Quero ter certeza de que minha política de bucket do Amazon Simple Storage Service (Amazon S3) permite o acesso do Amazon QuickSight.
Breve descrição
Se o seu bucket do Amazon S3 usar uma política Negar, esta substituirá todas as permissões do S3 que você especificar no console do Amazon QuickSight. Para permitir que o Amazon QuickSight acesse o bucket do S3, adicione o perfil de serviço do Amazon QuickSight (aws-quicksight-service-role-v0) como uma exceção em sua política de Negação.
Resolução
1. Confirme que o Amazon QuickSight tem permissão para acessar o bucket do S3.
2. Use a AWS Command Line Interface (AWS CLI) ou a API do AWS Identity and Access Management (IAM) para obter o ID exclusivo para o perfil aws-quicksight-service-role-v0. O ID é exclusivo para cada conta do Amazon QuickSight. Por exemplo:
aws iam get-role --role-name aws-quicksight-service-role-v0 --query 'Role.RoleId' --output json
"AROAEXAMPLEID"
Observação: se você receber um erro ao executar comandos da AWS CLI, certifique-se de usar a versão mais recente da AWS CLI.
3. Abra o console do Amazon S3.
4. Escolha o bucket que você deseja acessar com o Amazon QuickSight.
5. Escolha a exibição Permissões.
6. Escolha Política do Bucket.
7. Insira uma política de bucket semelhante a este exemplo. Substitua AROAEXAMPLEID pelo seu ID exclusivo. Para adicionar uma exceção para um usuário do IAM, substitua AIDAEXAMPLEUSERID pelo ID exclusivo do usuário do IAM. A política de usuário do IAM também deve conter uma instrução Permitir para o bucket do S3. Por exemplo:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::examplebucketname",
"arn:aws:s3:::examplebucketname/*"
],
"Condition": {
"StringNotLike": {
"aws:userid": [
"AROAEXAMPLEID:*",
"AIDAEXAMPLEUSERID"
]
}
}
}
]
}
essa política de Negação adiciona exceções para o perfil de serviço do Amazon QuickSight e para um usuário do IAM.
Observação: se você excluir a função de serviço do Amazon QuickSight e o usuário do IAM, o acesso ao bucket será bloqueado. Para resolver esse problema, faça login como usuário raiz da conta da AWS e, em seguida, use o comando delete-bucket-policy para excluir a política de bucket.
Informações relacionadas
Como restringir o acesso ao bucket do Amazon S3 a um perfil do IAM específico