View a markdown version of this page

步骤 1:设置权限 - Amazon Quick

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:设置权限

重要

Amazon Quick Sight 推出了用于嵌入分析的新 API:GenerateEmbedUrlForAnonymousUserGenerateEmbedUrlForRegisteredUser

您仍然可以使用GetDashboardEmbedUrlGetSessionEmbedUrl API 来嵌入仪表板和 Amazon Quick Sight 控制台,但它们不包含最新的嵌入功能。有关最新的嵌入体验,请参阅将 Amazon Quick Sight 分析嵌入到您的应用程序中。

在下节中,您可以了解如何设置后端应用程序或 Web 服务器的权限。该任务需要具有 IAM 的管理访问权限。

每个访问控制面板的用户都扮演一个角色,授予他们 Amazon Quick Sight 访问控制面板的权限和权限。为此,请在您的 AWS 账户中创建一个 IAM 角色。将一个 IAM 策略与该角色相关联,以便为担任该角色的任何用户提供权限。IAM 角色需要提供检索控制面板 URL 的权限。为此,请添加 quicksight:GetDashboardEmbedUrl

以下示例策略提供了可用于 IdentityType=IAM 的这些权限。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetDashboardEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

以下示例策略提供了检索控制面板 URL 的权限。quicksight:RegisterUser如果您要创建的首次用户将成为 Amazon Quick Sight 读者,则可以使用该政策。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetDashboardEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

如果您使用 QUICKSIGHT 作为您的 identityType,并提供用户的 Amazon 资源名称(ARN),则还需要在策略中允许 quicksight:GetAuthCode 操作。以下示例策略提供了此权限。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetDashboardEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

您应用程序的 IAM 身份必须具有关联的信任策略,才允许访问您刚创建的角色。这意味着,当用户访问您的应用程序时,您的应用程序可以代表该用户担任该角色并在 Amazon Quick Sight 中配置用户。以下示例显示了一个名为 embedding_quicksight_dashboard_role 的角色,该角色将前面的示例策略作为其资源。

有关 OpenId Connect 或 SAML 身份验证的信任策略的更多信息,请参阅 IAM 用户指南 的以下部分: