Comment puis-je résoudre les erreurs d’autorisation de ressources dans Quick Sight ?

Brève description

Si vous modifiez les autorisations Quick Sight pour vos ressources AWS dans la console Gestion des identités et des accès AWS (AWS IAM), les erreurs suivantes peuvent s'afficher :

• « The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight. »
• « We were unable to update Quick Sight permissions for AWS resources. Either you are not authorized to edit Quick Sight permissions on AWS resources, or the Quick Sight permissions were changed using the IAM console and are therefore no longer updateable through Quick Sight. »
• « We cannot update the IAM Role »
• « Quick Sight has detected unknown policies attached to following roles please detach them and retry »
• « Something went wrong For more information see Set IAM policy »

Il est recommandé de modifier les autorisations Quick Sight relatives aux ressources AWS dans la console Quick Sight.

Résolution

Lorsque Quick Sight interagit avec d'autres services AWS, Quick Sight assume les rôles de service aws-quicksight-service-role-v0 et aws-quicksight-s3-consumers-role-v0, puis associe des politiques gérées à ces rôles. Supprimez ces rôles de service, puis supprimez les politiques gérées associées. Enfin, restaurez l'accès de Quick Sight à vos services AWS.

Important : Assurez-vous de sauvegarder vos politiques IAM avant de les supprimer. Vous pouvez utiliser la sauvegarde pour faire référence aux ressources de compte Amazon Simple Storage Service (Amazon S3) auxquelles vous aviez accès précédemment.

Vérifier les autorisations IAM, Quick Sight et IAM, puis supprimer les rôles et les politiques de service

Procédez comme suit :

1. Consultez vos comptes utilisateur Quick Sight et vérifiez que vous disposez d'un utilisateur doté du rôle ADMIN.

2. Ouvrez la console IAM.

3. (Facultatif) Si cela n'est pas déjà fait, créez un administrateur utilisateur IAM.

4. Assurez-vous que votre politique IAM vous permet de créer et de supprimer des services et des rôles Quick Sight. 
   Exemple de politique IAM :

   {  
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
           "iam:GetRole",
           "iam:DetachRolePolicy",
           "iam:DeleteRole",
           "iam:AttachRolePolicy",
           "iam:CreateRole"
         ],
         "Resource":[
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0"
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
         ]
       },
       {
         "Sid": "VisualEditor1",
         "Effect": "Allow",
         "Action": [
           "iam:ListPolicies",
           "iam:GetPolicyVersion",
           "iam:GetRole",
           "iam:GetPolicy",
           "iam:ListPolicyVersions",
           "iam:ListAttachedRolePolicies",
           "iam:GenerateServiceLastAccessedDetails",
           "iam:ListEntitiesForPolicy",
           "iam:ListPoliciesGrantingServiceAccess",
           "iam:ListRoles",
           "iam:GetServiceLastAccessedDetails",
           "iam:ListAccountAliases",
           "iam:ListRolePolicies",
           "s3:ListAllMyBuckets"
         ],
         "Resource": "*"
       },
       {
         "Sid": "VisualEditor2",
         "Effect": "Allow",
         "Action": [
           "iam:DeletePolicy",
           "iam:CreatePolicy",
           "iam:CreatePolicyVersion",
           "iam:DeletePolicyVersion"
         ],
         "Resource": [
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy"
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy"
         ]
       }
     ]
   }

5. Dans le volet de navigation, sélectionnez Rôles.

6. Dans le volet de recherche des rôles, recherchez et supprimez les rôles IAM aws-quicksight-service-role-v0 et aws-quicksight-s3-consumers-role-v0.
   Remarque : Lorsque vous définissez des autorisations dans Quick Sight, Quick Sight crée automatiquement ces rôles de service. Si Quick Sight n'a pas créé le rôle aws-quicksight-s3-consumers-role-v0, supprimez le rôle aws-quicksight-service-role-v0 et continuez.

7. Dans le volet de navigation, sélectionnez Politiques.

8. Dans le volet de recherche des politiques, recherchez et supprimez les politiques IAM gérées par le client. Par exemple, supprimez les politiques gérées par le client suivantes dans l'exemple de politique IAM de l'étape 4 :
   AWSQuickSightRedshiftPolicy
   AWSQuickSightRDSPolicy
   AWSQuickSightIAMPolicy
   AWSQuickSightS3Policy
   AWSQuickSightS3ConsumersPolicy
   Remarque : Lorsque vous autorisez Quick Sight à accéder à une ressource AWS, Quick Sight utilise les politiques gérées par AWS. Par exemple, Quick Sight utilise la politique AWSQuicksightAthenaAccess pour contrôler l'accès à certaines ressources AWS. Vous ne pouvez pas supprimer les politiques gérées par AWS.

Rétablir l'accès de Quick Sight à vos services AWS

Procédez comme suit :

1. Ouvrez la console Quick Sight.
2. Dans la barre de navigation, choisissez la liste déroulante des noms d'utilisateur, puis choisissez Gérer Quick Sight.
3. Dans le volet de navigation, choisissez Sécurité et autorisations.
4. Sous Accès Quick Sight aux services AWS, choisissez Gérer.
5. Pour Autoriser l'accès et la détection automatique de ces ressources, choisissez les services AWS que vous souhaitez restaurer.
6. Sélectionnez Enregistrer.

Pour en savoir plus sur la procédure de configuration de l'accès à d'autres services AWS pour Quick Sight, consultez la section Accès aux sources de données.