Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan IAM untuk Quick Suite
Bagian ini memberikan contoh kebijakan IAM yang dapat Anda gunakan dengan Quick Suite.
Kebijakan berbasis identitas IAM untuk Quick Suite
Bagian ini menunjukkan contoh kebijakan berbasis identitas yang akan digunakan dengan Quick Suite.
Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick Suite IAM
Contoh berikut menunjukkan izin IAM yang diperlukan untuk tindakan administrasi konsol Amazon Quick Suite IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: dasbor
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan berbagi dasbor dan penyematan untuk dasbor tertentu.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: ruang nama
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick Suite untuk membuat atau menghapus ruang nama.
Membuat ruang nama
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Menghapus ruang nama
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: izin khusus
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick Suite atau pengembang mengelola izin khusus.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
Contoh berikut menunjukkan cara lain untuk memberikan izin yang sama seperti yang ditunjukkan pada contoh sebelumnya.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: menyesuaikan templat laporan email
Contoh berikut menunjukkan kebijakan yang memungkinkan melihat, memperbarui, dan membuat templat laporan email di Amazon Quick Suite, serta memperoleh atribut verifikasi untuk identitas Amazon Simple Email Service. Kebijakan ini memungkinkan administrator Amazon Quick Suite untuk membuat dan memperbarui templat laporan email kustom, dan mengonfirmasi bahwa alamat email kustom yang ingin mereka kirimi laporan email adalah identitas terverifikasi di SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: buat akun Enterprise dengan pengguna terkelola Amazon Quick Suite
Contoh berikut menunjukkan kebijakan yang memungkinkan admin Amazon Quick Suite membuat akun Amazon Quick Suite edisi Enterprise dengan pengguna terkelola Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: membuat pengguna
Contoh berikut menunjukkan kebijakan yang memungkinkan pembuatan pengguna Amazon Quick Suite saja. Untukquicksight:CreateReader,quicksight:CreateUser, danquicksight:CreateAdmin, Anda dapat membatasi izin untuk"Resource":
"arn:aws:quicksight::. Untuk semua izin lain yang dijelaskan dalam panduan ini, gunakan<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Sumber daya yang Anda tentukan membatasi ruang lingkup izin ke sumber daya yang ditentukan.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: membuat dan mengelola grup
Contoh berikut menunjukkan kebijakan yang memungkinkan administrator dan pengembang Amazon Quick Suite untuk membuat dan mengelola grup.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: Semua akses untuk edisi Standar
Contoh berikut untuk Amazon Quick Suite Standard edition menunjukkan kebijakan yang memungkinkan berlangganan dan membuat penulis dan pembaca. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
Contoh berikut untuk Amazon Quick Suite Enterprise edisi menunjukkan kebijakan yang memungkinkan pengguna Amazon Quick Suite untuk berlangganan Amazon Quick Suite, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick Suite yang terintegrasi dengan IAM Identity Center.
Kebijakan ini juga memungkinkan pengguna untuk berlangganan peran Amazon Quick Suite Pro yang memberikan akses ke Amazon Q dalam kemampuan Quick Suite Generative BI. Untuk informasi selengkapnya tentang peran Pro di Amazon Quick Suite, lihat Memulai Generative BI.
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: Semua akses untuk edisi Enterprise dengan IAM Identity Center
Contoh berikut untuk Amazon Quick Suite Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick Suite yang terintegrasi dengan IAM Identity Center.
Kebijakan ini tidak memberikan izin untuk membuat peran Pro di Amazon Quick Suite. Untuk membuat kebijakan yang memberikan izin untuk berlangganan peran Pro di Amazon Quick Suite, lihat kebijakan berbasis identitas IAM untuk Amazon Quick Suite: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: semua akses untuk edisi Enterprise dengan Active Directory
Contoh berikut untuk Amazon Quick Suite Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick Suite yang menggunakan Active Directory untuk manajemen identitas. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: grup direktori aktif
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan manajemen grup Active Directory untuk akun edisi Amazon Quick Suite Enterprise.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Kebijakan berbasis identitas IAM untuk Quick Suite: menggunakan konsol manajemen aset admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen aset admin.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick Suite: menggunakan konsol manajemen kunci admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen kunci admin.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Izin "quicksight:ListKMSKeysForUser" dan "kms:ListAliases" izin diperlukan untuk mengakses kunci yang dikelola pelanggan dari konsol Amazon Quick Suite. "quicksight:ListKMSKeysForUser"dan tidak "kms:ListAliases" diharuskan menggunakan manajemen kunci Amazon Quick Suite APIs.
Untuk menentukan kunci mana yang Anda ingin pengguna dapat mengakses, tambahkan kunci yang Anda ingin pengguna akses ke UpdateKeyRegistration kondisi dengan kunci quicksight:KmsKeyArns kondisi. ARNs Pengguna hanya dapat mengakses kunci yang ditentukan dalamUpdateKeyRegistration. Untuk informasi selengkapnya tentang kunci kondisi yang didukung untuk Amazon Quick Suite, lihat Kunci kondisi untuk Amazon Quick Suite.
Contoh di bawah ini memberikan Describe izin untuk semua CMKs yang terdaftar ke akun Amazon Quick Suite dan Update izin untuk spesifik CMKs yang terdaftar ke akun Amazon Quick Suite.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS sumber daya Quick Suite: kebijakan pelingkupan dalam edisi Enterprise
Contoh berikut untuk Amazon Quick Suite Enterprise edisi menunjukkan kebijakan yang memungkinkan pengaturan akses default ke AWS sumber daya dan kebijakan pelingkupan untuk izin ke sumber daya. AWS
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
