Quick Suite에 IAM 역할 전달 - Amazon Quick Suite
사전 조건추가 정책 연결Quick Suite에서 기존 IAM 역할 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Quick Suite에 IAM 역할 전달

 적용 대상: Enterprise Edition 

IAM 사용자가 Quick Suite에 가입하면 Amazon Quick Suite 관리형 역할(기본 역할)을 사용하도록 선택할 수 있습니다. 또는 기존 IAM 역할을 Amazon Quick Suite에 전달할 수 있습니다.

아래 섹션을 사용하여 기존 IAM 역할을 Amazon Quick Suite에 전달합니다.

사전 조건

사용자가 IAM 역할을 Amazon Quick Suite에 전달하려면 관리자가 다음 작업을 완료해야 합니다.

  • IAM 역할 생성. IAM 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 생성을 참조하십시오.

  • Amazon Quick Suite가 역할을 수임하도록 허용하는 신뢰 정책을 IAM 역할에 연결합니다. 다음 예를 사용하여 역할에 대한 신뢰 정책을 생성합니다. 다음 예제 신뢰 정책은 Quick Suite 보안 주체가 연결된 IAM 역할을 수임하도록 허용합니다.

    IAM 트러스트 정책을 생성하고 이를 역할에 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 역할 변경(콘솔)을 참조하십시오.

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • 관리자(IAM 사용자 또는 역할)에게 다음 IAM 권한을 할당합니다.

    • quicksight:UpdateResourcePermissions - Amazon Quick Suite 관리자인 IAM 사용자에게 Amazon Quick Suite의 리소스 수준 권한을 업데이트할 수 있는 권한을 부여합니다. Amazon Quick Suite에서 정의한 리소스 유형에 대한 자세한 내용은 IAM 사용 설명서Quick Suite에 사용되는 작업, 리소스 및 조건 키를 참조하세요.

    • iam:PassRole - 사용자에게 Amazon Quick Suite에 역할을 전달할 수 있는 권한을 부여합니다. 자세한 내용은 IAM 사용 설명서AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여를 참조하세요.

    • iam:ListRoles – (선택 사항) 사용자에게 Amazon Quick Suite의 기존 역할 목록을 볼 수 있는 권한을 부여합니다. 이 권한이 제공되지 않으면 ARN을 사용하여 기존 IAM 역할을 사용할 수 있습니다.

    다음은 Quick Suite에서 리소스 수준 권한 관리, IAM 역할 나열 및 IAM 역할 전달을 허용하는 IAM 권한 정책의 예입니다.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Amazon Quick Suite와 함께 사용할 수 있는 IAM 정책의 추가 예제는 Amazon Quick Suite의 IAM 정책 예제를 참조하세요.

사용자 또는 사용자 그룹에 권한 정책을 할당하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 사용자에 대한 권한 변경을 참조하십시오.

추가 정책 연결

Amazon Athena 또는 Amazon S3와 같은 다른 AWS 서비스를 사용하는 경우 Amazon Quick Suite에 특정 작업을 수행할 수 있는 권한을 부여하는 권한 정책을 생성할 수 있습니다. 그런 다음 나중에 Amazon Quick Suite에 전달하는 IAM 역할에 정책을 연결할 수 있습니다. 다음은 IAM 역할에 추가 권한 정책을 설정하고 연결하는 방법의 예입니다.

Athena의 Amazon Quick Suite에 대한 관리형 정책 예제는 Amazon Athena 사용 설명서의 AWSQuicksightAthenaAccess 관리형 정책을 참조하세요. Amazon Athena IAM 사용자는 다음 ARN을 사용하여 Amazon Quick Suite에서이 역할에 액세스할 수 있습니다arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess.

다음은 Amazon S3의 Amazon Quick Suite에 대한 권한 정책의 예입니다. Amazon S3을 통한 IAM 사용에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3의 ID 및 액세스 관리를 참조하십시오.

Amazon Quick Suite에서 다른 계정의 Amazon S3 버킷으로 교차 계정 액세스를 생성하는 방법에 대한 자세한 내용은 AWS 지식 센터의 Quick Suite에서 다른 계정의 Amazon S3 버킷으로 교차 계정 액세스를 설정하려면 어떻게 해야 합니까?를 참조하세요.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Quick Suite에서 기존 IAM 역할 사용

Amazon Quick Suite 관리자이고 Amazon Quick Suite 리소스를 업데이트하고 IAM 역할을 전달할 권한이 있는 경우 Amazon Quick Suite의 기존 IAM 역할을 사용할 수 있습니다. Amazon Quick Suite에서 IAM 역할을 전달하기 위한 사전 조건에 대해 자세히 알아보려면 이전 목록에 설명된 사전 조건을 참조하세요.

다음 절차에 따라 Amazon Quick Suite에서 IAM 역할을 전달하는 방법을 알아봅니다.

Amazon Quick Suite에서 기존 IAM 역할을 사용하려면

  1. Amazon Quick Suite의 오른쪽 상단의 탐색 모음에서 계정 이름을 선택하고 QuickSight 관리를 선택합니다.

  2. 열리는 Amazon Quick Suite 관리 페이지의 왼쪽 메뉴에서 보안 및 권한을 선택합니다.

  3. 보안 및 권한 페이지가 열리면 AWS 서비스에 대한 Amazon Quick Suite 액세스에서 관리를 선택합니다.

  4. IAM 역할의 경우 기존 역할 사용을 선택하고 다음 중 하나를 수행하십시오.

    • 목록에서 사용하려는 역할을 선택합니다.

    • 또는 기존 IAM 역할 목록이 표시되지 않는 경우 arn:aws:iam::account-id:role/path/role-name 형식으로 역할에 대한 IAM ARN을 입력할 수 있습니다.

  5. 저장을 선택합니다.