Uso de políticas de control de servicios para restringir las opciones de registro de Amazon Quick Suite - Amazon Quick Suite
Restringir la edición Quick SuiteLimitación de las opciones de administración de usuariosSCP de ejemplo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas de control de servicios para restringir las opciones de registro de Amazon Quick Suite

Si eres administrador en AWS Organizations, puedes usar las políticas de control de servicios (SCPs) para restringir la forma en que las personas de tu organización pueden suscribirse a Amazon Quick Suite. Puedes restringir la edición de Quick Suite a la que pueden suscribirse y también el tipo de usuario al que pueden suscribirse.

AWS Organizations es un servicio de administración de cuentas de usuario que puede utilizar para consolidar varias AWS cuentas en una organización que puede crear y administrar de forma centralizada. Puede usarlo SCPs AWS Organizations para administrar los permisos de su organización. Para obtener más información, consulta ¿Qué es AWS Organizations? y Políticas de control de servicios en la Guía AWS Organizations del usuario.

En el siguiente tema, puede obtener información sobre dos formas de restringir las opciones de registro de Quick Suite mediante SCPs . AWS Organizations El tema incluye un ejemplo de SCP. Para obtener más información sobre la creación SCPs, consulte los siguientes temas de la Guía del AWS Organizations usuario:

Restringir la edición Quick Suite

Para restringir la edición de Quick Suite a la que pueden suscribirse sus cuentas gestionadas, utilice la clave de quicksight:Edition condición de su SCP. Los valores de esta clave se muestran y describen en la siguiente tabla.

Nombre de clave Valor de la clave Description (Descripción)

quicksight:Edition

standard

Amazon Quick Suite Edición Estándar

enterprise

Amazon Quick Suite Edición empresarial

Limitación de las opciones de administración de usuarios

Para restringir las opciones de administración de usuarios que las personas de su organización pueden usar para suscribirse a Quick Suite, use la clave de quicksight:DirectoryType condición de su SCP. Los valores de esta clave se muestran y describen en la siguiente tabla.

Nombre de clave Valor de la clave Description (Descripción)

quicksight:DirectoryType

quicksight

Identidades federadas de IAM y usuarios gestionados por Amazon Quick Suite

iam

Solo identidades federadas de IAM

microsoft_ad

Usuarios administrados en Microsoft Active Directory en AWS Directory Service for Microsoft Active Directory

ad_connector

Los usuarios se administran en Active Directory local y se conectan a través de AD_Connector a AWS Directory Service for Microsoft Active Directory

iam_identity_center

Los usuarios se administran en una cuenta de Amazon Quick Suite integrada con IAM Identity Center.

SCP de ejemplo

El siguiente ejemplo de Quick Suite muestra una política de control de servicios que niega la suscripción a una Amazon Quick Suite Standard Edition e impide la posibilidad de registrarse mediante la autenticación del IAM Identity Center. Esta política utiliza la acción quicksight:Subscribe, además de las claves de condición descritas anteriormente. Para obtener una lista de las claves específicas de Amazon Quick Suite para su uso en las políticas de permisos de IAM, consulte Acciones, recursos y claves de condición de Quick Suite en la Referencia de autorización de servicio.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "quicksight:DirectoryType": [
                        "iam_identity_center"
                    ]
                }
            }
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "quicksight:Edition": "standard"
                }
            }
        }
    ]
}

Con esta política en vigor, los miembros de una organización solo pueden suscribirse a Amazon Quick Suite Enterprise Edition y deben utilizar métodos de autenticación distintos del IAM Identity Center. Si intentan suscribirse a Amazon Quick Suite Standard Edition o intentan utilizar la autenticación del Centro de Identidad de IAM, no podrán registrarse y recibirán un mensaje en el que se les explica que no tienen los permisos adecuados.