¿Cómo puedo solucionar los errores de permisos de recursos de AWS en Amazon QuickSight?

Descripción breve

Es posible que, al editar los permisos de Amazon QuickSight, se muestre uno de los siguientes errores:

• «The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight.»
• «We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight.»
• «We cannot update the IAM Role»
• «QuickSight has detected unknown policies attached to following roles please detach them and retry»
• «Something went wrong For more information see Set IAM policy»

Estos errores se producen al editar los permisos de QuickSight de sus recursos de AWS desde la consola de AWS Identity and Access Management (IAM).

Nota: Se recomienda editar los permisos de QuickSight para los recursos de AWS mediante la consola Amazon QuickSight y no la consola de IAM.

Resolución

Elimine los roles de servicio aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0 que QuickSight asume al interactuar con otros servicios de AWS. A continuación, elimine las políticas administradas que QuickSight asigna a los roles de servicio aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0. Por último, restaure el acceso de QuickSight a sus servicios de AWS.

Importante: Antes de empezar, no olvide hacer una copia de seguridad de sus políticas de IAM antes de eliminarlas. La copia de seguridad puede ayudarle a consultar cualquier recurso de la cuenta de Amazon Simple Storage Service (Amazon S3) al que haya tenido acceso anteriormente.

Verificación de los permisos de IAM y QuickSight y posterior eliminación de los roles de servicio y las políticas

1. Siga las instrucciones para ver las cuentas de usuario de QuickSight. Asegúrese de tener un usuario con el rol ADMIN.

2. Abra la consola de IAM.

3. (Opcional) Si aún no lo ha hecho, siga las instrucciones para crear un administrador de usuarios de IAM.

4. Asegúrese de que su política de IAM le permita crear y eliminar roles y servicios de QuickSight parecidos a los siguientes:

   {  
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
           "iam:GetRole",
           "iam:DetachRolePolicy",
           "iam:DeleteRole",
           "iam:AttachRolePolicy",
           "iam:CreateRole"
         ],
         "Resource":[
            "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
            "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
         ]
       },
       {
         "Sid": "VisualEditor1",
         "Effect": "Allow",
         "Action": [
           "iam:ListPolicies",
           "iam:GetPolicyVersion",
           "iam:GetRole",
           "iam:GetPolicy",
           "iam:ListPolicyVersions",
           "iam:ListAttachedRolePolicies",
           "iam:GenerateServiceLastAccessedDetails",
           "iam:ListEntitiesForPolicy",
           "iam:ListPoliciesGrantingServiceAccess",
           "iam:ListRoles",
           "iam:GetServiceLastAccessedDetails",
           "iam:ListAccountAliases",
           "iam:ListRolePolicies",
           "s3:ListAllMyBuckets"
         ],
         "Resource": "*"
       },
       {
         "Sid": "VisualEditor2",
         "Effect": "Allow",
         "Action": [
           "iam:DeletePolicy",
           "iam:CreatePolicy",
           "iam:CreatePolicyVersion",
           "iam:DeletePolicyVersion"
         ],
         "Resource": [
           "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
           "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
           "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
           "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
           "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
         ]
       }
     ]
   }

5. En el panel de navegación, elija Roles.

6. En el panel de búsqueda de roles, busque y, a continuación, elimine los siguientes roles de IAM: aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0 Nota: QuickSight crea estos roles de servicio automáticamente al configurar los permisos en QuickSight.

7. En el panel de navegación, elija Políticas.

8. En el panel de búsqueda de políticas, busque y elimine las siguientes políticas de IAM administradas por el cliente:
   AWSQuickSightRedshiftPolicy
   AWSQuickSightRDSPolicy
   AWSQuickSightIAMPolicy
   AWSQuickSightS3Policy
   AWSQuickSightS3ConsumersPolicy

Nota: QuickSight utiliza las políticas administradas por AWS cuando se le permite acceder a un recurso de AWS. Por ejemplo, utiliza la política AWSQuicksightAthenaAccess para controlar el acceso a determinados recursos de AWS. Las políticas administradas por AWS no se pueden eliminar.

Restauración del acceso de QuickSight a sus servicios de AWS

1. Abra la consola de Amazon QuickSight.
2. En la barra de navegación, seleccione la lista desplegable de nombres de usuario y elija Administrar QuickSight.
3. En el panel de navegación, seleccione Seguridad y permisos.
4. En Acceso de QuickSight a los servicios de AWS, seleccione Administrar.
5. En Allow access and autodiscovery for these resources, elija los servicios de AWS que desee restaurar.
6. Seleccione Guardar.

Para obtener más información sobre cómo configurar el acceso a otros servicios de AWS para QuickSight, consulte Accessing data sources.

Información relacionada

Ejemplos de políticas de IAM para Amazon QuickSight

Políticas administradas por AWS para Amazon QuickSight