Transferir las funciones de IAM a Quick - Amazon Quick
Requisitos previosAsociación de políticas adicionalesUso de las funciones de IAM existentes en Quick

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Transferir las funciones de IAM a Quick

 Se aplica a: Enterprise Edition 

Cuando sus usuarios de IAM se registran en Quick, pueden optar por utilizar la función gestionada por Amazon Quick (esta es la función predeterminada). O bien, pueden transferir una función de IAM existente a Amazon Quick.

Utilice las siguientes secciones para transferir las funciones de IAM existentes a Amazon Quick

Requisitos previos

Para que los usuarios transfieran las funciones de IAM a Amazon Quick, el administrador debe realizar las siguientes tareas:

  • Cree un rol de IAM. Para obtener más información sobre la creación de roles, consulte Creación de roles de IAM en la Guía del usuario de IAM.

  • Adjunta una política de confianza a tu función de IAM que permita a Amazon Quick asumir esa función. Use el siguiente ejemplo para crear una política de confianza para el rol. El siguiente ejemplo de política de confianza permite al director de Quick asumir la función de IAM a la que está vinculado.

    Para obtener más información sobre cómo crear políticas de confianza de IAM y asociarlas a los roles, consulte Modificación de un rol (consola) en la Guía del usuario de IAM.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Asigne los siguientes permisos de IAM a su administrador (usuarios o roles de IAM):

    • quicksight:UpdateResourcePermissions— Esto concede a los usuarios de IAM que son administradores de Amazon Quick el permiso para actualizar los permisos a nivel de recursos en Amazon Quick. Para obtener más información sobre los tipos de recursos definidos por Amazon Quick, consulte Acciones, recursos y claves de condición de Quick en la Guía del usuario de IAM.

    • iam:PassRole— Esto otorga a los usuarios permiso para transferir funciones a Amazon Quick. Para obtener más información, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del usuario de IAM.

    • iam:ListRoles— (Opcional) Esto otorga a los usuarios permiso para ver una lista de las funciones existentes en Amazon Quick. Si no se proporciona este permiso, pueden usar un ARN para usar los roles de IAM existentes.

    El siguiente es un ejemplo de una política de permisos de IAM que permite gestionar los permisos a nivel de recursos, enumerar las funciones de IAM y transferir las funciones de IAM en Quick.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Para ver más ejemplos de políticas de IAM que puedes usar con Amazon Quick, consulta Ejemplos de políticas de IAM para Amazon Quick.

Para obtener más información sobre cómo asignar políticas de permisos a usuarios y grupos de usuarios, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.

Asociación de políticas adicionales

Si utiliza otro AWS servicio, como Amazon Athena o Amazon S3, puede crear una política de permisos que conceda permiso a Amazon Quick para realizar acciones específicas. A continuación, puede adjuntar la política a las funciones de IAM y transferirlas posteriormente a Amazon Quick. Los siguientes son ejemplos de cómo puede configurar y asociar políticas de permisos adicionales a sus roles de IAM.

Para ver un ejemplo de política gestionada para Amazon Quick en Athena, consulte Política AWSQuicksight AthenaAccess gestionada en la Guía del usuario de Amazon Athena. Los usuarios de IAM pueden acceder a este rol en Amazon Quick mediante el siguiente ARNarn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess:.

El siguiente es un ejemplo de una política de permisos para Amazon Quick en Amazon S3. Para obtener más información sobre el uso de IAM con Amazon S3, consulte Identity and Access Management en Amazon S3 en la Guía del usuario de Amazon S3.

Para obtener información sobre cómo crear un acceso multicuenta desde Amazon Quick a un bucket de Amazon S3 de otra cuenta, consulte ¿Cómo configuro el acceso multicuenta desde Quick a un bucket de Amazon S3 de otra cuenta? en el Centro de AWS conocimiento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Uso de las funciones de IAM existentes en Quick

Si es administrador de Amazon Quick y tiene permisos para actualizar los recursos de Amazon Quick y transferir funciones de IAM, puede utilizar las funciones de IAM existentes en Amazon Quick. Para obtener más información sobre los requisitos previos para pasar a las funciones de IAM en Amazon Quick, consulte los requisitos previos descritos en la lista anterior.

Utilice el siguiente procedimiento para obtener información sobre cómo transferir funciones de IAM en Amazon Quick.

Para usar un rol de IAM existente en Amazon Quick

  1. En Amazon Quick, elige el nombre de tu cuenta en la barra de navegación de la parte superior derecha y selecciona Administrar QuickSight.

  2. En la página Gestionar Amazon Quick que se abre, selecciona Seguridad y permisos en el menú de la izquierda.

  3. En la página Seguridad y permisos que se abre, en Amazon Quick access to AWS services, selecciona Administrar.

  4. En Rol de IAM, elija Usar un rol existente y, a continuación, realice una de las siguientes acciones:

    • Seleccione el rol que quiera utilizar de la lista.

    • O bien, si no ve una lista de los roles de IAM existentes, puede introducir el ARN de IAM para el rol en el siguiente formato: arn:aws:iam::account-id:role/path/role-name.

  5. Seleccione Save.