Wie behebe ich AWS-Ressourcenberechtigungsfehler in Amazon QuickSight?

Kurzbeschreibung

Wenn Sie Amazon QuickSight-Berechtigungen bearbeiten, wird möglicherweise einer der folgenden Fehler angezeigt:

"The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight."

"We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight."

"We cannot update the IAM Role"

"QuickSight has detected unknown policies attached to following roles please detach them and retry"

"Something went wrong For more information see Set IAM policy"

Diese Fehler treten auf, wenn Sie die QuickSight-Berechtigungen für Ihre AWS-Ressourcen von der AWS Identity and Access Management (IAM) -Konsole aus bearbeiten.

**Hinweis:**Es hat sich bewährt, QuickSight-Berechtigungen für AWS-Ressourcen mithilfe der Amazon QuickSight-Konsole und nicht mit der IAM-Konsole zu bearbeiten.

Behebung

Entfernen Sie die Servicerollen aws-quicksight-service-role-v0 und aws-quicksight-s3-consumers-role-v0, die QuickSight bei der Interaktion mit anderen AWS-Services übernimmt. Entfernen Sie dann die Verwalteten Richtlinien, die QuickSight den Servicerollen aws-quicksight-service-role-v0 und aws-quicksight-s3-consumers-role-v0 anfügt. Stellen Sie abschließend den QuickSight-Zugriff auf Ihre AWS-Services wieder her.

**Wichtig:**Bevor Sie beginnen, stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer IAM-Richtlinien haben, bevor Sie sie löschen. Das Backup kann Ihnen dabei helfen, auf alle Amazon Simple Storage Service (Amazon S3) -Kontoressourcen zu verweisen, auf die Sie zuvor Zugriff hatten.

Überprüfen Sie die IAM, QuickSight- und IAM-Berechtigungen und entfernen Sie dann die Servicerollen und Richtlinien

1.Folgen Sie den Anweisungen, um QuickSight-Benutzerkonten anzuzeigen. Stellen Sie sicher, dass Sie einen Benutzer mit einer ADMIN-Rolle haben.

2.Öffnen Sie die IAM-Konsole.

3.(Optional) Folgen Sie den Anweisungen zum Erstellen eines IAM-Benutzeradministrators, falls Sie dies noch nicht getan haben.

4.Stellen Sie sicher, dass Ihre IAM-Richtlinie es Ihnen ermöglicht, QuickSight-Dienste und Rollen zu erstellen und zu löschen, die den folgenden ähneln:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:DetachRolePolicy",
        "iam:DeleteRole",
        "iam:AttachRolePolicy",
        "iam:CreateRole"
      ],
      "Resource":[
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
      ]
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:ListPolicies",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetPolicy",
        "iam:ListPolicyVersions",
        "iam:ListAttachedRolePolicies",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:ListEntitiesForPolicy",
        "iam:ListPoliciesGrantingServiceAccess",
        "iam:ListRoles",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccountAliases",
        "iam:ListRolePolicies",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": [
        "iam:DeletePolicy",
        "iam:CreatePolicy",
        "iam:CreatePolicyVersion",
        "iam:DeletePolicyVersion"
      ],
      "Resource": [
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
      ]
    }
  ]
}

5.Wählen Sie im Navigationsbereich Rollen aus.

6.Suchen Sie im Rollensuchbereich nach den folgenden IAM-Rollen, und löschen Sie sie dann:

aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0

**Hinweis:**Diese Servicerollen werden automatisch von QuickSight erstellt, wenn Sie Berechtigungen in QuickSight festlegen.

7.Wählen Sie im Navigationsbereich Metrics aus.

8.Suchen Sie im Richtlinien-Suchbereich nach und Sie sie dann Löschen den folgenden vom Kunden verwalteten IAM-Richtlinien:

AWSQuickSightRedshiftPolicy AWSQuickSightRDSPolicy AWSQuickSightIAMPolicy AWSQuickSightS3Policy AWSQuickSightS3ConsumersPolicy

**Hinweis:**QuickSight verwendet von AWS verwaltete Richtlinien, wenn es Zugreifen auf eine AWS-Ressourcedarf. Beispielsweise verwendet es die AWSQuickSightAthenaAccess-Richtlinie, um den Zugriff auf bestimmte AWS-Ressourcen zu kontrollieren. Von AWS verwaltete Richtlinien können nicht entfernt werden.

Stellen Sie den QuickSight-Zugriff auf Ihre AWS-Services wieder her

1.Öffnen Sie die Amazon QuickSight-Konsole.

2.Wählen Sie in der Navigationsleiste die Dropdownliste Benutzername und dann Verwalten QuickSight.

3.Wählen Sie im Navigationsbereich Sicherheit und Berechtigungen aus.

4.Wählen Sie im QuickSight-Zugriff auf AWS-Services die Option Verwalten aus.

5.Wählen Sie unter Zugriff und automatische Erkennung für diese Ressourcen die AWS-Services aus, die Sie wiederherstellen möchten.

6.Wählen Sie Speichern.

Weitere Informationen zur Aktivierung von AWS-Services, auf die Amazon QuickSight zugreifen kann, finden Sie unter Andere AWS-Services verwenden: Zugriff einschränken.

Weitere Informationen

Beispiele für IAM-Richtlinien für Amazon QuickSight

Von AWS verwaltete Richtlinien für Amazon QuickSight