Capacités rapides pour les parents Fonctionnalités rapides Caractéristiques du connecteur Action Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick intégré à IAM Identity Center ou Active Directory Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick utilisant des utilisateurs gérés par Amazon Quick Appliquer un profil d’autorisations personnalisé à un rôle Appliquer un profil d’autorisations personnalisé à un utilisateur Appliquer un profil d’autorisations personnalisé à un compte

Création d'un profil d'autorisations personnalisé dans Amazon Quick

S’applique à : édition Enterprise

Public cible : administrateurs et développeurs Amazon Quick

Dans l'édition Enterprise, vous pouvez restreindre les fonctionnalités auxquelles les utilisateurs peuvent accéder dans Amazon Quick. Vous pouvez configurer des autorisations personnalisées au niveau du compte, du rôle (administrateur, auteur, lecteur) et de l'utilisateur pour tous les types d'identité dans Quick. Les autorisations personnalisées au niveau de l’utilisateur remplacent les autorisations par défaut ou personnalisées existantes d’un rôle pour l’utilisateur spécifié. Les autorisations personnalisées au niveau de l’utilisateur et les autorisations personnalisées au niveau du rôle remplacent les autorisations personnalisées au niveau du compte.

Les limitations suivantes s’appliquent aux autorisations personnalisées.

Vous ne pouvez pas accorder d’autorisations supérieures au rôle par défaut d’un utilisateur. Par exemple, si un utilisateur dispose d’un accès lecteur, vous ne pouvez pas lui accorder l’autorisation de modifier les tableaux de bord.
Pour personnaliser les autorisations des utilisateurs ou des rôles, vous devez être un administrateur Amazon Quick avec les autorisations IAM suivantes :
- quicksight:CreateCustomPermissions
- quicksight:DeleteCustomPermissions
- quicksight:DescribeCustomPermissions
- quicksight:ListCustomPermissions
- quicksight:UpdateCustomPermissions
- quicksight:DescribeAccountCustomPermissions
- quicksight:UpdateAccountCustomPermissions
- quicksight:DeleteAccountCustomPermissions

Vous pouvez créer des profils d'autorisation personnalisés pour restreindre l'accès à n'importe quelle combinaison des fonctionnalités suivantes. Les fonctionnalités parentes peuvent être utilisées pour restreindre l'accès à l'ensemble des fonctionnalités d'un actif. Lorsque les fonctionnalités parentales sont désactivées, toutes les fonctionnalités associées aux enfants sont également désactivées.

Les fonctionnalités dépourvues de fonctionnalités parentes ne peuvent pas être désactivées avec ce mécanisme. Elles doivent plutôt être restreintes en tant que fonctionnalités individuelles.

Capacités rapides pour les parents

Capacités parentales	Fonctionnalité
Analyses	Restreint toutes les fonctionnalités liées à l'analyse
Tableaux de bord	Restreint toutes les fonctionnalités liées aux tableaux de bord
Actions	Restreint toutes les fonctionnalités liées aux actions
Automatiser	Restreint toutes les fonctionnalités liées à l'automatisation
Agents de chat	Restreint toutes les fonctionnalités liées à Chat Agent
Extensions	Restreint toutes les fonctionnalités liées aux extensions
Flux	Restreint toutes les fonctionnalités liées à Flows
Base de connaissances	Restreint toutes les fonctionnalités liées à la base de connaissances
Recherche	Restreint toutes les fonctionnalités liées à la recherche
Scénarios	Restreint toutes les fonctionnalités liées aux scénarios
Espaces	Restreint toutes les fonctionnalités liées aux espaces
Narrations	Restreint toutes les fonctionnalités liées aux Stories
Rubriques	Restreint toutes les fonctionnalités liées aux sujets

Fonctionnalités rapides

Fonctionnalité	Comportement d'Amazon Quick	Capacités parentales
Création d'agents de chat	Impossible d'afficher ou d'accéder à aucun agent de chat La bibliothèque d'agents et la navigation sont masquées Peut toujours accéder à d'autres ressources Quick et en créer, telles que la création d'espaces pour le partage de fichiers avec des équipes ou de flux pour des interactions structurées (à condition que ces fonctionnalités ne soient pas également limitées)	Agents de chat
Partager des agents de chat	Impossible de partager les agents de chat avec d'autres utilisateurs Les agents de chat précédemment partagés restent accessibles à ces utilisateurs	Agents de chat
Autoriser les créateurs à partager sans autorisation	Les flux ne peuvent pas être partagés par les créateurs sans approbation	Flux
Utiliser les modèles Bedrock pour affiner les résultats	Limite l'utilisation des modèles Bedrock	Flux
Activer l'agent d'interface utilisateur pour effectuer des tâches du navigateur	Empêche l'agent Flows UI d'effectuer des tâches de navigateur	Flux
Tous les utilisateurs éligibles peuvent consulter et approuver les demandes de partage de Flows	Limite le nombre d'utilisateurs autorisés à examiner et à approuver les demandes de partage de flux	Flux
Créez des espaces	Impossible de créer de nouveaux espaces Les espaces existants restent accessibles et inchangés	Espaces
Partagez des espaces	Impossible de partager des espaces avec d'autres utilisateurs Les espaces précédemment partagés restent accessibles à ces utilisateurs	Espaces
Utiliser Internet pour améliorer les résultats	Limite l'utilisation de la recherche sur le Web dans Chat Agents and Research	--
Partage d'analyses	L'option Accès à l'option Partager du menu Fichier est désactivée pour les analyses	Analyses
Ajouter ou exécuter un système de détection des anomalies	L'accès à l'option Ajouter une anomalie à la feuille dans le menu Insights est désactivé pour les analyses L'accès à l'option Anomalie du menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas ajouter la détection des anomalies aux feuilles	Analyses
Feuille d'impression	L'accès à l'option Imprimer du menu Fichier est désactivé pour les analyses L'accès à l'option Imprimer du menu Exporter est désactivé pour les tableaux de bord Les utilisateurs ne pourront pas imprimer de feuilles	--
Exporter la feuille au format PDF	L'accès à l'option Exporter au format PDF dans le menu Fichier est désactivé pour les analyses L'accès à l'option Générer un PDF dans le menu Exporter est désactivé pour les tableaux de bord Les utilisateurs ne pourront pas exporter les feuilles vers un fichier PDF	--
Création ou mise à jour de thèmes	Les utilisateurs ne pourront pas créer de nouveaux thèmes personnalisés Les utilisateurs ne pourront pas modifier ou mettre à jour les thèmes existants Les utilisateurs peuvent toujours consulter ou appliquer des thèmes existants à leurs analyses	--
Partage de tableaux de bord	L'accès à l'icône de partage dans le menu de navigation est désactivé pour les tableaux de bord	Tableau de bord
Exporter le visuel au format CSV	L'accès à l'option Exporter au format CSV dans le menu à trois points de chaque visuel est désactivé pour les analyses et les tableaux de bord L'accès à l'option Exporter le visuel au format CSV dans le menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas exporter de visuels vers un fichier CSV	--
Exporter le visuel vers Excel	L'accès à l'option Exporter vers Excel dans le menu à trois points de chaque tableau est désactivé pour les analyses et les tableaux de bord L'accès à l'option Exporter le tableau vers Excel dans le menu Objets est désactivé pour les analyses Les utilisateurs ne pourront pas exporter de tableaux vers un fichier Excel	--
Création ou mise à jour de tous les ensembles de données	L'accès à la création ou à la mise à jour de tous les ensembles de données sera désactivé	--
Création ou mise à jour de jeux de données SPICE uniquement	L'accès à la création ou à la mise à jour des ensembles de données SPICE sera désactivé	--
Partager des jeux de données	L'accès au partage des ensembles de données sera désactivé	--
Affichage de la capacité du compte SPICE	Limite la récupération de la capacité SPICE du compte	--
Création ou mise à jour de toutes les sources de données	L'accès à la création ou à la mise à jour de toutes les sources de données sera désactivé	--
Partage de sources de données	L'accès au partage des sources de données sera désactivé	--
Gestion des dossiers partagés	Possibilité de créer, de mettre à jour, de supprimer et d'afficher des dossiers partagés (à la fois restreints et non restreints) Possibilité d'accéder à add/create n'importe quel actif dans des dossiers partagés Possibilité de partager les dossiers Remarque : Cela n'empêche pas d'hériter de l'accès aux actifs que d'autres personnes partagent avec eux par le biais de l'appartenance à un dossier	--
Création de dossiers partagés	Limite la création de dossiers partagés	Gestion des dossiers partagés
Renommer les dossiers partagés	Empêche de renommer les dossiers partagés	Gestion des dossiers partagés
Création ou mise à jour de rapports par e-mail planifiés	L'accès à l'option Horaires du menu Horaires est désactivé pour les tableaux de bord L'accès à l'option Instantanés récents du menu Planifications est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de créer ou de mettre à jour des rapports par e-mail planifiés	--
Abonnement à des rapports par e-mail planifiés	Les utilisateurs ne pourront pas s'abonner aux rapports par e-mail planifiés	Tableau de bord
Pièces jointes CSV dans les rapports par e-mail planifiés	L'accès à l'option CSV dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de joindre des fichiers CSV dans les rapports par e-mail planifiés	--
Pièces jointes Excel dans les rapports par e-mail planifiés	L'accès à l'option Excel dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de joindre des fichiers Excel dans les rapports par e-mail planifiés	--
Pièces jointes au format PDF dans les rapports par e-mail planifiés	L'accès à l'option PDF dans la section Contenu du menu Horaires est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de joindre des fichiers PDF dans les rapports par e-mail planifiés	--
Contenu des rapports par e-mail planifiés	Les utilisateurs recevront le contenu des rapports par e-mail programmés uniquement sous forme de liens téléchargeables protégés par une connexion Inclure la feuille dans le corps de l'e-mail et les options de pièce jointe dans le menu Horaires ne seront pas prises en compte Les images ne seront pas incluses dans les rapports par e-mail planifiés	--
Création ou mise à jour d'alertes de seuil	L'accès au menu Alertes est désactivé pour les tableaux de bord Les utilisateurs ne seront pas en mesure de créer ou de mettre à jour des alertes de seuil	--
Modifier un visuel avec l'IA	Limite la possibilité de modifier les visuels à l'aide de suggestions assistées par l'IA	Analyses
Créez des calculs avec l'IA	Limite la capacité de créer des calculs à l'aide de suggestions assistées par l'IA	Analyses
Créer un résumé	Limite la capacité de créer des résumés analytiques générés par l'IA à partir de tableaux de bord	Tableaux de bord
Création ou mise à jour de toutes les bases de connaissances	Limite la capacité de créer ou de mettre à jour des bases de connaissances	Base de connaissances
Partagez toutes les bases de connaissances	Limite la capacité de partager des bases de connaissances	Base de connaissances

Caractéristiques du connecteur Action

Outre les fonctionnalités répertoriées dans les sections précédentes, vous pouvez restreindre l'accès à des connecteurs d'action individuels. Chaque connecteur d'action prend en charge les autorisations suivantes :

Action de création et de mise à jour : limite la possibilité de créer ou de mettre à jour des actions pour le connecteur.
Action de partage : limite la possibilité de partager des actions pour le connecteur.
Utiliser une action — Limite la possibilité d'utiliser des actions pour le connecteur.

Ces autorisations sont disponibles dans l'onglet Action Connectors du profil d'autorisations personnalisé. Pour obtenir la liste des connecteurs d'action disponibles, consultez la section Connecteurs d'action.

Des profils d'autorisations personnalisés peuvent être créés pour les comptes Amazon Quick intégrés à IAM Identity Center, Active Directory ou pour les comptes Amazon Quick dont les utilisateurs sont gérés par Amazon Quick. Le type d'identité utilisé par un compte Amazon Quick détermine la manière dont un administrateur Amazon Quick configure un profil d'autorisations personnalisé.

La procédure suivante explique comment contrôler l'accès aux fonctionnalités d'Amazon Quick et aux fonctionnalités correspondantes.

Pour contrôler l'accès aux fonctionnalités et fonctionnalités d'Amazon Quick

Connectez-vous à la console Amazon Quick.
Sélectionnez Gérer rapidement.
Dans le menu de navigation de gauche de la console d'administration, sélectionnez Autorisations, puis sélectionnez Autorisations personnalisées.
Dans Autorisations personnalisées, dans Profils, sélectionnez Nouveau profil ou choisissez de modifier le profil par défaut.
Dans Nouveau profil, procédez comme suit :
- Dans Restreindre les fonctionnalités : choisissez d'autoriser des fonctionnalités spécifiques à votre système en cochant ou en décochant les options appropriées.
- Dans Restreindre les fonctionnalités : choisissez d'autoriser des fonctionnalités spécifiques en cochant ou en décochant les options appropriées.

Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick intégré à IAM Identity Center ou Active Directory

Les administrateurs de comptes Amazon Quick peuvent utiliser la procédure suivante pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick intégré à IAM Identity Center ou à Active Directory.

Pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick intégré à IAM Identity Center ou Active Directory

Connectez-vous à la AWS console de gestion.
Ouvrez Amazon Quick.
La console Amazon Quick Admin s'ouvre. Choisissez Autorisations personnalisées.
La page Gérer les autorisations personnalisées s’ouvre. Choisissez l’une des options suivantes :
- Pour créer un nouveau profil d’autorisations personnalisé, choisissez Créer.
- Pour modifier ou consulter un profil d'autorisations personnalisé existant, choisissez les points de suspension (trois points) à côté du profil souhaité, puis choisissez Modifier.
Si vous souhaitez créer ou mettre à jour un profil d’autorisations personnalisé, sélectionnez les éléments suivants.
- Pour Nom, saisissez un nom pour votre profil d’autorisations personnalisé.
- Pour Restrictions, choisissez les options que vous voulez refuser. Toutes les options que vous ne sélectionnez pas sont autorisées. Par exemple, si vous ne souhaitez pas que les utilisateurs créent ou mettent à jour des sources de données, mais qu'ils puissent effectuer tout le reste, choisissez uniquement Créer ou mettre à jour des sources de données.
Choisissez Créer ou Mettre à jour pour confirmer vos choix. Pour revenir en arrière sans apporter de modifications, choisissez Retour.
Une fois les modifications effectuées, enregistrez le nom du profil d’autorisations personnalisé. Indiquez le nom du profil d’autorisations personnalisé aux utilisateurs de l’API afin qu’ils puissent appliquer ce profil à des rôles ou utilisateurs.

Création d'un profil d'autorisations personnalisé pour un compte Amazon Quick utilisant des utilisateurs gérés par Amazon Quick

Les administrateurs de comptes Amazon Quick peuvent utiliser la procédure suivante pour créer un profil d'autorisations personnalisé pour un compte Amazon Quick qui utilise des utilisateurs gérés par Amazon Quick.

Pour créer un profil d'autorisations personnalisé pour les utilisateurs gérés par Amazon Quick

Ouvrez la console Quick.
Depuis n'importe quelle page de la console Amazon Quick, choisissez Manage Quick dans le coin supérieur droit.

Seuls les administrateurs Amazon Quick ont accès à l'option de menu Gérer rapidement. Si vous n'avez pas accès au menu Gérer rapidement, contactez votre administrateur Amazon Quick pour obtenir de l'aide.
Choisissez Autorisations personnalisées. Vous pouvez également choisir la section Gérer les utilisateurs, puis choisir Gérer les autorisations personnalisées.
La page Gérer les autorisations personnalisées s’ouvre. Choisissez l’une des options suivantes :
- Pour créer un nouveau profil d’autorisations personnalisé, choisissez Créer.
- Pour modifier ou consulter un profil d'autorisations personnalisé existant, choisissez les points de suspension (trois points) à côté du profil souhaité, puis choisissez Modifier.
Si vous souhaitez créer ou mettre à jour un profil d’autorisations personnalisé, sélectionnez les éléments suivants.
- Pour Nom, saisissez un nom pour votre profil d’autorisations personnalisé.
- Pour Restrictions, choisissez les options que vous voulez refuser. Toutes les options que vous ne sélectionnez pas sont autorisées. Par exemple, si vous ne voulez pas que les utilisateurs créent ou mettent à jour des sources de données, mais que vous êtes d’accord pour qu’ils effectuent toutes les autres opérations, sélectionnez uniquement Création ou mise à jour d’une source de données.
Choisissez Créer ou Mettre à jour pour confirmer vos choix. Pour revenir en arrière sans apporter de modifications, choisissez Retour.
Une fois les modifications effectuées, enregistrez le nom du profil d’autorisations personnalisé. Indiquez le nom du profil d’autorisations personnalisé aux utilisateurs de l’API afin qu’ils puissent appliquer ce profil à des rôles ou utilisateurs.

Après avoir créé un profil d'autorisations personnalisé, utilisez Amazon Quick APIs pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un utilisateur, à un rôle ou à un compte. Les utilisateurs disposant d'autorisations suffisantes peuvent également utiliser la AWS::QuickSight::CustomPermissions CloudFormation ressource pour gérer les profils d'autorisations personnalisés Amazon Quick. Consultez les rubriques suivantes pour en savoir plus sur la gestion des profils d'autorisations personnalisés avec Amazon Quick APIs.

Appliquer un profil d'autorisations personnalisé à un rôle Amazon Quick avec l'API Amazon Quick

Après avoir créé un profil d'autorisations personnalisé, utilisez Amazon Quick APIs pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un rôle.

Avant de commencer, vous devez installer et configurer la AWS CLI. Pour plus d'informations sur l'installation de la AWS CLI, voir Installer ou mettre à jour la dernière version de la AWS CLI et Configurer la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur. Vous devez également disposer d'autorisations pour utiliser l'API Amazon Quick.

L’exemple suivant appelle l’API UpdateRoleCustomPermission pour mettre à jour les autorisations personnalisées attribuées à un rôle.


aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

L’exemple suivant renvoie le profil d’autorisations personnalisé attribué à un rôle.


aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

L’exemple suivant supprime un profil d’autorisations personnalisé d’un rôle.


aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Appliquer un profil d'autorisations personnalisé à un utilisateur avec l'API Amazon Quick

L’exemple suivant applique un profil d’autorisations personnalisé à un utilisateur.


aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

L’exemple suivant supprime un profil d’autorisations personnalisé d’un utilisateur.


aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

L'exemple suivant ajoute des autorisations personnalisées à un nouvel utilisateur Amazon Quick IAM.


aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

Vous pouvez également associer un utilisateur IAM existant à un nouveau profil d’autorisations. L’exemple suivant met à jour le profil d’autorisations personnalisé d’un utilisateur IAM existant.


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

L’exemple ci-dessous retire un utilisateur existant d’un profil d’autorisations.


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

Pour tester les autorisations personnalisées appliquées à un rôle ou à un utilisateur, connectez-vous au compte de l’utilisateur. Lorsqu'un utilisateur se connecte à Amazon Quick, il se voit attribuer le rôle le plus privilégié auquel il a accès. Le rôle avec le plus haut niveau de privilège pouvant être accordé à un utilisateur est celui d’administrateur. Le rôle le moins privilégié qui peut être accordé à un utilisateur est celui de lecteur. Pour plus d'informations sur les rôles dans Amazon Quick, consultez Gérer l'accès des utilisateurs dans Amazon Quick.

Si vous attribuez un profil d’autorisations personnalisé qui limite le partage des sources de données au rôle de l’auteur, celui-ci n’est plus en mesure d’accéder aux contrôles autorisant le partage des sources de données. Au lieu de cela, l’auteur concerné dispose d’autorisations d’accès en lecture seule à la source de données.

Appliquer un profil d’autorisations personnalisé à un compte

Pour appliquer un profil d’autorisations personnalisé à compte

Ouvrez la console Quick.
En haut à droite, sélectionnez l’icône de profil.
Choisissez Gérer rapidement. Seuls les administrateurs Amazon Quick pourront consulter cette page.
Choisissez Autorisations personnalisées. Vous pouvez également choisir la section Gérer les utilisateurs, puis choisir Gérer les autorisations personnalisées si votre compte Quick utilise des utilisateurs gérés par Quick.
Localisez l’autorisation personnalisée du compte souhaité. Dans le menu des options, sous Actions, choisissez Définir comme profil de compte.

Appliquez un profil d'autorisations personnalisé à un compte à l'aide du Quick APIs

Après avoir créé un profil d'autorisations personnalisé, utilisez l'API rapide pour ajouter ou modifier le profil d'autorisations personnalisé attribué à un compte.

Avant de commencer, vous devez installer et configurer la AWS CLI. Pour plus d'informations sur l'installation de la AWS CLI, voir Installer ou mettre à jour la dernière version de la AWS CLI et Configurer la AWS CLI dans le guide de l'utilisateur de l'interface de ligne de AWS commande. Vous avez également besoin des autorisations suivantes :quicksight:UpdateAccountPermission, quicksight:DescribeAccountPermission, et quicksight:DeleteAccountCustomPermission.

L’exemple suivant appelle l’API UpdateAccountPermission pour mettre à jour les autorisations personnalisées attribuées à un compte.


aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

L’exemple suivant renvoie le profil d’autorisations personnalisé attribué à un compte.


aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

L’exemple suivant supprime un profil d’autorisations personnalisé d’un compte.


aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Microsoft TeamsExtension Amazon Quick

Gestion des personnalisations