Verwendung von Richtlinien zur Servicesteuerung zur Einschränkung der Anmeldeoptionen für Amazon Quick Suite - Amazon Quick Suite
Einschränkung der Quick Suite-EditionEinschränken der BenutzerverwaltungsoptionenBeispiel-SCP

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Richtlinien zur Servicesteuerung zur Einschränkung der Anmeldeoptionen für Amazon Quick Suite

Wenn Sie Administrator in sind AWS Organizations, können Sie mithilfe von Richtlinien zur Servicesteuerung (SCPs) einschränken, wie sich Personen in Ihrer Organisation für Amazon Quick Suite registrieren können. Sie können die Version von Quick Suite einschränken, für die sie sich registrieren können, und auch den Benutzertyp, für den sie sich registrieren können.

AWS Organizations ist ein Benutzerkontenverwaltungsdienst, mit dem Sie mehrere AWS Konten in einer Organisation zusammenfassen können, die Sie erstellen und zentral verwalten. Sie können SCPs in verwenden AWS Organizations , um die Berechtigungen in Ihrer Organisation zu verwalten. Weitere Informationen finden Sie unter Was ist AWS Organizations? und Richtlinien zur Servicesteuerung im AWS Organizations Benutzerhandbuch.

Im folgenden Thema erfahren Sie mehr über zwei Möglichkeiten, die Anmeldeoptionen für Quick Suite einzuschränken, indem Sie SCPs in AWS Organizations. Das Thema enthält ein Beispiel für eine SCP. Weitere Informationen zum Erstellen SCPs finden Sie in den folgenden Themen im AWS Organizations Benutzerhandbuch:

Einschränkung der Quick Suite-Edition

Um die Version von Quick Suite einzuschränken, für die sich Ihre verwalteten Konten registrieren können, verwenden Sie den quicksight:Edition Bedingungsschlüssel in Ihrem SCP. Die Werte für diesen Schlüssel sind in der folgenden Tabelle aufgeführt und beschrieben.

Schlüsselname Schlüsselwert Description

quicksight:Edition

standard

Amazon Quick Suite Standardausgabe

enterprise

Amazon Quick Suite Enterprise Edition

Einschränken der Benutzerverwaltungsoptionen

Um die Benutzerverwaltungsoptionen einzuschränken, mit denen sich Einzelpersonen in Ihrer Organisation für Quick Suite registrieren können, verwenden Sie den quicksight:DirectoryType Bedingungsschlüssel in Ihrem SCP. Die Werte für diesen Schlüssel sind in der folgenden Tabelle aufgeführt und beschrieben.

Schlüsselname Schlüsselwert Description

quicksight:DirectoryType

quicksight

IAM-Verbundidentitäten und von Amazon Quick Suite verwaltete Benutzer

iam

Nur IAM-Verbundidentitäten

microsoft_ad

In Microsoft Active Directory verwaltete Benutzer auf AWS Directory Service for Microsoft Active Directory

ad_connector

Benutzer, die im lokalen Active Directory verwaltet und über AD_Connector verbunden sind mit AWS Directory Service for Microsoft Active Directory

iam_identity_center

Benutzer, die in einem Amazon Quick Suite-Konto verwaltet werden, das in IAM Identity Center integriert ist.

Beispiel-SCP

Das folgende Beispiel für Quick Suite zeigt eine Servicesteuerungsrichtlinie, die die Registrierung für eine Amazon Quick Suite Standard Edition verweigert und die Möglichkeit verhindert, sich mit der IAM Identity Center-Authentifizierung anzumelden. Diese Richtlinie verwendet die quicksight:Subscribe-Aktion zusätzlich zu den zuvor beschriebenen Bedingungsschlüsseln. Eine Liste der Amazon Quick Suite-spezifischen Schlüssel zur Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Quick Suite in der Service Authorization Reference.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "quicksight:DirectoryType": [
                        "iam_identity_center"
                    ]
                }
            }
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "quicksight:Edition": "standard"
                }
            }
        }
    ]
}

Wenn diese Richtlinie in Kraft ist, können sich Einzelpersonen in einer Organisation nur für Amazon Quick Suite Enterprise Edition registrieren und müssen andere Authentifizierungsmethoden als IAM Identity Center verwenden. Wenn sie versuchen, sich für Amazon Quick Suite Standard Edition zu registrieren oder versuchen, die IAM Identity Center-Authentifizierung zu verwenden, können sie sich nicht registrieren und erhalten eine Meldung, dass sie nicht über die richtigen Berechtigungen verfügen.