Come posso risolvere gli errori di autorizzazione delle risorse AWS in Quick Suite?

Breve descrizione

Se modifichi le autorizzazioni Quick Suite per le risorse AWS nella console AWS Identity and Access Management (AWS IAM), potresti ricevere i seguenti errori:

• "The role used by Quick Suite for AWS resource access was modified to an un-recoverable state outside of Quick Suite, so you can no longer edit AWS resource permissions in Quick Suite."
• "We were unable to update Quick Suite permissions for AWS resources. Either you are not authorized to edit Quick Suite permissions on AWS resources, or the Quick Suite permissions were changed using the IAM console and are therefore no longer updateable through Quick Suite."
• "We cannot update the IAM Role"
• "Quick Suite has detected unknown policies attached to following roles please detach them and retry"
• "Something went wrong For more information see Set IAM policy"

È consigliabile modificare le autorizzazioni di Quick Suite per le risorse AWS nella console Quick Suite.

Risoluzione

Quando Quick Suite interagisce con altri servizi AWS, Quick Suite assume i ruoli di servizio aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0, quindi collega le policy gestite ai ruoli. Rimuovi i ruoli di servizio, quindi rimuovi le policy gestite collegate. Infine, ripristina l'accesso di Quick Suite ai servizi AWS.

Importante: assicurati di eseguire il backup delle policy IAM prima di eliminarle. Puoi utilizzare il backup per fare riferimento alle risorse dell'account Amazon Simple Storage Service (Amazon S3) a cui avevi accesso in precedenza.

Verifica le autorizzazioni in Quick Suite e IAM, quindi rimuovi le policy e i ruoli di servizio

Completa i seguenti passaggi:

1. Visualizza gli account utente Quick Suite e verifica di avere un utente con ruolo ADMIN.

2. Apri la console IAM.

3. (Facoltativo) Se non l'hai già fatto, crea un amministratore utente IAM.

4. Assicurati che la policy IAM ti consenta di creare ed eliminare servizi e ruoli in Quick Sight. 
   Esempio di policy IAM:

   {  
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
           "iam:GetRole",
           "iam:DetachRolePolicy",
           "iam:DeleteRole",
           "iam:AttachRolePolicy",
           "iam:CreateRole"
         ],
         "Resource":[
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0"
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
         ]
       },
       {
         "Sid": "VisualEditor1",
         "Effect": "Allow",
         "Action": [
           "iam:ListPolicies",
           "iam:GetPolicyVersion",
           "iam:GetRole",
           "iam:GetPolicy",
           "iam:ListPolicyVersions",
           "iam:ListAttachedRolePolicies",
           "iam:GenerateServiceLastAccessedDetails",
           "iam:ListEntitiesForPolicy",
           "iam:ListPoliciesGrantingServiceAccess",
           "iam:ListRoles",
           "iam:GetServiceLastAccessedDetails",
           "iam:ListAccountAliases",
           "iam:ListRolePolicies",
           "s3:ListAllMyBuckets"
         ],
         "Resource": "*"
       },
       {
         "Sid": "VisualEditor2",
         "Effect": "Allow",
         "Action": [
           "iam:DeletePolicy",
           "iam:CreatePolicy",
           "iam:CreatePolicyVersion",
           "iam:DeletePolicyVersion"
         ],
         "Resource": [
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy"
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy"
         ]
       }
     ]
   }

5. Nel pannello di navigazione, scegli Ruoli.

6. Nel pannello di ricerca dei ruoli, individua ed elimina i ruoli IAM aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0.
   Nota: quando imposti autorizzazioni in Quick Suite, Quick Suite crea automaticamente questi ruoli di servizio. Se Quick Suite non ha creato il ruolo aws-quicksight-s3-consumers-role-v0, elimina il ruolo aws-quicksight-service-role-v0 e continua.

7. Nel pannello di navigazione, scegli Policy.

8. Nel pannello di ricerca delle policy, individua ed elimina le policy IAM gestite dal cliente. Ad esempio, elimina le seguenti policy gestite dal cliente nell'esempio di policy IAM del passaggio 4:
   AWSQuickSightRedshiftPolicy
   AWSQuickSightRDSPolicy
   AWSQuickSightIAMPolicy
   AWSQuickSightS3Policy
   AWSQuickSightS3ConsumersPolicy
   Nota: le policy indicate coprono un numero limitato di servizi associati a Quick Suite. Per risolvere completamente i conflitti tra policy IAM, rimuovi tutte le policy gestite dal cliente collegate a Quick Suite che sono state aggiunte direttamente tramite IAM.

Ripristina l'accesso di Quick Suite ai servizi AWS

Completa i seguenti passaggi:

1. Apri la console Quick Suite.
2. Scegli il tuo nome utente nella barra delle applicazioni, quindi seleziona Manage Quick Suite (Gestisci Quick Suite).
3. Nel pannello di navigazione, in Autorizzazioni, scegli Risorse AWS.
4. Per Quick Suite access to AWS services (Accesso di Quick Suite ai servizi AWS), scegli i servizi AWS che desideri ripristinare.
5. Scegli Salva.

Nota: quando consenti a Quick Suite di accedere a una risorsa AWS, Quick Suite utilizza policy gestite da AWS. Ad esempio, Quick Suite utilizza la policy AWSQuicksightAthenaAccess per controllare l'accesso a determinate risorse AWS. Non puoi rimuovere le policy gestite da AWS.

Per ulteriori informazioni sulla configurazione dell'accesso alle risorse in altri servizi AWS per Quick Sight, consulta Configurazione dell'accesso di Amazon Quick Sight alle origini dati AWS.