM do console.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: painéis

O exemplo a seguir mostra uma IAM política que permite o compartilhamento e a incorporação de painéis para painéis específicos.

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: namespaces

Os exemplos a seguir mostram IAM políticas que permitem que um QuickSight administrador crie ou exclua namespaces.

Criar namespaces

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }

Excluir namespaces

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: permissões personalizadas

O exemplo a seguir mostra uma IAM política que permite que um QuickSight administrador ou desenvolvedor gerencie permissões personalizadas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }

O exemplo a seguir mostra outra forma de conceder as mesmas permissões mostradas no exemplo anterior.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: personalização de modelos de relatórios por e-mail

O exemplo a seguir mostra uma política que permite visualizar, atualizar e criar modelos de relatórios por e-mail QuickSight, bem como obter atributos de verificação para uma identidade do Amazon Simple Email Service. Essa política permite que um QuickSight administrador crie e atualize modelos de relatórios de e-mail personalizados e confirme se qualquer endereço de e-mail personalizado do qual deseja enviar relatórios por e-mail tem uma identidade verificadaSES.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: crie uma conta corporativa com QuickSight usuários gerenciados

O exemplo a seguir mostra uma política que permite aos QuickSight administradores criar uma QuickSight conta da edição Enterprise com usuários QuickSight gerenciados.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: criação de usuários

O exemplo a seguir mostra uma política que permite criar somente QuickSight usuários da Amazon. Em quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, você pode limitar as permissões para "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}". Para todas as demais permissões descritas neste guia, use "Resource": "*". O recurso que você especificar limita o escopo das permissões para o recurso especificado.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: criação e gerenciamento de grupos

O exemplo a seguir mostra uma política que permite que QuickSight administradores e desenvolvedores criem e gerenciem grupos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: acesso total à edição Standard

O exemplo a seguir para a edição Amazon QuickSight Standard mostra uma política que permite assinar e criar autores e leitores. Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center (funções Pro)

O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite que um QuickSight usuário assine QuickSight, crie usuários e gerencie o Active Directory em uma QuickSight conta integrada ao IAM Identity Center.

Essa política também permite que os usuários assinem funções QuickSight Pro que concedem acesso ao Amazon Q em recursos de BI QuickSight generativo. Para obter mais informações sobre funções profissionais na Amazon QuickSight, consulteComece a usar o BI generativo.

Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: acesso total à edição Enterprise com IAM o Identity Center

O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma QuickSight conta integrada ao IAM Identity Center.

Esta política não concede permissões para criar funções Pro em QuickSight. Para criar uma política que conceda permissão para assinar funções Pro em QuickSight, consulteIAMpolíticas baseadas em identidade para a Amazon QuickSight: acesso total à edição Enterprise com o IAM Identity Center (funções Pro).

Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: acesso total à edição Enterprise com o Active Directory

O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite assinar, criar usuários e gerenciar o Active Directory em uma QuickSight conta que usa o Active Directory para gerenciamento de identidade. Este exemplo nega explicitamente a permissão para cancelar a assinatura da Amazon. QuickSight

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: grupos do Active Directory

O exemplo a seguir mostra uma IAM política que permite o gerenciamento de grupos do Active Directory para uma conta da Amazon QuickSight Enterprise Edition.

{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: usando o console de gerenciamento de ativos administrativos

O exemplo a seguir mostra uma IAM política que permite acesso ao console de gerenciamento de ativos administrativos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }

IAMpolíticas baseadas em identidade para a Amazon QuickSight: usando o console de gerenciamento de chaves administrativas

O exemplo a seguir mostra uma IAM política que permite acesso ao console de gerenciamento de chaves administrativas.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }

As "kms:ListAliases" permissões "quicksight:ListKMSKeysForUser" e são necessárias para acessar as chaves gerenciadas pelo cliente a partir do QuickSight console. "quicksight:ListKMSKeysForUser"e não "kms:ListAliases" são obrigados a usar o gerenciamento de QuickSight chavesAPIs.

Para especificar quais chaves você deseja que um usuário possa acessar, adicione as ARNs chaves que você deseja que o usuário acesse à UpdateKeyRegistration condição com a chave de quicksight:KmsKeyArns condição. Os usuários só podem acessar as chaves especificadas emUpdateKeyRegistration. Para obter mais informações sobre as chaves de condição suportadas para QuickSight, consulte Chaves de condição para a Amazon QuickSight.

O exemplo abaixo concede Describe permissões para todos os CMKs que estão registrados QuickSight em uma conta e Update permissões para pessoas específicas CMKs que estão registradas na QuickSight conta.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }

AWS recursos Amazon QuickSight: políticas de escopo na edição Enterprise

O exemplo a seguir da edição Amazon QuickSight Enterprise mostra uma política que permite definir o acesso padrão aos AWS recursos e definir políticas de escopo para permissões de AWS recursos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }