Como solucionar erros de permissão de recursos da AWS no Amazon QuickSight?

Breve descrição

Ao editar as permissões do Amazon QuickSight, você pode receber um dos seguintes erros:

"The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight."

"We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight."

"We cannot update the IAM Role"

"QuickSight has detected unknown policies attached to following roles please detach them and retry"

"Something went wrong For more information see Set IAM policy"

Esses erros ocorrem quando você edita as permissões do QuickSight para seus recursos da AWS a partir do console do AWS Identity and Access Management (IAM).

Observação: é uma prática recomendada editar as permissões do QuickSight para recursos da AWS usando o console do Amazon QuickSight e não o console do IAM.

Resolução

Remova os perfis de serviço aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0 que o QuickSight assume ao interagir com outros serviços da AWS. Em seguida, remova as políticas gerenciadas que o QuickSight associa aos perfis de serviço aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0. Por fim, restaure o acesso do QuickSight aos seus serviços da AWS.

Importante: antes de começar, certifique-se de ter um backup de suas políticas do IAM antes de excluí-las. O backup pode ajudar você a referenciar a qualquer recurso de conta do Amazon Simple Storage Service (Amazon S3) aos quais você tinha acesso anteriormente.

Verifique as permissões do IAM QuickSight e do IAM e, em seguida, remova os perfis e as políticas de serviço

1.    Siga as instruções para visualizar as contas de usuário do QuickSight. Verifique se você tem um usuário com um perfil ADMIN.

2.    Abra o console do IAM.

3.    (Opcional) Se você ainda não tiver feito isso, siga as instruções para criar um administrador de usuários do IAM.

4.    Certifique-se de que sua política do IAM permita criar e excluir serviços e perfis do QuickSight semelhantes aos seguintes:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:DetachRolePolicy",
        "iam:DeleteRole",
        "iam:AttachRolePolicy",
        "iam:CreateRole"
      ],
      "Resource":[
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
      ]
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:ListPolicies",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetPolicy",
        "iam:ListPolicyVersions",
        "iam:ListAttachedRolePolicies",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:ListEntitiesForPolicy",
        "iam:ListPoliciesGrantingServiceAccess",
        "iam:ListRoles",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccountAliases",
        "iam:ListRolePolicies",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": [
        "iam:DeletePolicy",
        "iam:CreatePolicy",
        "iam:CreatePolicyVersion",
        "iam:DeletePolicyVersion"
      ],
      "Resource": [
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
      ]
    }
  ]
}

5.    No painel de navegação, selecione Perfis.

6.    No painel de pesquisa de perfis, pesquise e exclua os seguintes perfis do IAM:

aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0

Observação: esses perfis de serviço são criados automaticamente pelo QuickSight quando você define permissões no QuickSight.

7.    No painel de navegação, escolha Políticas.

8.    No painel de pesquisa de políticas, pesquise e exclua as seguintes políticas do IAM gerenciadas pelo cliente:

AWSQuickSightRedshiftPolicy AWSQuickSightRDSPolicy AWSQuickSightIAMPolicy AWSQuickSightS3Policy AWSQuickSightS3ConsumersPolicy

Observação: o QuickSight usa políticas gerenciadas pela AWS quando tem permissão para acessar um recurso da AWS. Por exemplo, ele usa a política AWSQuicksightAthenaAccess para controlar o acesso a determinados recursos da AWS. As políticas gerenciadas pela AWS não podem ser removidas.

Restaure o acesso do QuickSight aos seus serviços da AWS

1.    Abra o console do Amazon QuickSight.

2.    Na barra de navegação, escolha a lista suspensa de nomes de usuário e escolha Gerenciar o QuickSight.

3.    No painel de navegação, escolha Segurança e permissões.

4.    Em Acesso do QuickSight aos serviços da AWS, escolha Gerenciar.

5.    Em Permitir acesso e descoberta automática para esses recursos, escolha os serviços da AWS que você deseja restaurar.

6.    Escolha Salvar.

Para obter mais informações sobre como habilitar os serviços da AWS que o Amazon QuickSight pode acessar, consulte Como usar outros serviços da AWS: redução do acesso.

Informações relacionadas

Exemplos de políticas do IAM para o Amazon QuickSight

Políticas gerenciadas pela AWS para o Amazon QuickSight