本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Quick 中的身份和访问管理
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
您可以使用以下工具进行身份识别和访问 Quick:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(仅限企业版)
+ [IAM 联合身份验证](https://docs.aws.amazon.com/quicksight/latest/user/security.html)(标准版和企业版)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(仅企业版)
+ [基于 SAML 的单点登录](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html)(标准版和企业版)
+ [多重身份验证(MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)(标准版和企业版)
**注意**
在下面列出的区域,Amazon Quick 账户只能使用 [IAM 身份中心](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)进行身份和访问管理。
`af-south-1` 非洲(开普敦)
`ap-southeast-3` 亚太地区(雅加达)
`ap-southeast-5`亚太地区(马来西亚)
`eu-south-1` 欧洲地区(米兰)
`eu-central-2` 欧洲(苏黎世)
以下各节将帮助您为 Quick 配置您选择的身份管理方法。
**Topics**
+ [使用 IAM](iam.md)
+ [使用 IAM Identity Center](setting-up-sso.md)
+ [IAM 联合身份验证](iam-federation.md)
+ [在 Amazon Quick Enterprise 版中使用](aws-directory-service.md)
+ [在 Amazon Quick 中使用多重身份验证 (MFA)](using-multi-factor-authentication-mfa.md)
# 使用 IAM
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权(有权*限)使用 Amazon Quick 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [IAM 概念简介](security_iam_concepts.md)
+ [在 IAM 中使用快速](security_iam_service-with-iam.md)
+ [将 IAM 角色传递给 Quick](security-create-iam-role.md)
+ [Quick 的 IAM 策略示例](iam-policy-examples.md)
+ [为 Amazon Quick 配置用户](provisioning-users.md)
+ [故障排除快速识别和访问](security_iam_troubleshoot.md)
# IAM 概念简介
AWS Identity and Access Management (IAM) 是一项 AWS 服务,可帮助管理员更安全地控制对 AWS 资源的访问。管理员控制谁可以*通过身份验证*(登录)和*授权*(拥有权限)使用 Amazon Quick 资源。IAM 是一项可以免费使用的 AWS 服务。
IAM 可通过多种方式与 Amazon Quick 配合使用,包括:
+ 如果您的公司使用 IAM 进行身份管理,则人们可能拥有用于登录 Amazon Quick 的 IAM 用户名和密码。
+ 如果您希望在首次登录时自动创建 Amazon Quick 用户,则可以使用 IAM 为预先授权使用 Amazon Quick 的用户创建策略。
+ 如果您想为特定的 Amazon Quick 用户群体或特定资源创建专门访问权限,则可以使用 IAM 策略来实现此目的。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
## 受众
使用以下内容有助于了解此部分中提供的信息上下文,并了解如何应用于您的角色。根据您在 Amazon Quick 中所做的工作,您的使用方式 AWS Identity and Access Management (IAM) 会有所不同。
**服务用户** — 在某些情况下,您可以使用 Amazon Quick 作为作者或读者,通过浏览器界面通过 Amazon Quick 与数据、分析、控制面板、空间和代理进行交互。在这些情况下,本部分仅为您提供背景信息。除非您使用 IAM 登录 Amazon Quick,否则您不会直接与 IAM 服务进行交互。
**Amazon Quick 管理员** — 如果你负责公司的 Amazon Quick 资源,那么你可能拥有对 Amazon Quick 的完全访问权限。您的工作是确定您的团队成员应该访问哪些 Amazon Quick 功能和资源。如果您有无法通过 Amazon Quick 管理面板解决的特殊要求,则可以与管理员合作,为您的 Amazon Quick 用户创建权限策略。要了解有关 IAM 的更多信息,请阅读此页以了解 IAM 的基本概念。要详细了解贵公司如何将 IAM 与 Amazon Quick 配合使用,请参阅将 Amaz [on Quick 与 IAM 配合使用](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)。
**管理员**-如果您是系统管理员,则可能需要详细了解如何编写策略来管理 Amazon Quick 的访问权限。要查看您可以在 IAM 中使用的 Amazon Quick 基于身份的策略示例,请参阅适用于 Amazon Quick [的 IAM 基于身份的策略](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)。
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
**Topics**
+ [AWS 账户 root 用户](#security_iam_authentication-rootuser)
+ [IAM 用户和群组](#security_iam_authentication-iamuser)
+ [IAM 角色](#security_iam_authentication-iamrole)
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 在 IAM 中使用快速
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
在使用 IAM 管理对 Amazon Quick 的访问权限之前,您应该了解哪些可用于 Amazon Quick 的 IAM 功能。要全面了解 Amazon Quick 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon 快速政策(基于身份)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick 政策(基于资源)](#security_iam_service-with-iam-resource-based-policies)
+ [基于亚马逊快速标签的授权](#security_iam_service-with-iam-tags)
+ [Amazon 快速 IAM 角色](#security_iam_service-with-iam-roles)
## Amazon 快速政策(基于身份)
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Quick 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
您可以使用 AWS 根证书或 IAM 用户证书创建 Amazon Quick 账户。 AWS root 和管理员凭证已经拥有管理 Amazon Quick AWS 资源访问权限所需的所有权限。
不过,我们强烈建议您保护根凭证,因此请使用 IAM 用户凭证。为此,您可以创建策略并将其附加到您计划用于 Amazon Quick 的 IAM 用户和角色。该策略必须包括您需要执行的 Amazon Quick 管理任务的相应声明,如以下各节所述。
**重要**
在使用 Quick 和 IAM 策略时,请注意以下几点:
避免直接修改由 Quick 创建的策略。当你自己修改它时,Quick 无法对其进行编辑。无法编辑可能会导致策略出现问题。要修复此问题,请删除之前修改过的策略。
如果您在尝试创建 Amazon Quick 账户时遇到权限错误,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
在某些情况下,您可能有一个 Amazon Quick 账户,即使是根账户也无法访问该账户(例如,如果您不小心删除了其目录服务)。在这种情况下,您可以删除旧的 Amazon Quick 账户,然后重新创建该账户。有关更多信息,请参阅[删除您的 Amazon Quick 订阅并关闭账户](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**Topics**
+ [操作](#security_iam_service-with-iam-id-based-policies-actions)
+ [资源](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [示例](#security_iam_service-with-iam-id-based-policies-examples)
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon Quick 中的策略操作在操作前使用以下前缀:`quicksight:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Quick 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Create` 开头的所有操作,包括以下操作:
```
"Action": "quicksight:Create*"
```
Amazon Quick 提供了许多 AWS Identity and Access Management (IAM) 操作。所有 Amazon Quick 操作都带有前缀`quicksight:`,例如。`quicksight:Subscribe`有关在 IAM 策略中使用 Amazon Quick 操作的信息,请参阅 A [mazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
要查看最多的亚马逊快速操作 up-to-date列表,请参阅 IA *M 用户指南*中的 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下面是一个示例策略。这意味着只要添加到组中的用户名不是 `user1`,附加该策略的调用方就能够在任意组上调用 `CreateGroupMembership` 操作。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
某些 Amazon Quick 操作(例如用于创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (\$1)。
```
"Resource": "*"
```
一些 API 操作涉及多种资源。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Amazon Quick 资源类型及其亚马逊资源名称 (ARNs) 的列表,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Quick 不提供任何特定于服务的条件密钥,但它支持使用一些全局条件密钥。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 Amazon Quick 基于身份的策略示例,请参阅[亚马逊快速政策(基于身份)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)。
## Amazon Quick 政策(基于资源)
Amazon Quick 不支持基于资源的策略。但是,您可以使用 Amazon Quick 控制台来配置对您中其他 AWS 资源的访问权限 AWS 账户。
## 基于亚马逊快速标签的授权
Amazon Quick 不支持为资源添加标签或根据标签控制访问权限。
## Amazon 快速 IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。您可以使用 IAM 角色将权限组合在一起,以便更轻松地管理用户对 Amazon Quick 操作的访问权限。
Amazon Quick 不支持以下角色功能:
+ 服务相关角色。
+ 服务角色。
+ 临时证书(直接使用):但是,Amazon Quick 使用临时证书允许用户担任 IAM 角色来访问嵌入式控制面板。有关更多信息,请参阅适用于 [Amazon Quick 的嵌入式分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)。
有关 Amazon Quick 如何使用 IAM 角色的更多信息,请参阅将 A [mazon Quick 与 IAM 配合使用和 A](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [mazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
# 将 IAM 角色传递给 Quick
| |
| --- |
| 适用于:企业版 |
当您的 IAM 用户注册 Quick 时,他们可以选择使用 Amazon Quick 托管角色(这是默认角色)。或者他们可以将现有的 IAM 角色传递给 Amazon Quick。
使用以下部分将现有 IAM 角色传递给 Amazon Quick
**Topics**
+ [先决条件](#security-create-iam-role-prerequisites)
+ [附加其他策略](#security-create-iam-role-athena-s3)
+ [在 Quick 中使用现有的 IAM 角色](#security-create-iam-role-use)
## 先决条件
为了让您的用户将 IAM 角色传递给 Amazon Quick,您的管理员需要完成以下任务:
+ **创建一个 IAM 角色。**有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ **为您的 IAM 角色附加信任策略,允许 Amazon Quick 代入该角色**。使用以下示例为角色创建信任策略。以下示例信任策略允许 Quick 委托人代入其所关联的 IAM 角色。
有关创建 IAM 信任策略并将其附加到角色的详细信息,请参阅《IAM 用户指南》**中的[修改角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **向您的管理员(IAM 用户或角色)分配以下 IAM 权限**:
+ `quicksight:UpdateResourcePermissions`— 这会向身为 Amazon Quick 管理员的 IAM 用户授予在 Amazon Quick 中更新资源级权限的权限。有关 Amazon Quick 定义的资源类型的更多信息,请参阅 *IAM 用户指南*中的 [Quick 的操作、资源和条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)。
+ `iam:PassRole`— 这授予用户将角色传递给 Amazon Quick 的权限。有关更多信息,请参阅 *IAM 用户指南中的授予用户*[向 AWS 服务传递角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
+ `iam:ListRoles`—(可选)这授予用户查看 Amazon Quick 中现有角色列表的权限。如果未提供此权限,则他们可以通过 ARN 来使用现有 IAM 角色。
以下是 IAM 权限策略示例,该策略允许在 Quick 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
有关您可以与 Amazon Quick 一起使用的 IAM 策略的更多示例,请参阅 [Amazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
有关为用户或用户组分配权限策略的详细信息,请参阅《IAM 用户指南》**中的[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
## 附加其他策略
如果您使用的是其他 AWS 服务,例如 Amazon Athena 或 Amazon S3,则可以创建权限策略,授予 Amazon Quick 执行特定操作的权限。然后,您可以将该策略附加到稍后传递给 Amazon Quick 的 IAM 角色。以下是如何设置其他权限策略并将其附加到您的 IAM 角色的示例。
有关 Athena 中 Amazon Quick 的托管策略示例,[AWSQuicksightAthenaAccess 请参阅《亚马逊 *A* thena 用户指南》中的托管](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)策略。IAM 用户可以使用以下 ARN 在 Amazon Quick 中访问此角色:。`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
以下是 Amazon S3 中 Amazon Quick 的权限策略示例。有关在 Amazon S3 中使用 IAM 的更多信息,请参阅《Amazon S3 用户指南》**中的 [Amazon S3 中的身份和访问管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)。
有关如何创建从 Amazon Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限的信息,请参阅[如何设置从 Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? 在 AWS 知识中心中。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## 在 Quick 中使用现有的 IAM 角色
如果您是 Amazon Quick 管理员并且有权更新 Amazon Quick 资源并传递 IAM 角色,则可以在 Amazon Quick 中使用现有 IAM 角色。要详细了解在 Amazon Quick 中传递 IAM 角色的[先决条件,请参阅前面列表中列出的先决条件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。
使用以下过程学习如何在 Amazon Quick 中传递 IAM 角色。
**在 Amazon Quick 中使用现有 IAM 角色**
1. 在 Amazon Quick 中,在右上角的导航栏中选择您的账户名称,然后选择**管理 QuickSight**。
1. 在打开的 “**管理 Amazon Quick**” 页面上,在左侧菜单中选择 “**安全和权限**”。
1. 在打开的 “**安全和权限**” 页面中,在 “**Amazon 快速访问 AWS 服务**” 下,选择 “**管理**”。
1. 对于 **IAM 角色**,选择**使用现有角色**,然后执行以下操作之一:
+ 从列表中选择要使用的角色。
+ 或者,如果您没有看到现有 IAM 角色的列表,则可以按以下格式输入角色的 IAM ARN:`arn:aws:iam::account-id:role/path/role-name`。
1. 选择**保存**。
# Quick 的 IAM 策略示例
本节提供了可以与 Quick 配合使用的 IAM 策略的示例。
## 适用于 Quick 的 IAM 基于身份的策略
本节显示了与 Quick 配合使用的基于身份的策略的示例。
**Topics**
+ [适用于 Amazon Quick IAM 控制台管理的 IAM 基于身份的策略](#security_iam_conosole-administration)
### 适用于 Amazon Quick IAM 控制台管理的 IAM 基于身份的策略
以下示例显示了 Amazon Quick IAM 控制台管理操作所需的 IAM 权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick: 仪表板的 IAM 基于身份的策略
下面是一个 IAM 策略示例,它为特定控制面板允许控制面板共享和嵌入。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## 适用于 Quick: 命名空间的 IAM 基于身份的策略
以下示例显示了允许 Amazon Quick 管理员创建或删除命名空间的 IAM 策略。
**创建命名空间**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**删除命名空间**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:自定义权限
以下示例显示了允许 Amazon Quick 管理员或开发者管理自定义权限的 IAM 策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
以下示例显示了另一种授予与上一个示例中所示相同权限的方法。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:自定义电子邮件报告模板
以下示例显示了一项策略,该策略允许在 Amazon Quick 中查看、更新和创建电子邮件报告模板,以及获取亚马逊简单电子邮件服务身份的验证属性。此政策允许 Amazon Quick 管理员创建和更新自定义电子邮件报告模板,并确认他们想要发送电子邮件报告的任何自定义电子邮件地址都是 SES 中经过验证的身份。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的政策:使用 Amazon Quick 托管用户创建企业账户
以下示例显示了一项政策,该策略允许 Amazon Quick 管理员向 Amazon Quick 托管用户创建企业版 Amazon Quick 账户。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick:创建用户的 IAM 基于身份的策略
以下示例显示的策略仅允许创建 Amazon Quick 用户。对于 `quicksight:CreateReader`、`quicksight:CreateUser` 和 `quicksight:CreateAdmin`,您可以限制 **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** 权限。有关本指南中所述的所有其他权限,请使用 **"Resource": "\$1"**。您指定的资源将权限范围限制为指定的资源。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:创建和管理群组
以下示例显示了允许 Amazon Quick 管理员和开发人员创建和管理群组的策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick:标准版的所有访问权限的 IAM 基于身份的策略
以下 Amazon Quick 标准版示例显示了一项允许订阅和创建作者和读者的政策。此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick:带有 IAM 身份中心的企业版的所有访问权限的 IAM 基于身份的策略(专业版角色)
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许 Amazon Quick 用户在与 IAM 身份中心集成的亚马逊快速账户中订阅 Amazon Quick、创建用户和管理活动目录。
该政策还允许用户订阅 Amazon Quick Pro 角色,这些角色授予在快速生成商业智能功能中访问 Amazon Q 的权限。有关 Amazon Quick 中专业角色的更多信息,请参阅[生成式 BI 入门](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)。
此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## 基于 IAM 身份的 Quick:带有 IAM 身份中心的企业版的所有访问权限的 IAM 身份策略
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许在与 IAM 身份中心集成的 Amazon Quick 账户中订阅、创建用户和管理活动目录。
此政策不授予在 Amazon Quick 中创建专业版角色的权限。要创建授予在 [Amazon Quick 中订阅专业角色权限的策略,请参阅 Amazon Quick 的基于身份的政策:带有 IAM 身份中心的企业版的所有访问权限(专业角色](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro))。
此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用活动目录的企业版的所有访问权限
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许在使用 Active Directory 进行身份管理的 Amazon Quick 账户中订阅、创建用户和管理 Active Directory。此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## 适用于 Quick: 活动目录组的 IAM 基于身份的策略
以下示例显示了一个 IAM 策略,该策略允许对 Amazon Quick Enterprise 版账户进行活动目录群组管理。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用管理员资产管理控制台
以下示例显示了允许访问管理员资产管理控制台的 IAM 策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用管理员密钥管理控制台
以下示例显示了允许访问管理员密钥管理控制台的 IAM 策略。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
需要`"quicksight:ListKMSKeysForUser"`和`"kms:ListAliases"`权限才能从 Amazon Quick 控制台访问客户托管的密钥。 `"quicksight:ListKMSKeysForUser"``"kms:ListAliases"`并且不需要使用 Amazon Quick 密钥管理 APIs。
要指定您希望用户能够访问哪些密钥,请使用`UpdateKeyRegistration`条件键将您希望用户访问的密钥添加到`quicksight:KmsKeyArns`条件中。 ARNs 用户只能访问 `UpdateKeyRegistration` 中指定的密钥。有关 Amazon Quick 支持的条件键的更多信息,请参阅 Amaz [on Quick 的条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)。
以下示例为注册到Amazon Quick账户的所有`Describe` CMKs 用户授予权限,并`Update`向注册到Amazon Quick账户的特定 CMKs 用户授予权限。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS resources Quick:在企业版中确定策略的范围
以下 Amazon Quick Enterprise 版示例显示了一个策略,该策略允许设置 AWS 资源默认访问权限和 AWS 资源权限范围策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# 为 Amazon Quick 配置用户
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
## 自行配置 Amazon Quick 管理员
Amazon Quick 管理员是还可以管理 Amazon Quick 功能(例如账户设置和账户)的用户。他们还可以为你购买额外的 Amazon Quick 用户订阅、购买 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 以及取消对 Amazon Quick 的订阅 AWS 账户。
您可以使用 AWS 用户或群组策略让用户能够将自己添加为 Amazon Quick 的管理员。被授予此能力的用户只能将自己添加为管理员,不能使用此策略添加其他人。他们的账户在首次打开 Amazon Quick 时就会变为活跃且可计费。要设置自行预置,请向这些用户提供使用 `quicksight:CreateAdmin` 操作的权限。
或者,您可以使用以下步骤使用控制台为 Amazon Quick 设置或创建 Amazon Quick 的管理员。
**让用户成为 Amazon Quick 管理员**
1. 创建 AWS 用户:
+ 使用 IAM 创建您想成为 Amazon Quick 管理员的用户。或者,为 IAM 中的现有用户指定管理员角色。还可以将该用户放入新组,以便于管理。
+ 授予用户(或组)足够的权限。
1. 使用目标用户的凭据登录到您 AWS 管理控制台 的。
1. 转至 [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email),键入目标用户的电子邮件地址,然后选择 **Continue (继续)**。
成功后,目标用户现在成为 Amazon Quick 的管理员。
## 自行配置 Amazon Quick 作者
Amazon Quick 作者可以创建数据源、数据集、分析和控制面板。他们可以与您的 Amazon Quick 账户中的其他 Amazon Quick 用户共享分析和控制面板。但是,他们无权访问 “**管理 Amazon 快捷方式**” 菜单。他们无法更改账户设置、管理账户、购买额外的 Amazon Quick 用户订阅或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,也无法为您取消对 Amazon Quick 的订阅 AWS 账户。此外,Author Pro 用户还可以使用自然语言创建内容、构建知识库、配置操作和访问高级自动化功能。
您可以使用 AWS 用户或群组策略让用户能够为自己创建 Amazon Quick 作者账户。他们的账户在首次打开 Amazon Quick 时就会变为活跃且可计费。要设置自行预置,您需要向其提供使用 `quicksight:CreateUser` 操作的权限。
## 自行配置 Amazon Quick 只读用户
Amazon Quick 只*读用户或读者*可以查看和操作与他们共享的控制面板,但他们无法进行任何更改或保存控制面板以供进一步分析。Amazon Quick 读取器无法创建数据源、数据集、分析或视觉对象。他们无法执行任何管理任务。为作为控制面板的使用者但无法创作自己的分析的用户(如行政人员)选择此角色。Reader Pro 用户可以访问高级功能,包括 AI 聊天代理、协作空间、流程和扩展程序。
如果你使用的是带有 Amazon Quick 的 Microsoft Active Directory,则可以使用群组来管理只读权限。否则,您可以批量邀请用户使用 Amazon Quick。您还可以使用 AWS 用户或群组策略让人们能够为自己创建 Amazon Quick 阅读器账户。
读者账户在首次打开 Amazon Quick 时即变为活跃且可计费。如果您决定对用户进行升级或降级,该用户当月的账单将按比例进行计算。要设置自行预置,您需要向其提供使用 `quicksight:CreateReader` 操作的权限。
习惯于为近乎实时的用例自动刷新或以编程方式刷新控制面板的读者必须选择容量定价。对于按用户定价的读者,每位读者只能由一个人手动使用。
# 故障排除快速识别和访问
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
使用以下信息来帮助您诊断和修复在使用 Amazon Quick 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 Amazon Quick 中执行任何操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许 AWS 账户之外的用户访问我的 Amazon Quick 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 Amazon Quick 中执行任何操作
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。
如果 `mateojackson` IAM 用户尝试使用控制台查看有关 *widget* 的详细信息,但没有 `quicksight:GetWidget` 权限,则会出现以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `quicksight:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到一条错误消息,说您无权执行该`iam:PassRole`操作,则必须更新您的政策以允许您将角色传递给 Amazon Quick。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为的 IAM 用户`marymajor`尝试使用控制台在 Amazon Quick 中执行操作时,会出现以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许 AWS 账户之外的用户访问我的 Amazon Quick 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Amazon Quick 是否支持这些功能,请参阅[在 IAM 中使用快速](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用 IAM Identity Center
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
Amazon Quick Enterprise 版使用微软 Active Directory 或使用安全断言标记语言 (SAML) 的单点登录(IAM 身份中心)与您的现有目录集成。您可以使用 AWS Identity and Access Management (IAM) 进一步增强安全性,也可以使用自定义选项,例如嵌入仪表板。
在 Quick 标准版中,您可以完全在 Quick 中管理用户。如果愿意,您可以在 IAM 中集成现有的用户、组和角色。
您可以使用以下工具进行身份验证和访问 Amazon Quick:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(仅限企业版)
+ [IAM 联合身份验证](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html)(标准版和企业版)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(仅企业版)
+ [基于 SAML 的单点登录](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html)(标准版和企业版)
+ [多重身份验证(MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)(标准版和企业版)
**注意**
在下面列出的区域,Amazon Quick 账户只能使用 [IAM 身份中心](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)进行身份和访问管理。
`af-south-1` 非洲(开普敦)
`ap-southeast-3` 亚太地区(雅加达)
`ap-southeast-5`亚太地区(马来西亚)
`eu-south-1` 欧洲地区(米兰)
`eu-central-2` 欧洲(苏黎世)
IAM Identity Center 可帮助您安全地创建或连接员工身份,并管理他们跨 AWS 账户和应用程序的访问权限。
在将您的 Amazon Quick 账户与 IAM 身份中心集成之前,请在您的 AWS 账户中设置 IAM 身份中心。如果您尚未在 AWS 组织中设置 IAM 身份中心,请参阅*AWS IAM Identity Center 用户指南*中的[入门](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
如果您想使用 IAM Identity Center 配置外部身份提供者,请参阅 [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html),查看支持的身份提供者配置步骤列表。
**Topics**
+ [使用 IAM 身份中心配置您的 Amazon Quick 账户](#sec-identity-management-identity-center)
## 使用 IAM 身份中心配置您的 Amazon Quick 账户
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员 |
IAM Identity Center 可帮助您安全地创建或配置现有员工身份,并管理他们跨 AWS 账户和应用程序的访问权限。对于任何规模和类型的组织,推荐使用 IAM Identity Center AWS 进行员工身份验证和授权。要了解有关 IAM Identity Center 的更多信息,请参阅 [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/)。
配置 Amazon Quick 和 IAM 身份中心,以便您可以使用配置了 IAM 身份中心的身份源注册一个新的 Amazon Quick 账户。通过 IAM Identity Center,您可以将外部身份提供者配置为身份源。如果您不想在 Amazon Quick 中使用第三方身份提供商,也可以使用 IAM 身份中心作为身份存储。创建账户后,无法更改身份验证方法。
将您的 Amazon Quick 账户与 IAM Identity Center 集成后,Amazon Quick 账户管理员可以创建一个新的 Amazon Quick 账户,该账户会自动提供身份提供者的群组。这简化了 Amazon Quick 中大规模的资产共享。
对 Amazon Quick 管理控制台某些部分的访问受到 IAM 权限的限制。下表根据您选择的访问类型,总结了您可以在 Amazon Quick 中执行的管理员操作。
要详细了解如何使用 IAM Identity Center 注册 Amazon Quick 账户,请参阅[注册 Amazon Quick 订阅](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。
| 管理员操作 | IAM 权限 | Amazon Quick 管理员角色权限 |
| --- | --- | --- |
| **管理资产** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 |
| **安全和权限** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 |
| **管理 VPC 连接** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 |
| **KMS 密钥** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 |
| **账户设置** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 |
| **账户自定义** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 |
| **管理用户** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是(IAM Identity Center 用户) | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg)是(Amazon Quick 和 IAM 用户) |
| **您的订阅** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 |
| **移动设置** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 |
| **域和嵌入** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 |
| **SPICE 容量** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/success_icon.svg) 是 |
与 IAM 身份中心集成的 Amazon Quick 账户不支持 Amazon Quick 移动应用程序。
### 注意事项
以下操作将永久移除 Amazon Quick 用户登录 Amazon Quick 的权限。Amazon Quick 不建议 Amazon Quick 用户执行这些操作。
+ 在 IAM 身份中心控制台中禁用或删除 Amazon Quick 应用程序。如果您想删除您的 Amazon Quick 账户,请参阅[关闭您的 Amazon Quick 账户](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
+ 将包含您的 IAM 身份中心配置的 Amazon Quick 账户迁移到不包含您的 Amazon Quick 账户配置的 IAM 身份中心实例的 AWS 组织。
+ 删除配置到您的 Amazon Quick 账户的 IAM 身份中心实例。
+ 编辑 IAM Identity Center 应用程序属性,例如**需要分配**属性。
# IAM 联合身份验证
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
**重要**
Amazon Quick 建议您将新的 Amazon Quick 订阅与 IAM 身份中心集成以进行身份管理。本 IAM 联合身份验证用户指南是作为现有账户配置的参考提供的。有关将您的 Amazon Quick 账户与 IAM 身份中心集成的更多信息,请参阅[使用 IAM 身份中心配置您的 Amazon Quick 账户](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)。
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
Amazon Quick 在标准版和企业版中都支持联合身份验证。使用联合身份用户时,您可以使用企业身份提供商 (IdP) 管理用户,并在用户登录 Quick 时使用 AWS Identity and Access Management (IAM) 对他们进行身份验证。您可以使用支持安全断言标记语言 2.0 (SAML 2.0) 的第三方身份提供商为您的 Amazon Quick 用户提供入门流程。此类身份提供者包括 Microsoft Active Directory 联合身份验证服务、Okta 和 Ping One Federation Server。通过联合身份验证,您的用户可以使用其现有身份凭证一键访问他们的 Amazon Quick 应用程序。您还可以获得身份提供者提供的联合身份验证的安全优势。您可以使用现有的身份提供商控制哪些用户有权访问 Amazon Quick。
**Topics**
+ [从身份提供者(IdP)启动登录](federated-identities-idp-to-sp.md)
+ [使用 IAM 和 Amazon Quick 设置 IdP 联合](external-identity-providers-setting-up-saml.md)
+ [从 Quick 启动登录](federated-identities-sp-to-idp.md)
+ [使用 Quick Enterprise 版设置服务提供商启动的联合](setup-quicksight-to-idp.md)
+ [在 Quick 中为联合用户配置电子邮件同步](jit-email-syncing.md)
+ [教程:Amazon Quick 和 IAM 联合身份验证](tutorial-okta-quicksight.md)
# 从身份提供者(IdP)启动登录
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
在这种情况下,您的用户从身份提供者的门户网站启动登录过程。用户通过身份验证后,他们将登录 Amazon Quick。在 Quick 检查其是否已获得授权后,您的用户就可以访问 Quick。
从用户登录 IdP 开始,身份验证将按以下步骤进行:
1. 用户浏览 `https://applications.example.com` 并登录 IdP。此时,用户尚未登录服务提供商。
1. 联合身份验证服务和 IdP 对用户进行身份验证:
1. 联合身份验证服务请求从组织的身份存储进行身份验证。
1. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。
1. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。
1. 用户打开 Amazon Quick:
1. 用户的浏览器会将 SAML 断言发布到 AWS 登录 SAML 端点 (`https://signin.aws.amazon.com/saml`)。
1. AWS 登录接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发给 Amazon Quick 服务。
1. Amazon Quick 接受来自的身份验证令牌 AWS 并向用户提供 Amazon Quick。
从用户的角度来看,整个过程以透明的方式进行。用户从贵组织的内部门户网站开始,登陆 Amazon Quick 应用程序门户,无需提供任何 AWS 凭证。
在下图中,您可以找到 Amazon Quick 和第三方身份提供商 (IdP) 之间的身份验证流程。在此示例中,管理员设置了一个名为 `applications.example.com` Amazon Quick 的登录页面来访问。当用户登录时,登录页面会向符合 SAML 2.0 的联合身份验证服务发布请求。最终用户从 IdP 的登录页面启动身份验证。
![\[快速 SAML 示意图。该图包含两个框。第一个介绍企业内的身份验证过程。第二个介绍 AWS内的身份验证。在该表后面的文本中介绍了该过程。\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/SAML-Flow-Diagram.png)
有关一些常见提供者的信息,请参阅以下第三方文档:
+ CA – [启用 SAML 2.0 HTTP Post 绑定](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta – [规划 SAML 部署](https://developer.okta.com/docs/concepts/saml/)
+ Ping – [Amazon 集成](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
使用以下主题来了解如何使用现有的联合体 AWS:
+ AWS 网站@@ [AWS上的身份联盟](https://aws.amazon.com/identity/federation/)
+ 《IAM 用户指南》**中的[向经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)
+ 《IAM 用户指南》**中的[使 SAML 2.0 联合用户能够访问 AWS 管理控制台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
# 使用 IAM 和 Amazon Quick 设置 IdP 联合
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
您可以使用 AWS Identity and Access Management (IAM) 角色和中继状态 URL 来配置符合 SAML 2.0 标准的身份提供商 (IdP)。该角色向用户授予访问 Amazon Quick 的权限。中继状态是在 AWS成功进行身份验证后将用户转发到的门户。
**Topics**
+ [先决条件](#external-identity-providers-setting-up-prerequisites)
+ [步骤 1:在中创建 SAML 提供商 AWS](#external-identity-providers-create-saml-provider)
+ [步骤 2:在中 AWS 为您的联合用户配置权限](#external-identity-providers-grantperms)
+ [步骤 3:配置 SAML IdP](#external-identity-providers-config-idp)
+ [步骤 4:为 SAML 身份验证响应创建断言](#external-identity-providers-create-assertions)
+ [步骤 5:配置您的联合身份验证的中继状态](#external-identity-providers-relay-state)
## 先决条件
在配置 SAML 2.0 连接之前,请执行以下操作:
+ 配置 IdP 以建立与亚马逊云科技的信任关系:
+ 在贵组织的网络内,将您的身份存储,例如,Windows Active Directory,与基于 SAML 的 IdP 一起工作。基于 SAML 的 IdPs 包括 Active Directory 联合服务、Shibboleth 等。
+ 通过使用 IdP,可以生成一个元数据文档,此文档将您的组织描述为身份提供者。
+ 通过使用与 AWS 管理控制台相同的步骤,设置 SAML 2.0 身份验证。此过程完成后,您可以将中继状态配置为与 Quick 的中继状态相匹配。有关更多信息,请参阅[配置联盟的中继状态](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)。
+ 创建一个 Amazon Quick 账户,记下在配置 IAM 策略和 IdP 时要使用的名称。有关创建 Amazon Quick 账户的更多信息,请参阅[注册 Amazon Quick 订阅](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。
按照教程中的概述创建要联合 AWS 管理控制台 的设置后,您可以编辑本教程中提供的中继状态。您可以使用 Amazon Quick 的中继状态执行此操作,如以下步骤 5 所述。
有关更多信息,请参阅以下资源:
+ 《*IAM 用户指南*》中的[将第三方 SAML 解决方案提供者与 AWS集成](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。
+ 对 [SAML 2.0 联合身份验证进行故障排除 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html),同样在 *IAM 用户指南*中。
+ 在 [ADFS AWS 和 Active Directory 凭证之间建立信任并使用 ODBC 驱动程序连接到 Amazon Athena — 尽管你不需要设置](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) Athena 即可使用 Amazon Quick,但这篇演练文章很有帮助。
## 步骤 1:在中创建 SAML 提供商 AWS
您的 SAML 身份提供商将您组织的 Id AWS P 定义为。它通过使用之前通过 IdP 生成的元数据文档来进行此设置。
**要在中创建 SAML 提供商 AWS**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 创建一个新的 SAML 提供者,该提供者是 IAM 中包含贵组织的身份提供者的相关信息的实体。有关更多信息,请参阅《IAM 用户指南》**中的[创建 SAML 身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
1. 在此过程中,您可以上传由上一部分中记录的您的组织中的 IdP 软件生成的元数据文档。
## 步骤 2:在中 AWS 为您的联合用户配置权限
下一步是创建一个 IAM 角色,以在 IAM 与贵组织的 IdP 之间建立信任关系。该角色将您的 IdP 标识为委托人 (可信实体) 以实现联合身份验证目的。该角色还定义允许哪些经过贵组织的 IdP 身份验证的用户访问 Amazon Quick。有关为 SAML IdP 创建角色的更多信息,请参阅《IAM 用户指南》**中的[创建用于 SAML 2.0 联合身份验证的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)。
创建角色后,您可以通过为角色附加内联策略将该角色限制为仅拥有 Amazon Quick 的权限。以下示例政策文档提供了对 Amazon Quick 的访问权限。该政策允许用户访问 Amazon Quick,并允许他们同时创建作者账户和读者账户。
**注意**
在以下示例中,替换**为您的 12 位数字 AWS 账户 ID(不带连字符 “−”)。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
如果您想提供对 Amazon Quick 的访问权限以及创建 Amazon Quick 管理员、作者(标准用户)和读者的权限,则可以使用以下策略示例。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
您可以在中查看账户详情 AWS 管理控制台。
设置 SAML 和 IAM 策略后,您将无需手动邀请用户。用户首次打开 Amazon Quick 时,系统会使用策略中最高级别的权限自动对其进行配置。例如,如果他们同时具有 `quicksight:CreateUser` 和 `quicksight:CreateReader` 权限,则将其预置为作者。如果他们具有 `quicksight:CreateAdmin` 权限,则将其预置为管理员。每个权限级别可以创建相同级别的用户和以下级别用户。例如,作者可以添加其他作者或读者。
手动邀请的用户是在邀请他们的人员分配的角色中创建的。他们不需要具有为其授予权限的策略。
## 步骤 3:配置 SAML IdP
创建 IAM 角色后,将您的 SAML IdP 更新为 AWS 服务提供商。为此,请安装在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 中找到的`saml-metadata.xml`文件。
要更新 IdP 元数据,请参阅您的 IdP 提供的说明。一些提供商为您提供了键入该 URL 的选项,此时,IdP 将为您获取并安装该文件。另一些提供商则要求您从该 URL 处下载该文件,然后将其作为本地文件提供。
有关更多信息,请参阅您的 IdP 文档。
## 步骤 4:为 SAML 身份验证响应创建断言
接下来,配置 IdP 在身份验证响应中作为 SAML 属性传递的信息。 AWS 有关更多信息,请参阅 *IAM 用户指南*中的[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。
## 步骤 5:配置您的联合身份验证的中继状态
最后,将联盟的中继状态配置为指向 Amazon Quick 中继状态 URL。成功通过身份验证后 AWS,用户将被定向到 Amazon Quick,在 SAML 身份验证响应中定义为中继状态。
Amazon Quick 的中继状态网址如下。
```
https://quicksight.aws.amazon.com
```
# 从 Quick 启动登录
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
在这种情况下,您的用户无需登录身份提供商即可从 Amazon Quick 应用程序门户启动登录过程。在这种情况下,用户拥有由第三方 IdP 管理的联合账户。该用户可能在 Quick 上有一个用户帐户。Quick 向 IdP 发送身份验证请求。用户通过身份验证后,Quick 将打开。
从用户登录 Quick 开始,身份验证将按以下步骤进行:
1. 用户打开 “快速”。此时,用户尚未登录 IdP。
1. 用户尝试登录 Amazon Quick。
1. Amazon Quick 将用户的输入重定向到联合身份验证服务并请求身份验证。
1. 联合身份验证服务和 IdP 对用户进行身份验证:
1. 联合身份验证服务请求从组织的身份存储进行身份验证。
1. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。
1. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。
1. 用户的浏览器会将 SAML 断言发布到 AWS 登录 SAML 端点 (`https://signin.aws.amazon.com/saml`)。
1. AWS 登录接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发给 Amazon Quick 服务。
1. Amazon Quick 接受来自的身份验证令牌 AWS 并向用户提供 Amazon Quick。
从用户的角度来看,整个过程以透明的方式进行。用户从 Amazon Quick 应用程序门户网站开始。Amazon Quick 会与贵组织的联合身份验证服务协商身份验证, AWS然后。Amazon Quick 打开,用户无需提供任何其他凭证。
# 使用 Quick Enterprise 版设置服务提供商启动的联合
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
使用 AWS Identity and Access Management (IAM) 配置身份提供商后,您可以通过 Amazon Quick Enterprise Edition 设置服务提供商启动登录。要使快速启动的 IAM 联合发挥作用,您需要授权 Quick 向您的 IdP 发送身份验证请求。Quick 管理员可以通过添加 IdP 提供的以下信息来对此进行配置:
+ IdP URL — 快速将用户重定向到此 URL 进行身份验证。
+ 中继状态参数 – 此参数可中继浏览器会话被重定向以进行身份验证时所处的状态。身份验证后,IdP 会将用户重定向回原始状态。状态以 URL 的形式提供。
下表显示了用于将用户重定向到您提供的快速 URL 的标准身份验证 URL 和中继状态参数。
| 身份提供者 | 参数 | 身份验证 URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Google 账户 | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick 支持每人连接一个 IdP。 AWS 账户 Amazon Quick 中的配置页面 URLs 根据您输入的内容为您提供测试,因此您可以在开启该功能之前测试设置。为了使该过程更加顺畅,Amazon Quick 提供了一个参数 (`enable-sso=0`),用于暂时关闭 Amazon Quick 启动的 IAM 联合,以防您需要暂时将其禁用。
## 将 Amazon Quick 设置为可以为现有 IdP 启动 IAM 联合身份验证的服务提供商
1. 确保你已经在你的 IdP、IAM 和 Amazon Quick 中设置了 IAM 联合。要测试此设置,请检查您是否可以与公司域中的其他人共享控制面板。
1. 打开 Amazon Quick,然后从右上角的个人资料菜单中选择 “**管理 Amazon Quick**”。
要执行此过程,您需要成为 Amazon Quick 管理员。如果不是,则无法在个人资料菜单下方看到 “**管理Amazon Quick**”。
1. 从导航窗格中选择**单点登录(IAM 联合身份验证)**。
1. 在**配置**、**IdP URL** 中,输入您的 IdP 提供的用于对用户进行身份验证的 URL。
1. 例如,对于 **IdP URL**,输入您的 IdP 提供的用于中继状态的参数,例如 `RelayState`。参数的实际名称由您的 IdP 提供。
1. 测试登录:
+ 要使用您的身份提供者测试登录,请使用**使用您的 IdP 开始测试**中提供的自定义 URL。您应该到达 Amazon Quick 的起始页面,例如 https://quicksight.aws.amazon.com/sn/开始。
+ 要先测试使用 Amazon Quick 登录,请使用**测试 end-to-end体验**中提供的自定义 URL。该 `enable-sso` 参数将附加到 URL 中。如果是 `enable-sso=1`,IAM 联合身份验证会尝试进行身份验证。
1. 选择**保存**,保存您的设置。
## 启用服务提供商发起的 IAM 联合身份验证 IdP
1. 确保您的 IAM 联合身份验证设置已配置且经过测试。如果您不确定配置,请使用前 URLs 面的步骤测试连接。
1. 打开 Amazon Quick,然后从个人资料菜单中选择 “**管理亚马逊快速**”。
1. 从导航窗格中选择**单点登录(IAM 联合身份验证)**。
1. 对于**状态**,请选择**开启**。
1. 断开与 IdP 的连接并打开 Amazon Quick,验证它是否正常运行。
## 禁用服务提供商发起的 IAM 联合身份验证
1. 打开 Amazon Quick,然后从个人资料菜单中选择 “**管理亚马逊快速**”。
1. 从导航窗格中选择**单点登录(IAM 联合身份验证)**。
1. 对于**状态**,请选择**禁用**。
# 在 Quick 中为联合用户配置电子邮件同步
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
在 Amazon Quick Enterprise 版中,作为管理员,您可以限制新用户在通过身份提供商 (IdP) 直接向 Quick 进行配置时使用个人电子邮件地址。然后,Quick 在为您的账户配置新用户时使用通过 IdP 传递的预配置电子邮件地址。例如,当用户通过您的 IdP 配置到您的 Amazon Quick 账户时,您可以仅使用公司分配的电子邮件地址。
**注意**
确保您的用户通过其 IdP 直接与 Amazon Quick 联合。 AWS 管理控制台 通过他们的 IdP 联合,然后点击进入 Amazon Quick 会导致错误,他们将无法访问 Amazon Quick。
当您在 Amazon Quick 中为联合用户配置电子邮件同步时,首次登录您的 Amazon Quick 账户的用户会预先分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。
Amazon Quick 支持通过支持 SAML 或 OpenID Connect (OIDC) 身份验证的 IdP 进行配置。要在通过 IdP 预置时为新用户配置电子邮件地址,请更新他们与 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后,您可以在 Amazon Quick 中为联合用户开启电子邮件同步。
以下过程将详细介绍这些步骤。
## 步骤 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系
您可以配置电子邮件地址供用户在通过您的 IdP 配置到 Amazon Quick 时使用。为此,将 `sts:TagSession` 操作添加到与 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 一起使用的 IAM 角色的信任关系中。这样,您可以在用户代入角色时传入 `principal` 标签。
以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例,将 `Federated` Amazon 资源名称(ARN)更新为您服务提供商的 ARN。您可以将红色项目替换为您 AWS 和 IdP 服务的特定信息。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## 步骤 2:在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌
按照上一节所述更新 IAM 角色的信任关系后,在您的 IdP 中为 IAM `Principal` 标签添加 SAML 属性或 OIDC 令牌。
以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。
+ **SAML 属性**:以下示例说明了 SAML 属性。
```
john.doe@example.com
```
**注意**
如果您使用 Okta 作为 IdP,请务必在您的 Okta 用户账户中开启功能标记,以使用 SAML。有关更多信息,请参阅 [Okta 博客上的 Okta 和 AWS 合作伙伴通过会话标签简化访问](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)。
+ **OIDC 令牌**:以下示例说明了 OIDC 令牌示例。
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## 第 3 步:在 Amazon Quick 中为联合用户开启电子邮件同步功能
如前所述,更新 IAM 角色的信任关系,并在您的 IdP 中为 IAM `Principal` 标签添加 SAML 属性或 OIDC 令牌。然后按照以下步骤在 Amazon Quick 中为联合用户开启电子邮件同步。
**为联合用户开启电子邮件同步功能**
1. 在 Amazon Quick 的任意页面中,在右上角选择您的用户名,然后选择 “**管理 Amazon Quick**”。
1. 在左侧菜单中选择**单点登录(IAM 联合身份验证)**。
1. 在**服务提供商发起的 IAM 联合身份验证**页面上,对于**联合用户的电子邮件同步**,选择**打开**。
当为联合用户开启电子邮件同步功能时,Amazon Quick 在为您的账户配置新用户时使用您在步骤 1 和步骤 2 中配置的电子邮件地址。用户无法输入自己的电子邮件地址。
当联合用户关闭电子邮件同步功能时,Amazon Quick 会要求用户在为您的账户配置新用户时手动输入其电子邮件地址。他们可以使用他们想要的任何电子邮件地址。
# 教程:Amazon Quick 和 IAM 联合身份验证
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:Amazon Quick 管理员和 Amazon Quick 开发者 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
在以下教程中,您可以找到将 IdP Okta 设置为 Amazon Quick 的联合身份验证服务的演练。尽管本教程展示了 AWS Identity and Access Management (IAM) 和 Okta 的集成,但您也可以使用您选择的 SAML 2.0 来复制此解决方案。 IdPs
在以下步骤中,您将使用 Okta IdP 的AWS “账户联合” 快捷方式在 Okta IdP 中创建应用程序。Okta 对这个集成应用程序的描述如下:
“通过将 Okta 联合到亚马逊网络服务 (AWS) 身份和访问管理 (IAM) 账户,最终用户可以使用他们的 Okta 凭证获得对所有分配 AWS 角色的单点登录访问权限。在每个版本中 AWS 账户,管理员都设置联盟并配置 AWS 角色以信任 Okta。当用户登录时 AWS,他们将获得 Okta 单点登录体验,以查看分配给 AWS 他们的角色。然后,他们可以选择所需的角色,该角色定义了他们在进行身份验证会话期间的权限。拥有大量 AWS 账户的客户,可以选择使用 AWS 单点登录应用程序。” (https://www.okta.com/aws/)
**使用 Okta 的 “AWS 账户联合” 应用程序快捷方式创建 Okta 应用程序**
1. 登录到您的 Okta 控制面板。如果您没有 Okta 开发者版账户,请使用[此 Amazon Quick 品牌](https://developer.okta.com/quickstart/)网址创建一个免费的 Okta 开发者版账户。激活电子邮件后,登录 Okta。
1. 在 Okta 网站上,选择左上角的 **<> 开发人员控制台**,然后选择**经典 UI**。
1. 选择**添加应用程序**,然后选择**添加应用程序**。
1. 在**搜索**中输入 **aws**,然后从搜索结果中选择 **AWS 账户联合身份验证**。
1. 选择**添加**,创建此应用程序的实例。
1. 对于**应用程序标签**,请输入 **AWS Account Federation - Amazon Quick**。
1. 选择**下一步**。
1. 对于 **SAML 2.0** 的**默认中继状态**,请输入 **https://quicksight.aws.amazon.com**。
1. 打开**身份提供者元数据**的关联(右键单击)菜单,然后选择保存文件。将文件命名为 `metadata.xml`。在下一个步骤中,您需要用到此文件。
该文件的内容类似于以下内容。
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. 保存 XML 文件后,滚动到 Okta 页面的底部,然后选择**完成**。
1. 如果可能,请保持此浏览器窗口处于打开状态。您将在本教程的后面需要用到它。
接下来,在 AWS 账户中创建身份提供者。
**在 AWS Identity and Access Management (IAM) 中创建 SAML 提供商**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,依次选择**身份提供者**、**创建提供者**。
1. 输入以下设置:
+ **提供者类型** – 从列表中选择 **SAML**。
+ **提供者名称** – 输入 **Okta**。
+ **元数据文档** – 上传上一个步骤中的 XML 文件 `manifest.xml`。
1. 依次选择**下一步**、**创建**。
1. 找到您创建的 IdP 并选择它以查看设置。记下**提供者 ARN**。要完成本教程,您需要用到它。
1. 确认身份提供者是使用您的设置创建的。在 IAM 中,选择**身份提供者**、**Okta**(您添加的 IdP)、**下载元数据**。文件应该是您最新上传的文件。
接下来,您将创建一个 IAM 角色以允许 SAML 2.0 联合身份验证充当您的 AWS 账户可信实体。在此步骤中,您需要选择如何在 Amazon Quick 中配置用户。您可以执行以下操作之一:
+ 向 IAM 角色授予权限,以便首次访问的访客自动成为 Amazon Quick 用户。
**为 SAML 2.0 联合身份验证创建 IAM 角色作为受信任实体**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择 **角色** 和 **创建角色**。
1. 对于**选择受信任实体的类型**,选择标有 **SAML 2.0 联合身份验证**的卡。
1. 对于 **SAML 提供者**,选择在上一过程中创建的 IdP,例如 `Okta`。
1. 启用**允许编程和 AWS 管理控制台访问**选项。
1. 选择**下一步: 权限**。
1. 将下面的策略粘贴到编辑器中。
在策略编辑器中,使用提供者的 Amazon 资源名称(ARN)更新 JSON。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. 选择**查看策略**。
1. 对于 **Name (名称)**,输入 **QuicksightOktaFederatedPolicy**,然后选择 **Create policy (创建策略)**。
1. 依次选择**创建策略**、**JSON**。
1. 将下面的策略粘贴到编辑器中。
在策略编辑器中,使用您的 AWS 账户 ID 更新 JSON。它应与您在提供者 ARN 的先前策略中使用的账户 ID 相同。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
您可以省略 ARN 中的 AWS 区域 名称,如下所示。
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. 选择**查看策略**。
1. 对于 **Name (名称)**,输入 **QuicksightCreateReader**,然后选择 **Create policy (创建策略)**。
1. 通过选择右侧的刷新图标来刷新策略列表。
1. 在**搜索**中,输入 **QuicksightOktaFederatedPolicy**。选择要将其启用的策略(![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/checkbox-on.png))。
如果您不想使用自动预置,可以跳过以下步骤。
要添加 Amazon Quick 用户,请使用[注册用户。](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)要添加 Amazon Quick 群组,请使用[创建](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html)群组。要将用户添加到 Amazon Quick 群组,请使用[create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html)。
1. (可选)在**搜索**中,输入 **QuicksightCreateReader**。选择要将其启用的策略(![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/checkbox-on.png))。
如果您想自动配置 Amazon Quick 用户,而不是使用 Amazon Quick API,请执行此步骤。
`QuicksightCreateReader` 策略通过允许使用 `quicksight:CreateReader` 操作来激活自动预置。这样做会向首次使用的用户授予控制面板订阅用户(读者级别)的访问权限。Amazon Quick 管理员稍后可以从 Amazon Quick 个人资料菜单 “**管理 Amazon Quick**”、“**管理用户**” 中对其进行升级。
1. 要继续附加 IAM 策略,请选择**下一步:标签**。
1. 选择**下一步:审核**。
1. 对于**角色名称**,输入 **QuicksightOktaFederatedRole**,然后选择**创建角色**。
1. 执行以下步骤,验证您是否成功完成了此操作:
1. 返回 IAM 控制台的主页,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您可以使用浏览器的**返回**按钮。
1. 选择**角色**。
1. 在**搜索**中,输入 Okta。**QuicksightOktaFederatedRole**从搜索结果中选择。
1. 在策略的**摘要**页面上,查看**权限**选项卡。验证该角色是否具有您附加的一个或多个策略。它应该具有 `QuicksightOktaFederatedPolicy`。如果您选择添加创建用户的功能,它还应具有 `QuicksightCreateReader`。
1. 使用 ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/caret-right-filled.png) 图标打开每个策略。验证文本是否与此过程中显示的内容相匹配。仔细检查您是否添加了自己的 AWS 账户 号码来代替示例账号 111111111111。
1. 在**信任关系**选项卡上,验证**受信任实体**字段是否包含身份提供者的 ARN。您可以通过打开**身份提供者**、**Okta**,在 IAM 控制台中仔细检查 ARN。
**创建 Okta 的访问密钥**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 添加允许 Okta 向用户显示 IAM 角色列表的策略。为此,依次选择**策略**、**创建策略**。
1. 选择 **JSON**,然后输入以下策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. 选择 **Review Policy (查看策略)**。
1. 对于 **Name (名称)**,请输入 **OktaListRolesPolicy**。然后选择**创建策略**。
1. 添加用户,这样您就可以向 Okta 提供访问密钥。
在导航窗格中,依次选择**用户**、**添加用户**。
1. 使用以下设置:
+ 对于**用户名**,输入 `OktaSSOUser`。
+ 对于**访问类型**,启用**编程访问**。
1. 选择**下一步:权限**。
1. 选择**直接附上现有策略**。
1. 在 “**搜索**” 中**OktaListRolesPolicy**,输入并**OktaListRolesPolicy**从搜索结果中进行选择。
1. 依次选择 **Next: Tags**(下一步:标签)和 **Next: Review**(下一步:查看)。
1. 选择**创建用户**。现在您可以获取访问密钥了。
1. 选择**下载 .csv**,下载密钥文件。该文件包含与此屏幕上显示的相同访问密钥 ID 和秘密访问密钥。但是,由于 AWS 不会再次显示此信息,因此请务必下载该文件。
1. 通过执行以下操作来验证您是否正确完成了此步骤:
1. 打开 IAM 控制台,选择**用户**。搜索 O **kta SSOUser**,然后从搜索结果中选择用户名将其打开。
1. 在 “**权限**” 选项卡上,确认**OktaListRolesPolicy**已附加。
1. 使用 ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/images/caret-right-filled.png) 图标打开策略。验证文本是否与此过程中显示的内容相匹配。
1. 在**安全凭证**选项卡上,您可以检查访问密钥,尽管您已经下载了该访问密钥。当您需要新的访问密钥时,可以返回此选项卡来创建访问密钥。
在以下步骤中,您将返回 Okta 以提供访问密钥。访问密钥可与您的新安全设置配合使用,允许 AWS 与 Okta IdP 配合使用。
**使用设置完成 Okta 应用程序的 AWS 配置**
1. 返回您的 Okta 控制面板。如果要求这样做,请登录。如果开发人员控制台无法再打开,请选择**管理员**将其重新打开。
1. 如果您必须重新打开 Okta,可以按照以下步骤返回本部分:
1. 登录 Okta。选择**应用程序**。
1. 选择**AWS 账户联合-Amazon Quick**,这是您在本教程开头创建的应用程序。
1. 选择**常规**和**移动**之间的**登录**选项卡。
1. 滚动到**高级登录设置**。
1. 对于**身份提供者 ARN(仅适用于 SAML IAM 联合身份验证)**,请输入前一过程中的提供者 ARN,例如:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. 选择**完成**或**保存**。按钮的名称会有所不同,具体取决于您是在创建还是在编辑应用程序。
1. 选择**预置**选项卡,然后在该选项卡的下半部分,选择**配置 API 集成**。
1. 开启**启用 API 集成**,显示设置。
1. 对于**访问密钥**和**私有密钥**,请提供您之前下载到名为 **OktaSSOUser**`_credentials.csv` 的文件中的访问密钥和私有密钥。
1. 选择**测试 API 凭证**。在**启用 API 集成**设置的上方,查看一条确认 **AWS 账户联合身份验证已成功验证**的消息。
1. 选择**保存**。
1. 确保左侧突出显示**到应用程序**,然后在右侧选择**编辑**。
1. 对于**创建用户**,开启**启用**选项。
1. 选择**保存**。
1. 在**分配**选项卡上的**预置**和**导入**旁边,选择**分配**。
1. 执行以下一项或多项操作,启用联合访问:
+ 要与个人用户合作,请选择**分配给人员**。
+ 要与 IAM 组合作,请选择**分配给组**。您可以选择特定的 IAM 组或**所有人(组织中的所有用户)**。
1. 对于每个 IAM 用户或组,执行以下操作:
1. 选择**分配**、**角色**。
1. **QuicksightOktaFederatedRole**从 IAM 角色列表中选择。
1. 对于 **SAML 用户角色**,请启用**QuicksightOktaFederatedRole**。
1. 选择**保存并返回**,然后选择**完成**。
1. 通过选择左侧的**人员**或**组**筛选条件,选中您输入的用户或组,验证您是否正确完成了此步骤。如果由于您创建的角色未出现在列表中而无法完成此过程,请返回之前的过程来验证设置。
**使用 Okta(向服务提供商登录 IdP)快速登录 Amazon Quick**
1. 如果您使用的是 Okta 管理员账户,请切换到用户模式。
1. 使用已被授予联合访问权限的用户登录您的 Okta 应用程序控制面板。您应该会看到一个带有您标签的新应用程序,例如**AWS 账户联合——Amazon Quick**。
1. 选择应用程序图标以启动 “**AWS 账户联合-Amazon Quick**”。
现在,您可以使用 Okta 管理身份,也可以通过 Quick 使用联合访问权限。
以下过程是本教程的可选部分。如果您按照其步骤操作,即授权 Amazon Quick 代表您的用户向 IdP 转发授权请求。使用这种方法,用户无需先使用 IdP 页面登录即可登录 Amazon Quick。
**(可选)设置 Amazon Quick 以向 Okta 发送身份验证请求**
1. 打开 Amazon Quick,然后从个人资料菜单中选择 “**管理亚马逊快速**”。
1. 从导航窗格中选择**单点登录(IAM 联合身份验证)**。
1. 在**配置** **IdP 网址**中,输入您的 IdP 提供的用于对用户进行身份验证的网址,例如 https://dev-.okta。*1-----0* com/home/amazon\$1aws/ *0oabababababaGQei5d5/282*。您可以在 Okta 应用程序页面的**常规**选项卡的**嵌入链接**中找到它。
1. 对于 **IdP URL**,请输入 `RelayState`。
1. 请执行以下操作之一:
+ 要先使用您的身份提供者测试登录,请使用**使用您的 IdP 开始测试**中提供的自定义 URL。您应该到达 Amazon Quick 的起始页面,例如 https://quicksight.aws.amazon.com/sn/开始。
+ 要先测试使用 Amazon Quick 登录,请使用**测试 end-to-end体验**中提供的自定义 URL。该 `enable-sso` 参数将附加到 URL 中。如果是 `enable-sso=1`,IAM 联合身份验证会尝试进行身份验证。如果是`enable-sso=0`,Amazon Quick 就不会发送身份验证请求,而你则像以前一样登录 Amazon Quick。
1. 对于**状态**,请选择**开启**。
1. 选择**保存**,保存您的设置。
您可以创建指向 Amazon Quick 控制面板的深度链接,以允许用户使用 IAM 联合身份直接连接到特定的控制面板。为此,您需要将中继状态标志和控制面板 URL 附加到 Okta 单点登录 URL,如下所述。
**创建指向 Amazon Quick 控制面板的深度链接以进行单点登录**
1. 在教程开头处下载的 `metadata.xml` 文件中找到 Okta 应用程序的单点登录(IAM 联合身份验证)URL。您可以在文件底部附近的名为 `md:SingleSignOnService` 的元素中找到 URL。此属性命名为 `Location`,值以 `/sso/saml` 结尾,如以下示例所示。
```
```
1. 获取 IAM 联合 URL 的值,`?RelayState=`然后附加您的 Amazon Quick 控制面板的 URL。`RelayState` 参数会中继用户被重定向到身份验证 URL 时所处的状态(URL)。
1. 在添加了中继状态的新 IAM 联合体中,附加您的 Amazon Quick 控制面板的 URL。结果 URL 应与以下内容类似。
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. 如果您创建的链接打不开,请检查您使用的是否是来自 `metadata.xml` 的最新 IAM 联合身份验证 URL。另请检查您用于登录的用户名是否未分配到多个 IAM 联合身份验证 Okta 应用程序中。
# 在 Amazon Quick Enterprise 版中使用
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
Amazon Quick Enterprise 版同时支持 [Microsoft Active Directory 的AWS[目录服务](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)和 Ac
要创建新目录作为 Quick 的身份管理器,请使用 AWS Directory Service for Microsoft Active Directory,也称为 AWS Managed Microsoft AD。这是在 AWS 云中托管的 Active Directory,它提供的大部分功能与 Active Directory 相同。目前,您可以连接到 Amazon Quick 支持的任何 AWS 地区的活动目录,亚太地区(新加坡)除外。创建目录后,您将它与 Virtual Private Cloud (VPC) 一起使用。有关更多信息,请参阅 [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html)。
如果您有要用于 Quick 的现有目录,则可以使用 Active Directory Connector。此服务将目录请求重定向到您的 Active Directory(位于其他目录 AWS 区域 或本地),而无需在云中缓存任何信息。
有关使用创建和管理目录的演练,请参阅将[AWS 托管 Microsoft AD 与 Quick 一起使用](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/)? AWS Managed Microsoft AD在 AWS 知识中心中。
使用 AWS Directory Service 启动目录时, AWS 会创建一个与您的域同名的组织单位 (OU)。 AWS 还会为 OU 创建具有委托管理权限的管理帐户。您可以使用 Active Directory 用户和组,在 OU 中创建账户、组和策略。有关更多信息,请参阅《*目录服务[AWS 管理指南》中的 Microsoft AD 托管 AD 的最佳实践](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html)。*
建立目录后,您可以通过为用户创建群组将其与 Quick 配合使用。Amazon Quick 有六个可以分配的特定用户角色,包括提供高级功能访问权限的专业版:
+ **快速管理员-管理员**可以更改账户设置,管理账户。管理员还可以购买额外的 Amazon Quick 用户订阅或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,或者为您 AWS 账户取消对 Amazon Quick 的订阅。Admin Pro 用户还拥有其他功能,包括使用自然语言创建内容、构建知识库、配置操作和访问高级自动化工作流程。
+ **快速作者** — Amazon Quick 作者可以创建数据源、数据集、分析和控制面板。他们可以与其他 Amazon Quick 用户共享分析和控制面板。此外,Author Pro 用户还可以使用自然语言创建内容、构建知识库、配置操作和访问高级自动化功能。
+ **快速阅读器**-读者可以查看其他人创建的仪表板并与之交互。Reader Pro 用户可以访问高级功能,包括 AI 聊天代理、协作空间、流程和扩展程序。
您可以通过应用 IAM 策略来添加或细化访问。例如,您可以使用 IAM 策略来允许用户订阅本身。
当您订阅 Amazon Quick Enterprise 版并选择 Active Directory 作为身份提供商时,您可以将广告组与 Amazon Quick 关联起来。您也可以在以后添加或更改您的 AD 组。
**Topics**
+ [目录与 Quick 企业版集成](#directory-integration)
## 目录与 Quick 企业版集成
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员 |
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
Quick Enterprise 支持以下选项:
+ AWS Directory Ser
+ AWS 带有 AD Connector 的目录服务
+ 本地 Active Directory 与 IAM 联合身份验证或 AD Connector
+ 使用 AWS IAM Identity Center 或其他第三方联合身份验证服务的 IAM 联合
如果您想将 IAM 联合与本地 Active Directory 一起使用,则可以将 AWS 目录服务实现为与本地 Active Directory 具有信任关系的单独活动目录。
如果您希望避免使用信任关系,您可以在 AWS中部署独立域以进行身份验证。然后,您可以在 Active Directory 中创建用户和组。然后,您可以在 Quick 中将其映射到用户和群组。在此示例中,用户使用其 Active Directory 登录凭证进行身份验证。要让 Quick 的访问权限对您的用户透明,请在此场景中使用 IAM 联合。
# 在 Amazon Quick 中使用多重身份验证 (MFA)
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
**重要**
Amazon Quick 建议您将新的快速订阅与 IAM 身份中心集成以进行身份管理。本 IAM 联合身份验证用户指南是作为现有账户配置的参考提供的。有关将您的 Quick 账户与 IAM Identity Center 集成的更多信息,请参阅[使用 IAM 身份中心配置您的快速账户](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)。
**注意**
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。
您可以通过多种方式将多因素身份验证 (MFA) 与 Quick 配合使用。您可以将其与 AWS Identity and Access Management (IAM) 一起使用。你可以将其与 AD Connector 或微软 Active Directory 的[AWS 目录服务](https://aws.amazon.com/directoryservice/)(也称为微软 Active Directory 或 AWS 托管 AWS 微软 Active Directory)一起使用。而且,如果您使用外部身份提供商 (IdP),则 AWS 无需拥有任何有关 MFA 的信息,因为这是 IdP 处理的身份验证的一部分。
有关更多信息,请参阅下列内容:
+ 《IAM 用户指南》中的[在 AWS中使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ 在《 AWS Directory Service 管理指南》中@@ [为 AWS 托管 Microsoft AD 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html)
+ 《 AWS Directory Service Administration Guide》中的 [Enable Multi-Factor Authentication for AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)
如果您是开发人员,请参阅以下内容:
+ [https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/)
+ 《IAM 用户指南》中的[配置受 MFA 保护的 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)