Comment autoriser Amazon QuickSight à accéder à un compartiment S3 avec une politique de refus ?

Lecture de 2 minute(s)

Je veux m'assurer que ma politique de compartiment Amazon Simple Storage Service (Amazon S3) autorise l'accès depuis Amazon QuickSight.

Brève description

Si votre compartiment Amazon S3 utilise une politique de refus, cette politique remplace toutes les autorisations S3 que vous spécifiez dans la console Amazon QuickSight. Pour autoriser Amazon QuickSight à accéder au compartiment S3, ajoutez le rôle de service Amazon QuickSight (aws-quicksight-service-role-v0) comme exception dans votre politique de refus.

Résolution

1. Vérifiez qu'Amazon QuickSight est autorisé à accéder au compartiment S3.

2. Utilisez l'interface de ligne de commande AWS (AWS CLI) ou l' API AWS Identity and Access Management (IAM) pour obtenir l'identifiant unique du rôle aws-quicksight-service-role-v0. L'identifiant est unique pour chaque compte Amazon QuickSight. Par exemple :

aws iam get-role --role-name aws-quicksight-service-role-v0 --query 'Role.RoleId' --output json
"AROAEXAMPLEID"

Remarque : si vous recevez un message d'erreur lorsque vous exécutez les commandes de l'AWS CLI, assurez-vous d'utiliser la version la plus récente de l'AWS CLI.

3. Ouvrez la console Amazon S3.

4. Choisissez le compartiment auquel vous souhaitez accéder avec Amazon QuickSight.

5. Choisissez l'onglet Autorisations.

6. Choisissez Politique de compartiment.

7. Entrez une politique de compartiment similaire à cet exemple. Remplacez ** AROAEXAMPLEID** par votre identifiant unique. Pour ajouter une exception pour un utilisateur IAM, remplacez AIDAEXAMPLEUSERID par l’ID unique de l’utilisateur IAM. La politique utilisateur IAM doit également contenir une instruction Autoriser pour le compartiment S3. Par exemple :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::examplebucketname",
        "arn:aws:s3:::examplebucketname/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userid": [
            "AROAEXAMPLEID:*",
            "AIDAEXAMPLEUSERID"
          ]
        }
      }
    }
  ]
}

Cette politique de Refus ajoute des exceptions pour le rôle de service Amazon QuickSight et pour un utilisateur IAM.

Remarque : si vous supprimez le rôle de service Amazon QuickSight et l'utilisateur IAM, l'accès au compartiment est bloqué. Pour résoudre ce problème, connectez-vous en tant qu'utilisateur root du compte AWS, puis utilisez la commande delete-bucket-policy pour supprimer la politique du compartiment.

Informations connexes

Comment restreindre l'accès au compartiment Amazon S3 à un rôle IAM spécifique

Sujets

Analytique

Balises

Amazon QuickSight

Langue

Français

Vidéos associées

Regarder la vidéo de Mihir pour en savoir plus (4:26)

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

accélération S3
jerome
demandé il y a 15 jours
Compartiment disparu
yeepp
demandé il y a 3 mois
Virtual hosting S3
Alan
demandé il y a 3 mois
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
accélérer les stockage S3
Réponse acceptée
jerome
demandé il y a 8 jours
Comment puis-je résoudre l'erreur « Vous n'êtes pas autorisé à modifier la politique relative aux compartiments » lorsque j'essaie de modifier une politique relative aux compartiments dans Amazon S3 ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je utiliser des caractères génériques avec un élément principal et un refus explicite dans une politique de compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 6 mois
Un utilisateur autorisé à charger des objets vers mon compartiment Amazon S3 reçoit des erreurs Accès refusé. Pourquoi ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment autoriser ma fonction Lambda à accéder à mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a un an