Voraussetzungen - Amazon QuickSight

Voraussetzungen

Damit Ihre Benutzer IAM-Rollen an QuickSight weitergeben können, muss Ihr Administrator die folgenden Aufgaben ausführen:

  • Erstellen Sie eine IAM-Rolle. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen von IAM-Rollen im IAM-Benutzerhandbuch.

  • Fügen Sie Ihrer IAM-Rolle eine Vertrauensrichtlinie hinzu, die es QuickSight ermöglicht, die Rolle zu übernehmen. Verwenden Sie das folgende Beispiel, um eine Vertrauensrichtlinie für die Rolle zu erstellen. Die folgende Beispiel-Vertrauensrichtlinie ermöglicht dem Amazon-QuickSight-Prinzipal, die IAM-Rolle zu übernehmen, der er zugeordnet ist.

    Weitere Informationen zum Anfügen von Richtlinien an IAM-Rollen finden Sie unter Ändern einer Rolle (Konsole) im IAM-Benutzerhandbuch.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Weisen Sie Ihrem Administrator (IAM-Benutzer oder -Rollen) die folgenden IAM-Berechtigungen zu:

    • quicksight:UpdateResourcePermissions – Dadurch erhalten IAM-Benutzer, die QuickSight-Administratoren sind, die Berechtigung zum Aktualisieren von Berechtigungen auf Ressourcenebene in QuickSight. Weitere Informationen zu den von QuickSight definierten Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon QuickSight im IAM-Benutzerhandbuch.

    • iam:PassRole – Dadurch erhalten Benutzer die Erlaubnis, Rollen an QuickSight zu übergeben. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann im IAM-Benutzerhandbuch.

    • iam:ListRoles – (Optional) Dadurch erhalten Benutzer die Erlaubnis, eine Liste vorhandener Rollen in QuickSight zu sehen. Wenn diese Berechtigung nicht erteilt wird, können sie einen ARN verwenden, um vorhandene IAM-Rollen zu verwenden.

    Im Folgenden finden Sie ein Beispiel für eine IAM-Berechtigungsrichtlinie, die die Verwaltung von Berechtigungen auf Ressourcenebene, die Auflistung von IAM-Rollen und die Weitergabe von IAM-Rollen in Amazon QuickSight ermöglicht.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::111122223333:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Weitere Beispiele für IAM-Richtlinien, die Sie mit QuickSight verwenden können, finden Sie unter IAM-Richtlinienbeispiele für Amazon QuickSight.

Weitere Informationen zum Zuweisen von Berechtigungsrichtlinien zu Benutzern oder Benutzergruppen finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.

Nachdem Ihr Administrator die Voraussetzungen erfüllt hat, können Ihre IAM-Benutzer IAM-Rollen an QuickSight übergeben. Sie tun dies, indem sie eine IAM-Rolle auswählen, wenn sie sich für QuickSight anmelden, oder durch switching to an IAM role auf ihrer QuickSight-Sicherheits- und Berechtigungsseite. Informationen zum Wechseln zu einer vorhandenen IAM-Rolle in QuickSight finden Sie im folgenden Abschnitt.