Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy IAM per Quick Suite
Questa sezione fornisce esempi di policy IAM che puoi utilizzare con Quick Suite.
Politiche basate sull'identità IAM per Quick Suite
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Quick Suite.
Argomenti
Policy basate sull'identità IAM per l'amministrazione della console IAM di Amazon Quick Suite
L'esempio seguente mostra le autorizzazioni IAM necessarie per le azioni di amministrazione della console IAM di Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick Suite: dashboard
L'esempio seguente mostra una policy IAM che consente la condivisione di pannelli di controllo e l'incorporamento di pannelli specifici.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Politiche basate sull'identità IAM per Quick Suite: namespace
Gli esempi seguenti mostrano le policy IAM che consentono a un amministratore di Amazon Quick Suite di creare o eliminare namespace.
Creazione degli spazi dei nomi
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminazione degli spazi dei nomi
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: autorizzazioni personalizzate
L'esempio seguente mostra una policy IAM che consente a un amministratore o uno sviluppatore di Amazon Quick Suite di gestire autorizzazioni personalizzate.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in Amazon Quick Suite, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa policy consente a un amministratore di Amazon Quick Suite di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail sia un'identità verificata in SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Policy basate sull'identità IAM per Quick Suite: crea un account Enterprise con gli utenti gestiti di Amazon Quick Suite
L'esempio seguente mostra una politica che consente agli amministratori di Amazon Quick Suite di creare un account Amazon Quick Suite in edizione Enterprise con gli utenti gestiti di Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick Suite: creazione di utenti
L'esempio seguente mostra una policy che consente di creare solo utenti Amazon Quick Suite. Per quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, è possibile limitare le autorizzazioni a "Resource":
"arn:aws:quicksight::. Per tutte le altre autorizzazioni descritte in questa guida, utilizza <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Politiche basate sull'identità IAM per Quick Suite: creazione e gestione di gruppi
L'esempio seguente mostra una policy che consente agli amministratori e agli sviluppatori di Amazon Quick Suite di creare e gestire gruppi.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: accesso completo per l'edizione Standard
L'esempio seguente per l'edizione Amazon Quick Suite Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: All access for Enterprise edition con IAM Identity Center (Pro roles)
L'esempio seguente per l'edizione Amazon Quick Suite Enterprise mostra una policy che consente a un utente di Amazon Quick Suite di abbonarsi ad Amazon Quick Suite, creare utenti e gestire Active Directory in un account Amazon Quick Suite integrato con IAM Identity Center.
Questa politica consente inoltre agli utenti di iscriversi ai ruoli di Amazon Quick Suite Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di BI generativa di Quick Suite. Per ulteriori informazioni sui ruoli Pro in Amazon Quick Suite, consulta Introduzione alla BI generativa.
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick Suite: All access for Enterprise edition con IAM Identity Center
L'esempio seguente per l'edizione Amazon Quick Suite Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick Suite integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in Amazon Quick Suite. Per creare una policy che conceda l'autorizzazione a sottoscrivere ruoli Pro in Amazon Quick Suite, consulta Politiche basate sull'identità IAM per Amazon Quick Suite: All access for Enterprise edition with IAM Identity Center (Pro roles).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick Suite.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick Suite: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon Quick Suite Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick Suite che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick Suite.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: gruppi di active directory
L'esempio seguente mostra una policy IAM che consente la gestione di gruppi Active Directory per un account Amazon Quick Suite Enterprise edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Politiche basate sull'identità IAM per Quick Suite: utilizzo della console di gestione delle risorse di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle risorse di amministrazione.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick Suite: utilizzo della console di gestione delle chiavi di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle chiavi di amministrazione.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Le "kms:ListAliases" autorizzazioni "quicksight:ListKMSKeysForUser" e sono necessarie per accedere alle chiavi gestite dal cliente dalla console Amazon Quick Suite. "quicksight:ListKMSKeysForUser"e non "kms:ListAliases" sono obbligati a utilizzare la gestione delle chiavi di Amazon Quick Suite APIs.
Per specificare a quali chiavi desideri che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla UpdateKeyRegistration condizione con la chiave di quicksight:KmsKeyArns condizione. Gli utenti possono accedere solo alle chiavi specificate in UpdateKeyRegistration. Per ulteriori informazioni sulle chiavi di condizione supportate per Amazon Quick Suite, consulta Condition keys for Amazon Quick Suite.
L'esempio seguente concede Describe autorizzazioni per tutti coloro CMKs che sono registrati in un account Amazon Quick Suite e Update autorizzazioni per specifici utenti registrati nell'account Amazon CMKs Quick Suite.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS risorse Quick Suite: definizione delle politiche nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon Quick Suite Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
