Comment autoriser Amazon QuickSight à accéder à un compartiment S3 avec une politique de refus ?

Lecture de 2 minute(s)
0

Je veux m'assurer que ma politique de compartiment Amazon Simple Storage Service (Amazon S3) autorise l'accès depuis Amazon QuickSight.

Brève description

Si votre compartiment Amazon S3 utilise une politique de refus, cette politique remplace toutes les autorisations S3 que vous spécifiez dans la console Amazon QuickSight. Pour autoriser Amazon QuickSight à accéder au compartiment S3, ajoutez le rôle de service Amazon QuickSight (aws-quicksight-service-role-v0) comme exception dans votre politique de refus.

Résolution

1.    Vérifiez qu'Amazon QuickSight est autorisé à accéder au compartiment S3.

2.    Utilisez l'interface de ligne de commande AWS (AWS CLI) ou l' API AWS Identity and Access Management (IAM) pour obtenir l'identifiant unique du rôle aws-quicksight-service-role-v0. L'identifiant est unique pour chaque compte Amazon QuickSight. Par exemple :

aws iam get-role --role-name aws-quicksight-service-role-v0 --query 'Role.RoleId' --output json
"AROAEXAMPLEID"

Remarque : si vous recevez un message d'erreur lorsque vous exécutez les commandes de l'AWS CLI, assurez-vous d'utiliser la version la plus récente de l'AWS CLI.

3.    Ouvrez la console Amazon S3.

4.    Choisissez le compartiment auquel vous souhaitez accéder avec Amazon QuickSight.

5.    Choisissez l'onglet Autorisations.

6.    Choisissez Politique de compartiment.

7.    Entrez une politique de compartiment similaire à cet exemple. Remplacez ** AROAEXAMPLEID** par votre identifiant unique. Pour ajouter une exception pour un utilisateur IAM, remplacez AIDAEXAMPLEUSERID par l’ID unique de l’utilisateur IAM. La politique utilisateur IAM doit également contenir une instruction Autoriser pour le compartiment S3. Par exemple :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::examplebucketname",
        "arn:aws:s3:::examplebucketname/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userid": [
            "AROAEXAMPLEID:*",
            "AIDAEXAMPLEUSERID"
          ]
        }
      }
    }
  ]
}

Cette politique de Refus ajoute des exceptions pour le rôle de service Amazon QuickSight et pour un utilisateur IAM.

Remarque : si vous supprimez le rôle de service Amazon QuickSight et l'utilisateur IAM, l'accès au compartiment est bloqué. Pour résoudre ce problème, connectez-vous en tant qu'utilisateur root du compte AWS, puis utilisez la commande delete-bucket-policy pour supprimer la politique du compartiment.

Informations connexes

Comment restreindre l'accès au compartiment Amazon S3 à un rôle IAM spécifique

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois