¿Cómo puedo solucionar los errores de permisos de recursos de AWS en QuickSight?

Descripción corta

Si editas los permisos de QuickSight para tus recursos de AWS en la consola de AWS Identity and Access Management (IAM), es posible que recibas los siguientes errores:

• «The role used by Quick Sight for AWS resource access was modified to an un-recoverable state outside of Quick Sight, so you can no longer edit AWS resource permissions in Quick Sight».
• «We were unable to update Quick Sight permissions for AWS resources. Either you are not authorized to edit Quick Sight permissions on AWS resources, or the Quick Sight permissions were changed using the IAM console and are therefore no longer updateable through Quick Sight».
• «We cannot update the IAM Role»
• «Quick Sight has detected unknown policies attached to following roles please detach them and retry»
• «Something went wrong For more information see Set IAM policy»

Se recomienda editar los permisos de QuickSight para los recursos de AWS en la consola de QuickSight.

Resolución

Cuando QuickSight interactúa con otros servicios de AWS, QuickSight asume los roles de servicio aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0 y, a continuación, adjunta políticas administradas a los roles. Elimina estos roles de servicio y, a continuación, elimina las políticas administradas adjuntas. Por último, restaura el acceso de QuickSight a tus servicios de AWS.

Importante: Asegúrate de hacer una copia de seguridad de tus políticas de IAM antes de eliminarlas. Puedes usar la copia de seguridad para consultar recursos de la cuenta de Amazon Simple Storage Service (Amazon S3) a los que hayas tenido acceso anteriormente.

Verificación de los permisos de IAM y QuickSight y posterior eliminación de los roles de servicio y las políticas

Sigue estos pasos:

1. Consulta tus cuentas de usuario de QuickSight y confirma que tienes un usuario con un rol de ADMINISTRADOR.

2. Abre la consola de IAM.

3. (Opcional) Si aún no lo has hecho, crea un administrador de usuarios de IAM.

4. Asegúrate de que tu política de IAM te permita crear y eliminar servicios y roles de QuickSight. 
   Ejemplo de política de IAM:

   {  
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
           "iam:GetRole",
           "iam:DetachRolePolicy",
           "iam:DeleteRole",
           "iam:AttachRolePolicy",
           "iam:CreateRole"
         ],
         "Resource":[
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0"
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
         ]
       },
       {
         "Sid": "VisualEditor1",
         "Effect": "Allow",
         "Action": [
           "iam:ListPolicies",
           "iam:GetPolicyVersion",
           "iam:GetRole",
           "iam:GetPolicy",
           "iam:ListPolicyVersions",
           "iam:ListAttachedRolePolicies",
           "iam:GenerateServiceLastAccessedDetails",
           "iam:ListEntitiesForPolicy",
           "iam:ListPoliciesGrantingServiceAccess",
           "iam:ListRoles",
           "iam:GetServiceLastAccessedDetails",
           "iam:ListAccountAliases",
           "iam:ListRolePolicies",
           "s3:ListAllMyBuckets"
         ],
         "Resource": "*"
       },
       {
         "Sid": "VisualEditor2",
         "Effect": "Allow",
         "Action": [
           "iam:DeletePolicy",
           "iam:CreatePolicy",
           "iam:CreatePolicyVersion",
           "iam:DeletePolicyVersion"
         ],
         "Resource": [
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy"
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy"
         ]
       }
     ]
   }

5. En el panel de navegación, selecciona Roles.

6. En el panel de búsqueda de roles, busca y elimina los roles de IAM aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0.
   Nota: Al establecer los permisos en QuickSight, QuickSight crea automáticamente estos roles de servicio. Si QuickSight no creó el rol aws-quicksight-s3-consumers-role-v0, elimina el rol aws-quicksight-service-role-v0 y continúa.

7. En el panel de navegación, elige Políticas.

8. En el panel de búsqueda de políticas, busca y elimina las políticas de IAM administradas por el cliente. Por ejemplo, elimina las siguientes políticas administradas por el cliente en la política de IAM de ejemplo del paso 4:
   AWSQuickSightRedshiftPolicy
   AWSQuickSightRDSPolicy
   AWSQuickSightIAMPolicy
   AWSQuickSightS3Policy
   AWSQuickSightS3ConsumersPolicy
   Nota: Cuando permites que QuickSight acceda a un recurso de AWS, QuickSight utiliza políticas administradas por AWS. Por ejemplo, QuickSight utiliza la política AWSQuicksightAthenaAccess para controlar el acceso a determinados recursos de AWS. No puedes eliminar las políticas administradas por AWS.

Restauración del acceso de QuickSight a los servicios de AWS

Sigue estos pasos:

1. Abre la consola de QuickSight.
2. En la barra de navegación, selecciona la lista desplegable de nombres de usuario y elige Administrar QuickSight.
3. En el panel de navegación, selecciona Seguridad y permisos.
4. En Acceso de QuickSight a los servicios de AWS, elige Administrar.
5. En Permitir el acceso y la detección automática de estos recursos, elige los servicios de AWS que desees restaurar.
6. Selecciona Guardar.

Para obtener más información sobre cómo configurar el acceso a recursos en otros servicios de AWS para QuickSight, consulta Acceso a los orígenes de datos.