Comment puis-je résoudre les erreurs d'autorisation d'accès aux ressources AWS dans Amazon QuickSight ?

Lecture de 4 minute(s)
0

Lorsque j'essaie de modifier les autorisations Amazon QuickSight d'accès aux ressources AWS, je reçois une erreur. Comment puis-je résoudre ce problème ?

Brève description

Lorsque vous modifiez les autorisations Amazon QuickSight, vous pouvez recevoir l'une des erreurs suivantes :

"The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight."
"We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight."
"We cannot update the IAM Role"
"QuickSight has detected unknown policies attached to following roles please detach them and retry"
"Something went wrong For more information see Set IAM policy"

Ces erreurs se produisent lorsque vous modifiez les autorisations QuickSight d'accès à vos ressources AWS à partir de la console de gestion des identités et des accès AWS (IAM).

Remarque : pour éviter ces erreurs, veillez à modifier les autorisations QuickSight d'accès aux ressources AWS en utilisant la console Amazon QuickSight et non pas la console IAM.

Solution

Supprimez les fonctions du service aws-quicksight-service-role-v0 et aws-quicksight-s3-consumers-role-v0 qu'assume QuickSight au moment d'interagir avec d'autres services AWS. Ensuite, supprimez les politiques gérées que QuickSight attache aux fonctions du service aws-quicksight-service-role-v0 et aws-quicksight-s3-consumers-role-v0. Enfin, restaurez l'accès QuickSight à vos services AWS.

Important : Avant de commencer, assurez-vous de disposer d'une sauvegarde de vos politiques IAM avant de les supprimer. La sauvegarde peut vous aider à vous référer à toutes les ressources du compte Amazon Simple Storage Service (Amazon S3) auxquelles vous aviez accès auparavant.

Vérifiez les autorisations IAM QuickSight et IAM, puis supprimez les fonctions du service et les politiques.

1.    Suivez les instructions pour afficher les comptes d'utilisateurs QuickSight. Assurez-vous que vous disposez d'un utilisateur avec un rôle ADMIN.

2.    Ouvrez la console IAM.

3.    (Facultatif) Si vous ne l'avez pas encore fait, suivez les instructions sur la création d'un administrateur d'utilisateurs IAM.

4.    Assurez-vous que votre politique IAM vous permet de créer et de supprimer un service et des rôles QuickSight, d'une manière similaire à ce qui suit :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:DetachRolePolicy",
        "iam:DeleteRole",
        "iam:AttachRolePolicy",
        "iam:CreateRole"
      ],
      "Resource":[
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
      ]
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:ListPolicies",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetPolicy",
        "iam:ListPolicyVersions",
        "iam:ListAttachedRolePolicies",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:ListEntitiesForPolicy",
        "iam:ListPoliciesGrantingServiceAccess",
        "iam:ListRoles",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccountAliases",
        "iam:ListRolePolicies",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": [
        "iam:DeletePolicy",
        "iam:CreatePolicy",
        "iam:CreatePolicyVersion",
        "iam:DeletePolicyVersion"
      ],
      "Resource": [
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
      ]
    }
  ]
}

5.    Dans le panneau de navigation, choisissez Roles (Rôles).

6.    Dans le panneau de recherche de rôles, recherchez les rôles IAM suivants, puis supprimez-les :

aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0

Remarque : ces fonctions du service sont automatiquement créés par QuickSight lorsque vous définissez des autorisations dans QuickSight.

7.    Dans le panneau de navigation, choisissez Policies (Politiques).

8.    Dans le panneau de recherche de politiques, recherchez les politiques IAM gérées par le client suivantes, puis supprimez-les:

AWSQuickSightRedshiftPolicy AWSQuickSightRDSPolicy AWSQuickSightIAMPolicy AWSQuickSightS3Policy AWSQuickSightS3ConsumersPolicy

Remarque : le service QuickSight utilise les politiques gérées AWS lorsqu'il est autorisé à accéder à une ressource AWS. Par exemple, il utilise la politique AWSQuicksightAthenaAccess pour contrôler l'accès à certaines ressources AWS. Les politiques gérées AWS ne peuvent pas être supprimées.

Restaurer l'accès QuickSight à vos services AWS

1.    Ouvrez la console Amazon QuickSight.

2.    Dans la barre de navigation, choisissez la liste déroulante de noms d'utilisateurs, puis Manage QuickSight (Gérer QuickSight).

3.    Dans le panneau de navigation, sélectionnez Security & Permissions (Sécurité et autorisations).

4.    Dans QuickSight access to AWS services (Accès QuickSight aux services AWS), choisissez Manage (Gérer).

5.    Pour Allow access and autodiscovery for these resources (Autoriser l'accès et la découverte automatique pour ces ressources), choisissez les services AWS à restaurer.

6.    Choisissez Save (Enregistrer).

Pour plus d'informations sur l'activation des services AWS auxquels Amazon QuickSight peut accéder, reportez-vous à Utilisation d'autres services AWS : limitation de l'accès.


Informations connexes

Exemples de politiques IAM pour Amazon QuickSight

Politiques gérées par AWS pour Amazon QuickSight

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an