¿Cómo puedo solucionar los errores de permisos de recursos de AWS en Amazon QuickSight?

Descripción breve

Al editar los permisos de Amazon QuickSight, es posible que reciba uno de los siguientes errores:

"The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight."

"We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight."

"We cannot update the IAM Role"

"QuickSight has detected unknown policies attached to following roles please detach them and retry"

"Something went wrong For more information see Set IAM policy"

Estos errores se producen al editar los permisos de QuickSight de sus recursos de AWS desde la consola de AWS Identity and Access Management (IAM).

Nota: Se recomienda editar los permisos de QuickSight para los recursos de AWS mediante la consola Amazon QuickSight y no la consola de IAM.

Resolución

Elimine los roles de servicio aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0 que QuickSight asume al interactuar con otros servicios de AWS. A continuación, elimine las políticas administradas que QuickSight asigna a los roles de servicio aws-quicksight-service-role-v0 y aws-quicksight-s3-consumers-role-v0. Por último, restaure el acceso de QuickSight a sus servicios de AWS.

Importante: Antes de empezar, asegúrese de tener una copia de seguridad de sus políticas de IAM antes de eliminarlas. La copia de seguridad puede ayudarle a consultar cualquier recurso de la cuenta de Amazon Simple Storage Service (Amazon S3) al que haya tenido acceso anteriormente.

Verificar los permisos de IAM, QuickSight e IAM y eliminar los roles de servicio y las políticas

1.    Siga las instrucciones para ver las cuentas de usuario de QuickSight. Asegúrese de tener un usuario con un rol de ADMINISTRADOR.

2.    Abra la consola de IAM.

3.    (Opcional) Si aún no lo ha hecho, siga las instrucciones para crear un administrador de usuarios de IAM.

4.    Asegúrese de que su política de IAM le permita crear y eliminar roles y servicios de QuickSight parecidos a los siguientes:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:DetachRolePolicy",
        "iam:DeleteRole",
        "iam:AttachRolePolicy",
        "iam:CreateRole"
      ],
      "Resource":[
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
         "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
      ]
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:ListPolicies",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetPolicy",
        "iam:ListPolicyVersions",
        "iam:ListAttachedRolePolicies",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:ListEntitiesForPolicy",
        "iam:ListPoliciesGrantingServiceAccess",
        "iam:ListRoles",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccountAliases",
        "iam:ListRolePolicies",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": [
        "iam:DeletePolicy",
        "iam:CreatePolicy",
        "iam:CreatePolicyVersion",
        "iam:DeletePolicyVersion"
      ],
      "Resource": [
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
        "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
      ]
    }
  ]
}

5.    En el panel de navegación, seleccione Roles.

6.    En el panel de búsqueda de roles, busque los siguientes roles de IAM y luego elimínelos:

aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0

Nota: QuickSight crea estos roles de servicio automáticamente estas funciones de servicio al configurar los permisos en QuickSight.

7.    En el panel de navegación, seleccione Políticas.

8.    En el panel de búsqueda de políticas, busque y elimine las siguientes políticas de IAM administradas por el cliente:

AWSQuickSightRedshiftPolicy AWSQuickSightRDSPolicy AWSQuickSightIAMPolicy AWSQuickSightS3Policy AWSQuickSightS3ConsumersPolicy

**Nota:**QuickSight utiliza las políticas administradas por AWS cuando se le permite acceder a un recurso de AWS. Por ejemplo, utiliza la política AWSQuicksightAthenaAccess para controlar el acceso a determinados recursos de AWS. Las políticas administradas por AWS no se pueden eliminar.

Restaurar el acceso de QuickSight a sus servicios de AWS

1.    Abra la consola de Amazon QuickSight.

2.    En la barra de navegación, seleccione la lista desplegable de nombres de usuario y seleccione Administrar QuickSight.

3.    En el panel de navegación, seleccione Seguridad y permisos.

4.    En Acceso de QuickSight a los servicios de AWS, seleccione Administrar.

5.    En Permitir el acceso y la detección automática de estos recursos, elija los servicios de AWS que desee restaurar.

6.    Seleccione Guardar.

Para obtener más información sobre cómo habilitar los servicios de AWS a los que puede acceder Amazon QuickSight, consulte Uso de otros servicios de AWS: restricción de acceso.

Información relacionada

Ejemplos de políticas de IAM para Amazon QuickSight

Políticas administradas por AWS para Amazon QuickSight