Como faço para permitir que o Amazon QuickSight acesse um bucket do S3 com uma política de negação?

2 minuto de leitura
0

Quero ter certeza de que minha política de bucket do Amazon Simple Storage Service (Amazon S3) permite o acesso do Amazon QuickSight.

Breve descrição

Se o seu bucket do Amazon S3 usar uma política Negar, esta substituirá todas as permissões do S3 que você especificar no console do Amazon QuickSight. Para permitir que o Amazon QuickSight acesse o bucket do S3, adicione o perfil de serviço do Amazon QuickSight (aws-quicksight-service-role-v0) como uma exceção em sua política de Negação.

Resolução

1.    Confirme que o Amazon QuickSight tem permissão para acessar o bucket do S3.

2.    Use a AWS Command Line Interface (AWS CLI) ou a API do AWS Identity and Access Management (IAM) para obter o ID exclusivo para o perfil aws-quicksight-service-role-v0. O ID é exclusivo para cada conta do Amazon QuickSight. Por exemplo:

aws iam get-role --role-name aws-quicksight-service-role-v0 --query 'Role.RoleId' --output json
"AROAEXAMPLEID"

Observação: se você receber um erro ao executar comandos da AWS CLI, certifique-se de usar a versão mais recente da AWS CLI.

3.    Abra o console do Amazon S3.

4.    Escolha o bucket que você deseja acessar com o Amazon QuickSight.

5.    Escolha a exibição Permissões.

6.    Escolha Política do Bucket.

7.    Insira uma política de bucket semelhante a este exemplo. Substitua AROAEXAMPLEID pelo seu ID exclusivo. Para adicionar uma exceção para um usuário do IAM, substitua AIDAEXAMPLEUSERID pelo ID exclusivo do usuário do IAM. A política de usuário do IAM também deve conter uma instrução Permitir para o bucket do S3. Por exemplo:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::examplebucketname",
        "arn:aws:s3:::examplebucketname/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userid": [
            "AROAEXAMPLEID:*",
            "AIDAEXAMPLEUSERID"
          ]
        }
      }
    }
  ]
}

essa política de Negação adiciona exceções para o perfil de serviço do Amazon QuickSight e para um usuário do IAM.

Observação: se você excluir a função de serviço do Amazon QuickSight e o usuário do IAM, o acesso ao bucket será bloqueado. Para resolver esse problema, faça login como usuário raiz da conta da AWS e, em seguida, use o comando delete-bucket-policy para excluir a política de bucket.

Informações relacionadas

Como restringir o acesso ao bucket do Amazon S3 a um perfil do IAM específico

AWS OFICIAL
AWS OFICIALAtualizada há um ano