¿Cómo permito que Amazon QuickSight acceda a un bucket de S3 con una política de denegación?

2 minutos de lectura

Quiero asegurarme de que mi política de bucket de Amazon Simple Storage Service (Amazon S3) permite el acceso desde Amazon QuickSight.

Descripción breve

Si un bucket de Amazon S3 utiliza una política de denegación, esta anula cualquier permiso de S3 que especifique en la consola de Amazon QuickSight. Para permitir que Amazon QuickSight acceda al bucket de S3, añada el rol de servicio de Amazon QuickSight (aws-quicksight-service-role-v0) como excepción en su política de denegación.

Resolución

1. Asegúrese de que Amazon QuickSight tenga permiso para acceder al bucket de S3.

2. Utilice la Interfaz de la línea de comandos de AWS (AWS CLI) o la API de AWS Identity and Access Management (IAM) para obtener el ID único del rol aws-quicksight-service-role-v0. El ID es único para cada cuenta de Amazon QuickSight. Por ejemplo:

aws iam get-role --role-name aws-quicksight-service-role-v0 --query 'Role.RoleId' --output json
"AROAEXAMPLEID"

Nota: Si recibe un error al ejecutar los comandos de AWS CLI, asegúrese de utilizar la versión más reciente de AWS CLI.

3. Abra la consola de Amazon S3.

4. Elija el bucket al que quiere acceder con Amazon QuickSight.

5. Elija la vista Permisos.

6. Elija Política de bucket.

7. Introduzca una política de bucket similar a la de este ejemplo. Reemplace AROAEXAMPLEID por su ID único. Para añadir una excepción para un usuario de IAM, sustituya AIDAEXAMPLEUSERID por el ID único del usuario de IAM. La política de usuario de IAM también debe contener una instrucción Allow para el bucket de S3. Por ejemplo:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::examplebucketname",
        "arn:aws:s3:::examplebucketname/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userid": [
            "AROAEXAMPLEID:*",
            "AIDAEXAMPLEUSERID"
          ]
        }
      }
    }
  ]
}

Esta política de denegación añade excepciones para el rol de servicio de Amazon QuickSight y un usuario de IAM.

Nota: Si elimina el rol de servicio de Amazon QuickSight y el usuario de IAM, se le bloqueará el acceso al bucket. Para resolver este problema, inicie sesión como usuario raíz de la cuenta de AWS y, a continuación, utilice el comando delete-bucket-policy para eliminar la política de bucket.

Información relacionada

Cómo restringir el acceso al bucket de Amazon S3 a un rol de IAM específico

Temas

Análisis

Etiquetas

Amazon QuickSight

Idioma

Español

Vídeos relacionados

Mire el vídeo de Mihir para obtener más información (4:26)

OFICIAL DE AWSActualizada hace 9 meses

Contenido relevante

¿Por qué aparecen errores de acceso denegado cuando utilizo una función de Lambda para subir archivos a un bucket de Amazon S3 en otra cuenta de AWS?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo solucionar los errores «403 Acceso denegado» de un bucket de Amazon S3 con acceso de lectura público?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo puedo utilizar comodines con un elemento principal y una denegación explícita en una política de bucket de Amazon S3?
OFICIAL DE AWSActualizada hace 6 meses
¿Qué política de bucket de S3 debo utilizar para cumplir la regla s3-bucket-ssl-requests-only de AWS Config?
OFICIAL DE AWSActualizada hace 8 meses