Übergabe von IAM-Rollen an Quick Suite - Amazon Quick Suite
VoraussetzungenAnfügen zusätzlicher RichtlinienVerwenden vorhandener IAM-Rollen in Quick Suite

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übergabe von IAM-Rollen an Quick Suite

 Gilt für: Enterprise Edition 

Wenn sich Ihre IAM-Benutzer für Quick Suite registrieren, können sie wählen, ob sie die von Amazon Quick Suite verwaltete Rolle verwenden möchten (dies ist die Standardrolle). Oder sie können eine bestehende IAM-Rolle an Amazon Quick Suite übergeben.

Verwenden Sie die folgenden Abschnitte, um bestehende IAM-Rollen an Amazon Quick Suite zu übergeben

Voraussetzungen

Damit Ihre Benutzer IAM-Rollen an Amazon Quick Suite weitergeben können, muss Ihr Administrator die folgenden Aufgaben erledigen:

  • Erstellen Sie eine IAM-Rolle. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen von IAM-Rollen im IAM-Benutzerhandbuch.

  • Fügen Sie Ihrer IAM-Rolle eine Vertrauensrichtlinie hinzu, die es Amazon Quick Suite ermöglicht, die Rolle zu übernehmen. Verwenden Sie das folgende Beispiel, um eine Vertrauensrichtlinie für die Rolle zu erstellen. Das folgende Beispiel für eine Vertrauensrichtlinie ermöglicht es dem Quick Suite-Prinzipal, die IAM-Rolle anzunehmen, der er zugewiesen ist.

    Weitere Informationen zum Anfügen von Richtlinien an IAM-Rollen finden Sie unter Ändern einer Rolle (Konsole) im IAM-Benutzerhandbuch.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • Weisen Sie Ihrem Administrator (IAM-Benutzer oder -Rollen) die folgenden IAM-Berechtigungen zu:

    • quicksight:UpdateResourcePermissions— Dadurch erhalten IAM-Benutzer, die Amazon Quick Suite-Administratoren sind, die Berechtigung, Berechtigungen auf Ressourcenebene in Amazon Quick Suite zu aktualisieren. Weitere Informationen zu den von Amazon Quick Suite definierten Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Quick Suite im IAM-Benutzerhandbuch.

    • iam:PassRole— Dadurch erhalten Benutzer die Erlaubnis, Rollen an Amazon Quick Suite zu übergeben. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Service.

    • iam:ListRoles— (Optional) Dadurch erhalten Benutzer die Erlaubnis, eine Liste vorhandener Rollen in Amazon Quick Suite einzusehen. Wenn diese Berechtigung nicht erteilt wird, können sie einen ARN verwenden, um vorhandene IAM-Rollen zu verwenden.

    Im Folgenden finden Sie ein Beispiel für eine IAM-Berechtigungsrichtlinie, die die Verwaltung von Berechtigungen auf Ressourcenebene, die Auflistung von IAM-Rollen und die Weitergabe von IAM-Rollen in Quick Suite ermöglicht.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Weitere Beispiele für IAM-Richtlinien, die Sie mit Amazon Quick Suite verwenden können, finden Sie unter Beispiele für IAM-Richtlinien für Amazon Quick Suite.

Weitere Informationen zum Zuweisen von Berechtigungsrichtlinien zu Benutzern oder Benutzergruppen finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.

Anfügen zusätzlicher Richtlinien

Wenn Sie einen anderen AWS Service wie Amazon Athena oder Amazon S3 verwenden, können Sie eine Berechtigungsrichtlinie erstellen, die Amazon Quick Suite die Erlaubnis erteilt, bestimmte Aktionen auszuführen. Anschließend können Sie die Richtlinie an die IAM-Rollen anhängen, die Sie später an Amazon Quick Suite weitergeben. Im Folgenden finden Sie Beispiele dafür, wie Sie zusätzliche Berechtigungsrichtlinien einrichten und Ihren IAM-Rollen zuordnen können.

Ein Beispiel für eine verwaltete Richtlinie für Amazon Quick Suite in Athena finden Sie unter AWSQuicksightAthenaAccess Verwaltete Richtlinie im Amazon Athena Athena-Benutzerhandbuch. IAM-Benutzer können mit dem folgenden ARN auf diese Rolle in Amazon Quick Suite zugreifen:arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess.

Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie für Amazon Quick Suite in Amazon S3. Weitere Informationen zur Verwendung von IAM mit Amazon S3 finden Sie unter Identity and Access Management in Amazon S3 im Benutzerhandbuch für Amazon S3.

Informationen zum Erstellen eines kontoübergreifenden Zugriffs von Amazon Quick Suite auf einen Amazon S3 S3-Bucket in einem anderen Konto finden Sie unter Wie richte ich den kontoübergreifenden Zugriff von Quick Suite auf einen Amazon S3 S3-Bucket in einem anderen Konto ein? im AWS Knowledge Center.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Verwenden vorhandener IAM-Rollen in Quick Suite

Wenn Sie ein Amazon Quick Suite-Administrator sind und berechtigt sind, Amazon Quick Suite-Ressourcen zu aktualisieren und IAM-Rollen zu übergeben, können Sie bestehende IAM-Rollen in Amazon Quick Suite verwenden. Weitere Informationen zu den Voraussetzungen für die Übergabe von IAM-Rollen in Amazon Quick Suite finden Sie in den Voraussetzungen in der vorherigen Liste.

Gehen Sie wie folgt vor, um zu erfahren, wie Sie IAM-Rollen in Amazon Quick Suite weitergeben.

Um eine bestehende IAM-Rolle in Amazon Quick Suite zu verwenden

  1. Wählen Sie in Amazon Quick Suite Ihren Kontonamen in der Navigationsleiste oben rechts aus und wählen Sie Verwalten QuickSight.

  2. Wählen Sie auf der sich öffnenden Seite „Amazon Quick Suite verwalten“ im Menü auf der linken Seite die Option Sicherheit und Berechtigungen aus.

  3. Wählen Sie auf der sich öffnenden Seite Sicherheit und Berechtigungen unter Amazon Quick Suite Access to AWS Services die Option Manage aus.

  4. Wählen Sie für die IAM-Rolle die Option Eine bestehende Rolle verwenden aus und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie aus der Liste die Rolle aus, die Sie verwenden möchten.

    • Oder, wenn Sie keine Liste der vorhandenen IAM-Rollen sehen, können Sie den IAM-ARN für die Rolle im folgenden Format eingeben: arn:aws:iam::account-id:role/path/role-name.

  5. Wählen Sie Speichern.