기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Quick에 대한 IAM 정책 예제
이 섹션에서는 Quick과 함께 사용할 수 있는 IAM 정책의 예를 제공합니다.
## Quick에 대한 IAM 자격 증명 기반 정책
이 섹션에서는 Quick과 함께 사용할 자격 증명 기반 정책의 예를 보여줍니다.
**Topics**
+ [Amazon Quick IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책](#security_iam_conosole-administration)
### Amazon Quick IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick IAM 콘솔 관리 작업에 필요한 IAM 권한을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: 대시보드에 대한 IAM 자격 증명 기반 정책
다음 예제는 특정 대시보드에서 대시보드 공유 및 임베딩이 가능한 IAM 정책을 나타낸 것입니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:{{111122223333}}:dashboard/{{1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89}}",
"Effect": "Allow"
}
]
}
```
## Quick: 네임스페이스에 대한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick 관리자가 네임스페이스를 생성하거나 삭제할 수 있도록 허용하는 IAM 정책을 보여줍니다.
**네임스페이스 생성**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**네임스페이스 삭제**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 사용자 지정 권한
다음 예제에서는 Amazon Quick 관리자 또는 개발자가 사용자 지정 권한을 관리할 수 있도록 허용하는 IAM 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
다음 예시는 이전 예에서처럼 동일한 권한을 부여하는 다른 방법을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 이메일 보고서 템플릿 사용자 지정
다음 예제에서는 Amazon Quick에서 이메일 보고서 템플릿을 확인, 업데이트 및 생성하고 Amazon Simple Email Service 자격 증명에 대한 확인 속성을 얻도록 허용하는 정책을 보여줍니다. 이 정책은 Amazon Quick 관리자가 사용자 지정 이메일 보고서 템플릿을 생성 및 업데이트하고 이메일 보고서를 보내려는 사용자 지정 이메일 주소가 SES에서 확인된 자격 증명인지 확인할 수 있도록 허용합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Amazon Quick 관리형 사용자를 사용하여 엔터프라이즈 계정 생성
다음 예제는 Amazon Quick 관리자가 Amazon Quick 관리형 사용자로 Enterprise Edition Amazon Quick 계정을 생성하도록 허용하는 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## 빠른 IAM 자격 증명 기반 정책: 사용자 생성
다음 예제에서는 Amazon Quick 사용자만 생성할 수 있도록 허용하는 정책을 보여줍니다. `quicksight:CreateReader`, `quicksight:CreateUser`, `quicksight:CreateAdmin`의 경우 **"Resource": "arn:aws:quicksight::{{}}:user/${aws:userid}"**에 대한 권한을 제한할 수 있습니다. 이 안내서에 설명된 다른 모든 권한의 경우 **"Resource": "\*"**를 사용합니다. 지정한 리소스는 권한 범위를 지정된 리소스로 제한합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## 빠른 IAM 자격 증명 기반 정책: 그룹 생성 및 관리
다음 예제에서는 Amazon Quick 관리자 및 개발자가 그룹을 생성하고 관리할 수 있도록 허용하는 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Standard Edition에 대한 모든 액세스
Amazon Quick Standard 에디션에 대한 다음 예제는 작성자 및 독자를 구독하고 생성할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스(Pro 역할)
Amazon Quick Enterprise 에디션에 대한 다음 예제는 Amazon Quick 사용자가 IAM Identity Center와 통합된 Amazon Quick 계정에서 Amazon Quick을 구독하고, 사용자를 생성하고, Active Directory를 관리할 수 있도록 허용하는 정책을 보여줍니다.
또한이 정책은 사용자가 Quick Generative BI 기능에서 Amazon Q에 대한 액세스 권한을 부여하는 Amazon Quick Pro 역할을 구독하도록 허용합니다. Amazon Quick의 Pro 역할에 대한 자세한 내용은 [생성형 BI 시작하기를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스에 대한 IAM 자격 증명 기반 정책
Amazon Quick Enterprise 에디션에 대한 다음 예제는 IAM Identity Center와 통합된 Amazon Quick 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다.
이 정책은 Amazon Quick에서 Pro 역할을 생성할 수 있는 권한을 부여하지 않습니다. Amazon Quick에서 Pro 역할을 구독할 수 있는 권한을 부여하는 정책을 생성하려면 [Amazon Quick에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용하는 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할)를](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro) 참조하세요.
이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Active Directory를 사용하는 Enterprise Edition에 대한 모든 액세스
Amazon Quick Enterprise 에디션에 대한 다음 예제는 자격 증명 관리에 Active Directory를 사용하는 Amazon Quick 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory 그룹에 대한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick Enterprise 에디션 계정에 대한 Active Directory 그룹 관리를 허용하는 IAM 정책을 보여줍니다.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 관리자 자산 관리 콘솔 사용
다음 예시는 관리 자산 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용
다음 예시는 관리자 키 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"quicksight:ListKMSKeysForUser"` 및 `"kms:ListAliases"` 권한은 Amazon Quick 콘솔에서 고객 관리형 키에 액세스하는 데 필요합니다. `"quicksight:ListKMSKeysForUser"` 및 `"kms:ListAliases"`는 Amazon Quick 키 관리 APIs를 사용하는 데 필요하지 않습니다.
사용자가 액세스할 수 있는 키를 지정하려면 `quicksight:KmsKeyArns` 조건 키를 사용하여 `UpdateKeyRegistration` 조건에 액세스할 수 있는 키의 ARN을 추가합니다. 사용자는 `UpdateKeyRegistration`에 지정된 키에만 액세스할 수 있습니다. Amazon Quick에서 지원되는 조건 키에 대한 자세한 내용은 [Amazon Quick의 조건 키를 참조하세요](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
아래 예제는 Amazon Quick 계정에 등록된 모든 CMKs에 대한 `Describe` 권한을 부여하고 Amazon Quick 계정에 등록된 특정 CMKs에 대한 `Update` 권한을 부여합니다.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"{{arn:aws:quicksight:us-west-2:123456789012:*}}"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"{{arn:aws:quicksight:us-west-2:123456789012:*}}",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"{{arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1}}",
"{{arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2}}",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"{{arn:aws:kms:us-west-2:123456789012:key/*}}"
}
]
}
```
## AWS 리소스 빠른: Enterprise Edition의 정책 범위 지정
Amazon Quick Enterprise 에디션에 대한 다음 예제에서는 AWS 리소스에 대한 기본 액세스를 설정하고 리소스에 대한 권한에 대한 정책의 범위를 지정할 수 있는 정책을 보여줍니다 AWS .
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```