Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für IAM-Richtlinien für Quick Suite
Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Quick Suite verwenden können.
Identitätsbasierte IAM-Richtlinien für Quick Suite
Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien, die mit Quick Suite verwendet werden können.
Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick Suite IAM-Konsole
Das folgende Beispiel zeigt die IAM-Berechtigungen, die für Verwaltungsaktionen der Amazon Quick Suite IAM-Konsole erforderlich sind.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Dashboards
Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Namespaces
Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem Amazon Quick Suite-Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.
Erstellen von Namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Löschen von Namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: benutzerdefinierte Berechtigungen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem Amazon Quick Suite-Administrator oder einem Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Anpassen von E-Mail-Berichtsvorlagen
Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in Amazon Quick Suite sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem Amazon Quick Suite-Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Erstellen Sie ein Enterprise-Konto mit verwalteten Amazon Quick Suite-Benutzern
Das folgende Beispiel zeigt eine Richtlinie, die es Amazon Quick Suite-Administratoren ermöglicht, ein Amazon Quick Suite-Konto für die Enterprise Edition mit von Amazon Quick Suite verwalteten Benutzern zu erstellen.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Benutzer erstellen
Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von Amazon Quick Suite-Benutzern erlaubt. Für quicksight:CreateReader, quicksight:CreateUser und quicksight:CreateAdmin können Sie die Berechtigungen für "Resource":
"arn:aws:quicksight:: beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Gruppen erstellen und verwalten
Das folgende Beispiel zeigt eine Richtlinie, die es Administratoren und Entwicklern von Amazon Quick Suite ermöglicht, Gruppen zu erstellen und zu verwalten.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Vollzugriff für die Standard Edition
Das folgende Beispiel für die Amazon Quick Suite Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick Suite abzumelden.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Vollzugriff für die Enterprise Edition mit IAM Identity Center (Pro-Rollen)
Das folgende Beispiel für die Amazon Quick Suite Enterprise Edition zeigt eine Richtlinie, die es einem Amazon Quick Suite-Benutzer ermöglicht, Amazon Quick Suite zu abonnieren, Benutzer zu erstellen und Active Directory in einem Amazon Quick Suite-Konto zu verwalten, das in IAM Identity Center integriert ist.
Diese Richtlinie ermöglicht es Benutzern auch, Amazon Quick Suite Pro-Rollen zu abonnieren, die Zugriff auf Amazon Q in Quick Suite Generative BI-Funktionen gewähren. Weitere Informationen zu Pro-Rollen in Amazon Quick Suite finden Sie unter Erste Schritte mit Generative BI.
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick Suite abzumelden.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Vollzugriff für die Enterprise Edition mit IAM Identity Center
Das folgende Beispiel für die Amazon Quick Suite Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick Suite-Konto ermöglicht, das in IAM Identity Center integriert ist.
Diese Richtlinie gewährt keine Berechtigungen zum Erstellen von Pro-Rollen in Amazon Quick Suite. Informationen zum Erstellen einer Richtlinie, die die Erlaubnis zum Abonnieren von Pro-Rollen in Amazon Quick Suite gewährt, finden Sie unter Identitätsbasierte IAM-Richtlinien für Amazon Quick Suite: Vollzugriff für die Enterprise Edition mit IAM Identity Center (Pro-Rollen).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick Suite abzumelden.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Vollzugriff für die Enterprise Edition mit Active Directory
Das folgende Beispiel für die Amazon Quick Suite Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick Suite-Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick Suite abzumelden.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: Active Directory-Gruppen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon Quick Suite Enterprise Edition-Konto ermöglicht.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Identitätsbasierte IAM-Richtlinien für Quick Suite: mithilfe der Admin-Asset-Management-Konsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick Suite: mithilfe der Admin-Schlüsselverwaltungskonsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Die "kms:ListAliases" Berechtigungen "quicksight:ListKMSKeysForUser" und sind erforderlich, um über die Amazon Quick Suite-Konsole auf vom Kunden verwaltete Schlüssel zuzugreifen. "quicksight:ListKMSKeysForUser"und müssen "kms:ListAliases" die Amazon Quick Suite-Schlüsselverwaltung nicht verwenden APIs.
Um anzugeben, auf welche Schlüssel ein Benutzer zugreifen kann, fügen Sie die Schlüssel, auf die ARNs der Benutzer zugreifen soll, der UpdateKeyRegistration Bedingung mit dem quicksight:KmsKeyArns Bedingungsschlüssel hinzu. Benutzer können nur auf die unter UpdateKeyRegistration angegebenen Schlüssel zugreifen. Weitere Informationen zu unterstützten Bedingungsschlüsseln für Amazon Quick Suite finden Sie unter Bedingungsschlüssel für Amazon Quick Suite.
Das folgende Beispiel gewährt Describe Berechtigungen für alle CMKs , die für ein Amazon Quick Suite-Konto registriert sind, und Update Berechtigungen für bestimmte Personen, die für CMKs das Amazon Quick Suite-Konto registriert sind.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS Ressourcen Quick Suite: Geltungsbereich von Richtlinien in der Enterprise Edition
Das folgende Beispiel für die Amazon Quick Suite Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
