Como solucionar erros de permissão de recursos da AWS no Amazon QuickSight?

Breve descrição

Se você editar as permissões do QuickSight para seus recursos da AWS no console do AWS Identity and Access Management (AWS IAM), poderá receber os seguintes erros:

• “The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight.“
• “We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight.”
• “We cannot update the IAM Role”
• “QuickSight has detected unknown policies attached to following roles please detach them and retry”
• “Something went wrong For more information see Set IAM policy”

É uma prática recomendada editar as permissões do QuickSight para recursos da AWS no console do QuickSight.

Resolução

Quando o QuickSight interage com outros serviços da AWS, o QuickSight assume o perfil de serviço aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0 e, em seguida, anexa políticas gerenciadas aos perfis. Remova esse perfil de serviço e, em seguida, remova as políticas gerenciadas anexadas. Por fim, restaure o acesso do QuickSight aos seus serviços da AWS.

Importante: certifique-se de fazer backup de suas políticas do IAM antes de excluí-las. É possível usar o backup para consultar os recurso da conta do Amazon Simple Storage Service (Amazon S3) aos quais você tinha acesso anteriormente.

Verifique as permissões do IAM QuickSight e do IAM e, em seguida, remova os perfis e as políticas de serviço

Conclua as etapas a seguir:

1. Visualize suas contas de usuário do QuickSight e confirme se você tem um usuário com um perfil de ADMINISTRADOR.

2. Abra o console do IAM.

3. (Opcional) Se você ainda não fez isso, crie um administrador de usuários do IAM.

4. Certifique-se de que sua política do IAM permite que você crie e exclua serviços e perfis do QuickSight.
   Exemplo de política do IAM:

   {  
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
           "iam:GetRole",
           "iam:DetachRolePolicy",
           "iam:DeleteRole",
           "iam:AttachRolePolicy",
           "iam:CreateRole"
         ],
         "Resource":[
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0"
            "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
         ]
       },
       {
         "Sid": "VisualEditor1",
         "Effect": "Allow",
         "Action": [
           "iam:ListPolicies",
           "iam:GetPolicyVersion",
           "iam:GetRole",
           "iam:GetPolicy",
           "iam:ListPolicyVersions",
           "iam:ListAttachedRolePolicies",
           "iam:GenerateServiceLastAccessedDetails",
           "iam:ListEntitiesForPolicy",
           "iam:ListPoliciesGrantingServiceAccess",
           "iam:ListRoles",
           "iam:GetServiceLastAccessedDetails",
           "iam:ListAccountAliases",
           "iam:ListRolePolicies",
           "s3:ListAllMyBuckets"
         ],
         "Resource": "*"
       },
       {
         "Sid": "VisualEditor2",
         "Effect": "Allow",
         "Action": [
           "iam:DeletePolicy",
           "iam:CreatePolicy",
           "iam:CreatePolicyVersion",
           "iam:DeletePolicyVersion"
         ],
         "Resource": [
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy",
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy"
           "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy"
         ]
       }
     ]
   }

5. No painel de navegação, escolha Perfis.

6. No painel de pesquisa de perfis, localize e exclua os perfis do IAM aws-quicksight-service-role-v0 e aws-quicksight-s3-consumers-role-v0.
   Observação: quando você define permissões no QuickSight, ele cria automaticamente esses perfis de serviço. Se o QuickSight não criou o perfil aws-quicksight-s3-consumers-role-v0, exclua o perfil aws-quicksight-service-role-v0 e continue.

7. No painel de navegação, selecione Políticas.

8. No painel de pesquisa de políticas, localize e exclua as políticas do IAM gerenciadas pelo cliente. Por exemplo, exclua as seguintes políticas gerenciadas pelo cliente no exemplo de política do IAM na etapa 4:
   AWSQuickSightRedshiftPolicy
   AWSQuickSightRDSPolicy
   AWSQuickSightIAMPolicy
   AWSQuickSightS3Policy
   AWSQuickSightS3ConsumersPolicy
   Observação: quando você permite que o QuickSight acesse um recurso da AWS, ele usa políticas gerenciadas pela AWS. Por exemplo, ele usa a política AWSQuicksightAthenaAccess para controlar o acesso a determinados recursos da AWS. Não é possível remover as políticas gerenciadas pela AWS.

Restaure o acesso do QuickSight aos seus serviços da AWS

Conclua as etapas a seguir:

1. Abra o console do QuickSight.
2. Na barra de navegação, escolha a lista suspensa de nomes de usuário e escolha Gerenciar o QuickSight.
3. No painel de navegação, escolha Segurança e permissões.
4. Em Acesso do QuickSight aos serviços da AWS, escolha Gerenciar.
5. Em Permitir acesso e descoberta automática para esses recursos, escolha os serviços da AWS que você deseja restaurar.
6. Escolha Salvar.

Para mais informações sobre como configurar o acesso e recursos em outros serviços da AWS para o QuickSight, consulte Acessar fonte de dados.