Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como solucionar erros de permissão de recursos da AWS no Amazon QuickSight?

4 minuto de leitura
0

Tentei editar as permissões do Amazon QuickSight para recursos da AWS e recebi um erro.

Breve descrição

Ao editar as permissões do Amazon QuickSight, você pode receber um dos seguintes erros:

  • “A função usada pelo QuickSight para acessar recursos da AWS foi modificada para um estado irrecuperável fora do QuickSight, então você não pode mais editar as permissões de recursos da AWS no QuickSight.“
  • “Não foi possível atualizar as permissões do QuickSight para recursos da AWS. Ou você não está autorizado a editar as permissões do QuickSight nos recursos da AWS, ou as permissões do QuickSight foram alteradas usando o console do IAM e, portanto, não podem mais ser atualizadas por meio do QuickSight.“
  • “Não podemos atualizar a função do IAM.”
  • “O QuickSight detectou políticas desconhecidas associadas às seguintes funções. Desanexe-as e tente novamente.”
  • “Algo deu errado. Para obter mais informações, consulte Definir política de IAM.”

Esses erros ocorrem quando você edita as permissões do QuickSight para seus recursos da AWS a partir do console do AWS Identity and Access Management (IAM).

Observação: é uma prática recomendada editar as permissões do QuickSight para recursos da AWS usando o console do Amazon QuickSight e não o console do IAM.

Resolução

Remova os perfis de serviço aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0 que o QuickSight assume ao interagir com outros serviços da AWS. Em seguida, remova as políticas gerenciadas que o QuickSight associa aos perfis de serviço aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0. Por fim, restaure o acesso do QuickSight aos seus serviços da AWS.

Importante: antes de começar, certifique-se de ter um backup de suas políticas do IAM antes de excluí-las. O backup pode ajudar você a referenciar a qualquer recurso de conta do Amazon Simple Storage Service (Amazon S3) aos quais você tinha acesso anteriormente.

Verifique as permissões do IAM QuickSight e do IAM e, em seguida, remova os perfis e as políticas de serviço

  1. Siga as instruções para visualizar as contas de usuário do QuickSight. Verifique se você tem um usuário com um perfil ADMIN.

  2. Abra o console do IAM.

  3. (Opcional) Se você ainda não tiver feito isso, siga as instruções para criar um administrador de usuários do IAM.

  4. Certifique-se de que sua política do IAM permita criar e excluir serviços e funções do QuickSight semelhantes aos seguintes:

    {  
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "VisualEditor0",
          "Effect": "Allow",
          "Action": [
            "iam:GetRole",
            "iam:DetachRolePolicy",
            "iam:DeleteRole",
            "iam:AttachRolePolicy",
            "iam:CreateRole"
          ],
          "Resource":[
             "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
             "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
          ]
        },
        {
          "Sid": "VisualEditor1",
          "Effect": "Allow",
          "Action": [
            "iam:ListPolicies",
            "iam:GetPolicyVersion",
            "iam:GetRole",
            "iam:GetPolicy",
            "iam:ListPolicyVersions",
            "iam:ListAttachedRolePolicies",
            "iam:GenerateServiceLastAccessedDetails",
            "iam:ListEntitiesForPolicy",
            "iam:ListPoliciesGrantingServiceAccess",
            "iam:ListRoles",
            "iam:GetServiceLastAccessedDetails",
            "iam:ListAccountAliases",
            "iam:ListRolePolicies",
            "s3:ListAllMyBuckets"
          ],
          "Resource": "*"
        },
        {
          "Sid": "VisualEditor2",
          "Effect": "Allow",
          "Action": [
            "iam:DeletePolicy",
            "iam:CreatePolicy",
            "iam:CreatePolicyVersion",
            "iam:DeletePolicyVersion"
          ],
          "Resource": [
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
          ]
        }
      ]
    }
  5. No painel de navegação, escolha Funções.

  6. No painel de pesquisa de funções, pesquise e exclua as seguintes funções do IAM: aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0 Nota: essas funções de serviço são criados automaticamente pelo QuickSight quando você define permissões no QuickSight.

  7. No painel de navegação, selecione Políticas.

  8. No painel de pesquisa de políticas, pesquise e exclua as seguintes políticas do IAM gerenciadas pelo cliente:
    AWSQuickSightRedshiftPolicy
    AWSQuickSightRDSPolicy
    AWSQuickSightIAMPolicy
    AWSQuickSightS3Policy
    AWSQuickSightS3ConsumersPolicy

Observação: o QuickSight usa políticas gerenciadas pela AWS quando tem permissão para acessar um recurso da AWS. Por exemplo, ele usa a política AWSQuicksightAthenaAccess para controlar o acesso a determinados recursos da AWS. As políticas gerenciadas pela AWS não podem ser removidas.

Restaure o acesso do QuickSight aos seus serviços da AWS

  1. Abra o console do Amazon QuickSight.
  2. Na barra de navegação, escolha a lista suspensa de nomes de usuário e escolha Gerenciar o QuickSight.
  3. No painel de navegação, escolha Segurança e permissões.
  4. Em Acesso do QuickSight aos serviços da AWS, escolha Gerenciar.
  5. Em Permitir acesso e descoberta automática para esses recursos, escolha os serviços da AWS que você deseja restaurar.
  6. Escolha Salvar.

Para mais informações sobre como configurar o acesso em outros serviços da AWS para o QuickSight, consulte Acessar fonte de dados.

Informações relacionadas

Exemplos de políticas do IAM para o Amazon QuickSight

Políticas gerenciadas pela AWS para o Amazon QuickSight

AWS OFICIAL
AWS OFICIALAtualizada há 9 meses