기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Quick Suite에 대한 IAM 정책 예제
이 섹션에서는 Quick Suite와 함께 사용할 수 있는 IAM 정책의 예를 제공합니다.
Quick Suite에 대한 IAM 자격 증명 기반 정책
이 섹션에서는 Quick Suite와 함께 사용할 자격 증명 기반 정책의 예를 보여줍니다.
Amazon Quick Suite IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick Suite IAM 콘솔 관리 작업에 필요한 IAM 권한을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 대시보드
다음 예제는 특정 대시보드에서 대시보드 공유 및 임베딩이 가능한 IAM 정책을 나타낸 것입니다.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 네임스페이스
다음 예제에서는 Amazon Quick Suite 관리자가 네임스페이스를 생성하거나 삭제할 수 있도록 허용하는 IAM 정책을 보여줍니다.
네임스페이스 생성
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
네임스페이스 삭제
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 사용자 지정 권한
다음 예제에서는 Amazon Quick Suite 관리자 또는 개발자가 사용자 지정 권한을 관리할 수 있도록 허용하는 IAM 정책을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
다음 예시는 이전 예에서처럼 동일한 권한을 부여하는 다른 방법을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 이메일 보고서 템플릿 사용자 지정
다음 예제는 Amazon Quick Suite에서 이메일 보고서 템플릿을 확인, 업데이트 및 생성하고 Amazon Simple Email Service 자격 증명에 대한 확인 속성을 얻도록 허용하는 정책을 보여줍니다. 이 정책은 Amazon Quick Suite 관리자가 사용자 지정 이메일 보고서 템플릿을 생성 및 업데이트하고 이메일 보고서를 보내려는 사용자 지정 이메일 주소가 SES에서 확인된 자격 증명인지 확인할 수 있도록 허용합니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: Amazon Quick Suite 관리형 사용자를 사용하여 엔터프라이즈 계정 생성
다음 예제에서는 Amazon Quick Suite 관리자가 Amazon Quick Suite 관리형 사용자로 Enterprise Edition Amazon Quick Suite 계정을 생성하도록 허용하는 정책을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 사용자 생성
다음 예제에서는 Amazon Quick Suite 사용자만 생성할 수 있도록 허용하는 정책을 보여줍니다. quicksight:CreateReader, quicksight:CreateUser, quicksight:CreateAdmin의 경우 "Resource":
"arn:aws:quicksight::에 대한 권한을 제한할 수 있습니다. 이 안내서에 설명된 다른 모든 권한의 경우 <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*"를 사용합니다. 지정한 리소스는 권한 범위를 지정된 리소스로 제한합니다.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 그룹 생성 및 관리
다음 예제에서는 Amazon Quick Suite 관리자 및 개발자가 그룹을 생성하고 관리할 수 있도록 허용하는 정책을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: Standard Edition에 대한 모든 액세스
Amazon Quick Suite Standard 에디션에 대한 다음 예제는 작성자 및 독자를 구독하고 생성할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick Suite 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스(Pro 역할)
Amazon Quick Suite Enterprise 에디션에 대한 다음 예제는 Amazon Quick Suite 사용자가 IAM Identity Center와 통합된 Amazon Quick Suite 계정에서 Amazon Quick Suite를 구독하고, 사용자를 생성하고, Active Directory를 관리할 수 있도록 허용하는 정책을 보여줍니다.
또한이 정책을 통해 사용자는 Quick Suite 생성형 BI 기능의 Amazon Q에 대한 액세스 권한을 부여하는 Amazon Quick Suite Pro 역할을 구독할 수 있습니다. Amazon Quick Suite의 Pro 역할에 대한 자세한 내용은 생성형 BI 시작하기를 참조하세요.
이 예제에서는 Amazon Quick Suite 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스
Amazon Quick Suite Enterprise 에디션에 대한 다음 예제는 IAM Identity Center와 통합된 Amazon Quick Suite 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다.
이 정책은 Amazon Quick Suite에서 Pro 역할을 생성할 수 있는 권한을 부여하지 않습니다. Amazon Quick Suite에서 Pro 역할을 구독할 수 있는 권한을 부여하는 정책을 생성하려면 Amazon Quick Suite에 대한 IAM 자격 증명 기반 정책: IAM Identity Center가 있는 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할)를 참조하세요.
이 예제에서는 Amazon Quick Suite 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: Active Directory를 사용하는 Enterprise Edition에 대한 모든 액세스
Amazon Quick Suite Enterprise 에디션에 대한 다음 예제는 자격 증명 관리에 Active Directory를 사용하는 Amazon Quick Suite 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick Suite 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: Active Directory 그룹
다음 예제에서는 Amazon Quick Suite Enterprise Edition 계정에 대한 Active Directory 그룹 관리를 허용하는 IAM 정책을 보여줍니다.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 관리자 자산 관리 콘솔 사용
다음 예시는 관리 자산 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Quick Suite에 대한 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용
다음 예시는 관리자 키 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
"quicksight:ListKMSKeysForUser" 및 "kms:ListAliases" 권한은 Amazon Quick Suite 콘솔에서 고객 관리형 키에 액세스하는 데 필요합니다. "quicksight:ListKMSKeysForUser" 및 "kms:ListAliases"는 Amazon Quick Suite 키 관리 APIs를 사용하는 데 필요하지 않습니다.
사용자가 액세스할 수 있는 키를 지정하려면 quicksight:KmsKeyArns 조건 키를 사용하여 UpdateKeyRegistration 조건에 액세스할 수 있는 키의 ARN을 추가합니다. 사용자는 UpdateKeyRegistration에 지정된 키에만 액세스할 수 있습니다. Amazon Quick Suite에서 지원되는 조건 키에 대한 자세한 내용은 Amazon Quick Suite의 조건 키를 참조하세요.
아래 예제에서는 Amazon Quick Suite 계정에 등록된 모든 CMKs에 대한 Describe 권한을 부여하고 Amazon Quick Suite 계정에 등록된 특정 CMKs에 대한 Update 권한을 부여합니다.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS 리소스 Quick Suite: Enterprise Edition의 정책 범위 지정
Amazon Quick Suite Enterprise 에디션에 대한 다음 예제는 AWS 리소스에 대한 기본 액세스를 설정하고 리소스에 대한 권한에 대한 정책의 범위를 조정하도록 허용하는 정책을 보여줍니다 AWS .
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
