Amazon Quick Suite에서 사용자 지정 권한 프로필 생성 - Amazon Quick Suite
Quick Suite 상위 기능Quick Suite 기능IAM Identity Center 또는 Active Directory와 통합된 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로파일 생성Amazon Quick Suite 관리형 사용자를 사용하는 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로파일 생성역할에 사용자 지정 권한 프로필 적용사용자에게 사용자 지정 권한 프로파일 적용계정에 사용자 지정 권한 프로파일 적용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Quick Suite에서 사용자 지정 권한 프로필 생성

 적용 대상: Enterprise Edition 
   대상: 관리자 및 Amazon Quick Suite 개발자 

Enterprise Edition에서는 사용자가 Amazon Quick Suite에서 액세스할 수 있는 기능을 제한할 수 있습니다. Quick Suite의 모든 자격 증명 유형에 대해 계정, 역할(관리자, 작성자, 리더) 및 사용자 수준에서 사용자 지정 권한을 구성할 수 있습니다. 사용자 수준 사용자 지정 권한은 지정된 사용자에 대한 역할의 기존 기본 또는 사용자 지정 역할 수준 권한보다 우선합니다. 사용자 수준 사용자 지정 권한역할 수준 사용자 지정 권한계정 수준 사용자 지정 권한을 재정의합니다.

사용자 지정 권한에 다음 제한 사항이 적용됩니다.

  • 사용자의 기본 역할 이상의 권한은 부여할 수 없습니다. 예를 들어 사용자에게 독자 액세스 권한이 있는 경우 해당 사용자에게 대시보드 편집 권한을 부여할 수는 없습니다.

  • 사용자 또는 역할 권한을 사용자 지정하려면 다음 IAM 권한이 있는 Amazon Quick Suite 관리자여야 합니다.

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

사용자 지정 권한 프로필을 생성하여 다음 기능의 조합에 대한 액세스를 제한할 수 있습니다. 상위 기능을 사용하여 전체 자산의 기능 세트에 대한 액세스를 제한할 수 있습니다. 상위 기능이 비활성화되면 연결된 모든 하위 기능도 비활성화됩니다.

상위 기능이 없는 기능은이 메커니즘을 사용하여 끌 수 없습니다. 대신 개별 기능으로 제한해야 합니다.

Quick Suite 상위 기능

상위 기능 기능

분석

모든 분석 관련 기능을 제한합니다.

대시보드

모든 대시보드 관련 기능을 제한합니다.

작업

모든 작업 관련 기능을 제한합니다.

자동화

모든 자동화 관련 기능을 제한합니다.

채팅 에이전트

모든 Chat Agent 관련 기능을 제한합니다.

확장 프로그램

모든 익스텐션 관련 기능을 제한합니다.

흐름

모든 흐름 관련 기능을 제한합니다.

지식 베이스

모든 지식 기반 관련 기능을 제한합니다.

연구

모든 연구 관련 기능을 제한합니다.

공백

모든 Spaces 관련 기능을 제한합니다.

Quick Suite 기능

기능 Amazon Quick Suite 동작 상위 기능

채팅 에이전트 생성

  • 채팅 에이전트를 보거나 액세스할 수 없음

  • 에이전트 라이브러리 및 탐색이 숨겨짐

  • 팀과 파일 공유를 위한 공간 생성 또는 구조화된 상호 작용을 위한 흐름 생성과 같은 다른 Quick Suite 리소스에 계속 액세스하고 생성할 수 있습니다(이러한 기능도 제한되지 않는 한).

채팅 에이전트

생성자가 승인 없이 공유할 수 있도록 허용

  • 생성자는 승인 없이 흐름을 공유할 수 없습니다.

흐름

Bedrock 모델을 사용하여 출력 구체화

  • Bedrock 모델의 사용을 제한합니다.

흐름

UI 에이전트가 브라우저 작업을 수행하도록 활성화

  • 흐름 UI 에이전트가 브라우저 작업을 수행하지 못하도록 제한합니다.

흐름

인터넷을 사용하여 결과 향상

  • Chat Agents and Research에서 웹 기반 검색 사용 제한

--

분석 공유

  • 분석을 위해 파일 메뉴의 공유 옵션에 대한 액세스가 비활성화됨

분석

이상 탐지 추가 또는 실행

  • 분석을 위해 Insights 메뉴의 시트에 이상 항목 추가 옵션에 대한 액세스가 비활성화되었습니다.

  • 분석을 위해 객체 메뉴의 이상 옵션에 대한 액세스가 비활성화됩니다.

  • 사용자는 시트에 이상 탐지를 추가할 수 없습니다.

분석

인쇄 시트

  • 분석을 위해 파일 메뉴의 인쇄 옵션에 대한 액세스가 비활성화되었습니다.

  • 대시보드에 대해 내보내기 메뉴의 인쇄 옵션에 대한 액세스가 비활성화되었습니다.

  • 사용자는 시트를 인쇄할 수 없습니다.

--

PDF로 시트 내보내기

  • 분석을 위해 파일 메뉴의 PDF로 내보내기 옵션에 대한 액세스가 비활성화되었습니다.

  • 대시보드에 대해 내보내기 메뉴의 PDF 생성 옵션에 대한 액세스가 비활성화되었습니다.

  • 사용자는 시트를 PDF 파일로 내보낼 수 없습니다.

--

테마 생성 또는 업데이트

  • 분석을 위해 편집 메뉴의 테마 옵션에 대한 액세스가 비활성화되었습니다.

  • 사용자는 사용자 지정 테마를 생성할 수 없습니다.

  • 사용자는 기존 테마를 편집하거나 업데이트할 수 없습니다.

--

대시보드 공유

  • 대시보드의 경우 탐색 메뉴의 공유 아이콘에 대한 액세스가 비활성화됩니다.

대시보드

CSV로 시각적 객체 내보내기

  • 각 시각적 객체의 점 3개 메뉴에서 CSV로 내보내기 옵션에 대한 액세스는 분석 및 대시보드 모두에서 비활성화됩니다.

  • 분석을 위해 객체 메뉴의 CSV로 시각적 객체 내보내기 옵션에 대한 액세스가 비활성화되었습니다.

  • 사용자는 시각적 객체를 CSV 파일로 내보낼 수 없습니다.

--

Excel로 시각적 객체 내보내기

  • 각 테이블의 점 3개 메뉴에서 Excel로 내보내기 옵션에 대한 액세스는 분석 및 대시보드 모두에서 비활성화됩니다.

  • 객체 메뉴의 Excel로 테이블 내보내기 옵션에 대한 액세스는 분석을 위해 비활성화됩니다.

  • 사용자는 테이블을 Excel 파일로 내보낼 수 없습니다.

--

모든 데이터 세트 생성 또는 업데이트

  • 모든 데이터 세트 생성 또는 업데이트에 대한 액세스가 비활성화됩니다.

--

SPICE 데이터 세트만 생성 또는 업데이트

  • SPICE 데이터 세트 생성 또는 업데이트에 대한 액세스가 비활성화됩니다.

--

데이터 세트 공유

  • 데이터 세트 공유에 대한 액세스가 비활성화됩니다.

--

계정 SPICE 용량 보기

  • 계정의 SPICE 용량 검색을 제한합니다.

--

모든 데이터 소스 생성 또는 업데이트

  • 모든 데이터 소스 생성 또는 업데이트에 대한 액세스가 비활성화됩니다.

--

데이터 소스 공유

  • 데이터 소스 공유에 대한 액세스가 비활성화됩니다.

--

공유 폴더 생성

  • 공유 폴더 생성 제한

--

공유 폴더 이름 바꾸기

  • 공유 폴더 이름 변경 제한

--

예약된 이메일 보고서 생성 또는 업데이트

  • 대시보드의 경우 일정 메뉴의 일정 옵션에 대한 액세스가 비활성화됩니다.

  • 대시보드에 대해 일정 메뉴의 최근 스냅샷 옵션에 대한 액세스가 비활성화됨

  • 사용자는 예약된 이메일 보고서를 생성하거나 업데이트할 수 없습니다.

--

예약된 이메일 보고서 구독

  • 사용자는 예약된 이메일 보고서를 구독할 수 없습니다.

대시보드

예약된 이메일 보고서의 CSV 첨부 파일

  • 대시보드의 경우 일정 메뉴의 콘텐츠 섹션에서 CSV 옵션에 대한 액세스가 비활성화됩니다.

  • 사용자는 예약된 이메일 보고서에 CSV 파일을 연결할 수 없습니다.

--

예약된 이메일 보고서의 Excel 첨부 파일

  • 대시보드의 경우 일정 메뉴의 콘텐츠 섹션에서 Excel 옵션에 대한 액세스가 비활성화됩니다.

  • 사용자는 예약된 이메일 보고서에 Excel 파일을 연결할 수 없습니다.

--

예약된 이메일 보고서의 PDF 첨부 파일

  • 대시보드의 경우 일정 메뉴의 콘텐츠 섹션에서 PDF 옵션에 대한 액세스가 비활성화됩니다.

  • 사용자는 예약된 이메일 보고서에 PDF 파일을 연결할 수 없습니다.

--

예약된 이메일 보고서 내의 콘텐츠

  • 사용자는 예약된 이메일 보고서의 콘텐츠를 로그인 뒤에 게이트된 다운로드 가능한 링크로만 수신합니다.

  • 이메일 본문에 시트 포함일정 메뉴의 파일 첨부 파일 옵션은 무시됩니다.

  • 이미지는 예약된 이메일 보고서에 포함되지 않습니다.

--

임계값 알림 생성 또는 업데이트

  • 대시보드에서 알림 메뉴에 대한 액세스가 비활성화됨

  • 사용자는 임계값 알림을 생성하거나 업데이트할 수 없습니다.

--

IAM Identity Center, Active Directory와 통합된 Amazon Quick Suite 계정 또는 Amazon Quick Suite 관리형 사용자가 있는 Amazon Quick Suite 계정에 대해 사용자 지정 권한 프로파일을 생성할 수 있습니다. Amazon Quick Suite 계정에서 사용하는 자격 증명 유형에 따라 Amazon Quick Suite 관리자가 사용자 지정 권한 프로필을 구성하는 방법이 결정됩니다.

다음 절차에서는 Amazon Quick Suite 기능 및 각 기능에 대한 액세스를 제어하는 방법을 보여줍니다.

Amazon Quick Suite 기능 및 기능에 대한 액세스를 제어하려면

  1. Amazon Quick Suite 콘솔에 로그인합니다.

  2. Quick Suite 관리를 선택합니다.

  3. 관리자 콘솔 왼쪽 탐색 메뉴에서 권한을 선택한 다음 사용자 지정 권한을 선택합니다.

  4. 사용자 지정 권한프로필에서 새 프로필을 선택하거나 기본 프로필을 편집하도록 선택합니다.

  5. 새 프로필에서 다음을 수행합니다.

    • 기능 제한 - 적절한 옵션을 확인하거나 선택 취소하여 시스템에 특정 기능을 허용할지 여부를 선택합니다.

    • 기능 제한 - 적절한 옵션을 확인하거나 선택 취소하여 특정 기능을 허용할지 여부를 선택합니다.

IAM Identity Center 또는 Active Directory와 통합된 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로파일 생성

Amazon Quick Suite 계정 관리자는 다음 절차를 사용하여 IAM Identity Center 또는 Active Directory와 통합된 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로필을 생성할 수 있습니다.

IAM Identity Center 또는 Active Directory와 통합된 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로파일을 생성하려면

  1. AWS 관리 콘솔에 로그인합니다.

  2. Amazon Quick Suite를 엽니다.

  3. Amazon Quick Suite Admin 콘솔이 열립니다. 사용자 지정 권한을 선택합니다.

  4. 사용자 지정 권한 관리 페이지가 열립니다. 다음 옵션 중 하나를 선택합니다.

    • 새 사용자 지정 권한 프로필을 생성하려면 생성을 선택합니다.

    • 기존 사용자 지정 권한 프로필을 편집하거나 보려면 원하는 프로필 옆에 있는 줄임표(점 3개)를 선택한 다음 편집을 선택합니다.

  5. 사용자 지정 권한 프로필을 생성하거나 업데이트하려면 다음 항목을 선택하세요.

    • 이름에서 사용자 지정 권한 프로필의 이름을 입력합니다.

    • 제한에서 거부하려는 옵션을 선택합니다. 선택하지 않은 옵션은 모두 허용됩니다. 예를 들어 사용자가 데이터 소스를 생성하거나 업데이트하지 않고 다른 모든 작업을 수행할 수 있도록 하려면 데이터 소스 생성 또는 업데이트만 선택합니다.

  6. 생성 또는 업데이트를 선택하여 선택 사항을 확인합니다. 변경 없이 돌아가려면 뒤로를 선택합니다.

  7. 변경 사항을 완료하면 사용자 지정 권한 프로필의 이름을 기록합니다. API 사용자에게 사용자 지정 권한 프로필의 이름을 제공하여 사용자 지정 권한 프로필을 역할이나 사용자에게 적용할 수 있습니다.

Amazon Quick Suite 관리형 사용자를 사용하는 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로파일 생성

Amazon Quick Suite 계정 관리자는 다음 절차를 사용하여 Amazon Quick Suite 관리형 사용자를 사용하는 Amazon Quick Suite 계정에 대한 사용자 지정 권한 프로필을 생성할 수 있습니다.

Amazon Quick Suite 관리형 사용자를 위한 사용자 지정 권한 프로필을 생성하려면

  1. Quick Suite 콘솔을 엽니다.

  2. Amazon Quick Suite 콘솔의 아무 페이지에서나 오른쪽 상단 모서리에서 Quick Suite 관리를 선택합니다.

    Amazon Quick Suite 관리자만 Quick Suite 관리 메뉴 옵션에 액세스할 수 있습니다. Quick Suite 관리 메뉴에 액세스할 수 없는 경우 Amazon Quick Suite 관리자에게 문의하여 도움을 받으세요.

  3. 사용자 지정 권한을 선택합니다. 사용자 관리 섹션을 선택한 다음 사용자 지정 권한 관리를 선택할 수도 있습니다.

  4. 사용자 지정 권한 관리 페이지가 열립니다. 다음 옵션 중 하나를 선택합니다.

    • 새 사용자 지정 권한 프로필을 생성하려면 생성을 선택합니다.

    • 기존 사용자 지정 권한 프로필을 편집하거나 보려면 원하는 프로필 옆에 있는 줄임표(점 3개)를 선택한 다음 편집을 선택합니다.

  5. 사용자 지정 권한 프로필을 생성하거나 업데이트하려면 다음 항목을 선택하세요.

    • 이름에서 사용자 지정 권한 프로필의 이름을 입력합니다.

    • 제한에서 거부하려는 옵션을 선택합니다. 선택하지 않은 옵션은 모두 허용됩니다. 예를 들어 사용자가 데이터 소스를 생성하거나 업데이트하지 못하게 하고 다른 작업은 허용하려면 모든 데이터 소스 생성 또는 업데이트만 선택합니다.

  6. 생성 또는 업데이트를 선택하여 선택 사항을 확인합니다. 변경 없이 돌아가려면 뒤로를 선택합니다.

  7. 변경 사항을 완료하면 사용자 지정 권한 프로필의 이름을 기록합니다. API 사용자에게 사용자 지정 권한 프로필의 이름을 제공하여 사용자 지정 권한 프로필을 역할이나 사용자에게 적용할 수 있습니다.

사용자 지정 권한 프로필을 생성한 후 Amazon Quick Suite APIs 사용하여 사용자, 역할 또는 계정에 할당된 사용자 지정 권한 프로필을 추가하거나 변경합니다. 충분한 권한이 있는 사용자는 AWS::QuickSight::CustomPermissions CloudFormation 리소스를 사용하여 Amazon Quick Suite 사용자 지정 권한 프로필을 관리할 수도 있습니다. 다음 주제를 사용하여 Amazon Quick Suite APIs를 사용한 사용자 지정 권한 프로필 관리에 대해 자세히 알아보세요.

Amazon Quick Suite API를 사용하여 Amazon Quick Suite 역할에 사용자 지정 권한 프로파일 적용

사용자 지정 권한 프로파일을 생성한 후 Amazon Quick Suite APIs를 사용하여 역할에 할당된 사용자 지정 권한 프로파일을 추가하거나 변경합니다.

시작하기 전에 AWS CLI를 설정하고 구성해야 합니다. AWS CLI 설치에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서의 최신 버전의 AWS CLI 설치 또는 업데이트AWS CLI 구성을 참조하세요. Amazon Quick Suite API를 사용하려면 권한도 필요합니다.

다음 예제에서는 UpdateRoleCustomPermission API를 호출하여 역할에 할당된 사용자 지정 권한을 업데이트합니다.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

다음 예제에서는 역할에 할당된 사용자 지정 권한을 반환합니다.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

다음 예제에서는 역할에서 사용자 지정 권한 프로필을 삭제합니다.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Amazon Quick Suite API를 사용하여 사용자에게 사용자 지정 권한 프로파일 적용

다음 예제에서는 사용자에게 사용자 지정 권한 프로파일을 적용합니다.

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

다음 예제에서는 사용자로부터 사용자 지정 권한 프로파일을 삭제합니다.

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

다음 예시에서는 새 Amazon Quick Suite IAM 사용자에게 사용자 지정 권한을 추가합니다.

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

기존 IAM 사용자를 새 권한 프로필과 연결할 수도 있습니다. 다음 예제에서는 기존 IAM 사용자의 사용자 지정 권한 프로필을 업데이트합니다.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

아래 예제는 권한 프로필에서 기존 사용자를 제거합니다.

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

역할 또는 사용자에게 적용되는 사용자 지정 권한을 테스트하려면 해당 사용자의 계정으로 로그인하세요. 사용자가 Amazon Quick Suite에 로그인하면 액세스 권한이 있는 가장 높은 권한 역할이 부여됩니다. 사용자에게 부여할 수 있는 권한이 가장 높은 역할은 관리자입니다. 사용자에게 부여할 수 있는 가장 낮은 권한 역할은 리더입니다. Amazon Quick Suite의 역할에 대한 자세한 내용은 Amazon Quick Suite 내에서 사용자 액세스 관리를 참조하세요.

데이터 소스 공유를 작성자 역할로 제한하는 사용자 지정 권한 프로필을 할당하면 해당 작성자는 더 이상 데이터 소스 공유를 허용하는 제어에 접근할 수 없습니다. 대신 영향을 받는 작성자는 데이터 소스에 대한 읽기 전용 권한을 가집니다.

계정에 사용자 지정 권한 프로파일 적용

계정에 사용자 지정 권한 프로파일을 적용하는 방법

  1. Quick Suite 콘솔을 엽니다.

  2. 오른쪽 상단에서 프로파일 아이콘을 선택하세요.

  3. Quick Suite 관리를 선택합니다. Amazon Quick Suite 관리자만이 페이지를 볼 수 있습니다.

  4. 사용자 지정 권한을 선택합니다. 사용자 관리 섹션을 선택한 다음 Quick Suite 계정에서 Quick Suite 관리 사용자를 사용하는 경우 사용자 지정 권한 관리를 선택할 수도 있습니다.

  5. 원하는 계정 사용자 지정 권한을 찾으세요. 옵션 메뉴의 작업에서 계정 프로파일로 설정을 선택하세요.

Quick Suite APIs를 사용하여 계정에 사용자 지정 권한 프로파일 적용

사용자 지정 권한 프로필을 생성한 후 Quick Suite API를 사용하여 계정에 할당된 사용자 지정 권한 프로필을 추가하거나 변경합니다.

시작하기 전에 AWS CLI를 설정하고 구성해야 합니다. AWS CLI 설치에 대한 자세한 내용은 AWS 명령줄 인터페이스 사용 설명서의 최신 버전의 AWS CLI 설치 또는 업데이트CLI 구성을 참조하세요 AWS. 또한 quicksight:UpdateAccountPermission, quicksight:DescribeAccountPermission, quicksight:DeleteAccountCustomPermission과 같은 IAM 권한이 필요합니다.

다음 예제에서는 UpdateAccountPermission API를 직접 호출하여 계정에 할당되는 사용자 지정 권한을 업데이트합니다.

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

다음 예제에서는 계정에 할당되는 사용자 지정 권한 프로파일을 반환합니다.

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

다음 예제에서는 계정에서 사용자 지정 권한 프로파일을 적용 취소합니다.

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION