本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Amazon Quick 的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管策略: AWSQuickSightElasticsearchPolicy](#security-iam-quicksight-AWSQuickSightElasticsearchPolicy)
+ [AWS 托管策略: AWSQuickSightOpenSearchPolicy](#security-iam-quicksight-AWSQuickSightOpenSearchPolicy)
+ [AWS 托管策略: AWSQuickSightSageMakerPolicy](#security-iam-quicksight-AWSQuickSightSageMakerPolicy)
+ [AWS 托管策略: AWSQuickSightAssetBundleExportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleExportPolicy)
+ [AWS 托管策略: AWSQuickSightAssetBundleImportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleImportPolicy)
+ [Amazon AWS 托管政策的快速更新](#security-iam-quicksight-updates)
## AWS 托管策略: AWSQuickSightElasticsearchPolicy
提供此信息仅用于向后兼容。`AWSQuickSightOpenSearchPolicy` AWS 托管策略取代`AWSQuickSightElasticsearchPolicy` AWS 托管策略。
以前,您使用`AWSQuickSightElasticsearchPolicy` AWS 托管策略来提供从 Amazon Quick 访问亚马逊 Elasticsearch Service 资源的权限。从 2021 年 9 月 7 日或之后,亚马逊 Elasticsearch 服务更名为亚马逊服务。 OpenSearch
无论您在何处使用`AWSQuickSightElasticsearchPolicy`,都可以更新到所调用的新 AWS 托管策略`AWSQuickSightOpenSearchPolicy`。可以将 策略附加到您的 IAM 实体。Amazon Quick 还将该政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。 `AWSQuickSightElasticsearchPolicy`仍然可用,截至 2021 年 8 月 31 日,其权限与新政策相同。但是`AWSQuickSightElasticsearchPolicy`,不再保留 up-to-date最新更改。
该策略授予只读权限,允许访问来自 Amazon Quick 的资源 OpenSearch (以前称为 Elasticsearch)。
**权限详细信息**
该策略包含以下权限:
+ `es`— 允许委托人使用`es:ESHttpGet`访问您的 OpenSearch (以前称为 Elasticsearch)域名、集群设置和索引。这是使用 Amazon Quick 提供的搜索服务所必需的。
+ `es`— 允许委托人使用`es:ListDomainNames`列出您的 OpenSearch (以前称为 Elasticsearch)域名。这是通过 Amazon Quick 启动对搜索服务的访问所必需的。
+ `es`— 允许委托人使用`es:DescribeElasticsearchDomain`搜索您的 OpenSearch(以前称为 Elasticsearch)域名。这是使用 Amazon Quick 提供的搜索服务所必需的。
+ `es`— 允许委托人使用`es:ESHttpPost`和`es:ESHttpGet`处理您的 OpenSearch (以前称为 Elasticsearch)域名。这是使用对来自 Amazon Quick 的搜索服务域具有只读访问权限的 SQL 插件所必需的。
有关此 IAM 策略内容的信息,请参阅 IAM 控制台[AWSQuickSightElasticsearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightElasticsearchPolicy$jsonEditor)中的。
## AWS 托管策略: AWSQuickSightOpenSearchPolicy
使用`AWSQuickSightOpenSearchPolicy` AWS 托管策略提供从 Amazon Quick 访问亚马逊 OpenSearch 服务资源的权限。 `AWSQuickSightOpenSearchPolicy`取代`AWSQuickSightElasticsearchPolicy`。截至 2021 年 8 月 31 日,该策略的权限与旧版策略 `AWSQuickSightElasticsearchPolicy` 相同。现在,您可以互换使用它们。从长远来看,我们建议将您的策略使用情况更新为 `AWSQuickSightOpenSearchPolicy`。
您可以将 `AWSQuickSightOpenSearchPolicy` 附加到 IAM 实体。Amazon Quick 还将此政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。
此策略授予只读权限,允许访问来自 Amazon Quick 的 OpenSearch 资源。
**权限详细信息**
该策略包含以下权限:
+ `es`— 允许委托人使用`es:ESHttpGet`访问您的 OpenSearch 域名、集群设置和索引。这是使用 Amazon Quick OpenSearch 提供的亚马逊服务所必需的。
+ `es`— 允许委托人使用列`es:ListDomainNames`出您的 OpenSearch 域名。这是从 Amazon Quick 开始访问亚马逊 OpenSearch 服务所必需的。
+ `es`— 允许委托人使用`es:DescribeElasticsearchDomain`和搜索`es:DescribeDomain`您的 OpenSearch 域名。这是使用 Amazon Quick OpenSearch 提供的亚马逊服务所必需的。
+ `es`— 允许委托人使用`es:ESHttpPost`和`es:ESHttpGet`处理您的 OpenSearch 域名。这是使用具有从 Amazon Quick 访问亚马逊 OpenSearch 服务域名只读权限的 SQL 插件所必需的。
有关此 IAM 策略内容的信息,请参阅 IAM 控制台[AWSQuickSightOpenSearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightOpenSearchPolicy$jsonEditor)中的。
## AWS 托管策略: AWSQuickSightSageMakerPolicy
使用`AWSQuickSightSageMakerPolicy` AWS 托管策略提供从 Amazon Quick 访问亚马逊 A SageMaker I 资源的权限。
您可以将 `AWSQuickSightSageMakerPolicy` 附加到 IAM 实体。Amazon Quick 还将此政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。
该策略授予只读权限,允许从 Amazon Quick 访问 Amazon A SageMaker I 资源。
要查看`AWSQuickSightSageMakerPolicy`,请参阅[AWS 托管策略参考[AWSQuickSightSageMakerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightSageMakerPolicy.html)](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)中的。
**权限详细信息**
该策略包含以下权限:
+ `sagemaker` – .
+ `s3`— 允许委托人在所有以前缀开头的 Amazon S3 存储桶`s3:GetObject`上使用`arn:aws:s3:::sagemaker.*`来访问存储在 SageMaker AI 默认存储桶中的数据。这是将从 Amazon A SageMaker I Canvas 共享的模型加载到默认的亚马逊 AI Canv SageMaker as Amazon S3 存储桶所必需的。
+ `s3` – 允许主体使用 `s3:PutObject` 将对象导出到 Amazon S3 存储桶。这是支持从 Amazon Quick 到 Amazon A SageMaker I Canvas 的现有数据集来构建预测模型所必需的。
+ `s3`— 允许委托人使用`s3:ListBucket`允许 Amazon Quick 验证亚马逊 S3 中现有的 Amazon SageMaker AI Canvas 存储桶。这是允许将数据从 Amazon Quick 导出到 Amazon A SageMaker I Canvas 以构建预测模型所必需的。
+ `s3`— 允许委托人在 Amazon Quick 拥有的以前缀开头的所有 Amazon S3 存储桶`s3:GetObject`上使用。`arn:aws:s3:::quicksight-ml`这是允许 Amazon Quick 访问由 Amazon A SageMaker I Canvas 生成的预测所必需的。生成的预测可以附加到 Amazon Quick 数据集中。
+ `sagemaker`— 允许委托人代表您使用`sagemaker:CreateTransformJob``sagemaker:DescribeTransformJob`、和`sagemaker:StopTransformJob`执行 SageMaker AI 转换作业。Amazon Quick 请求可附加到 Amazon Quick 数据集 SageMaker 的人工智能模型的预测是必需的。
+ `sagemaker`— 允许委托人使用列`sagemaker:ListModels`出你的 SageMaker AI 模型。这是允许生成的 SageMaker AI 模型显示在 Amazon Quick 中所必需的。
## AWS 托管策略: AWSQuickSightAssetBundleExportPolicy
使用`AWSQuickSightAssetBundleExportPolicy` AWS 托管策略执行资产包导出操作。您可以将 `AWSQuickSightAssetBundleExportPolicy` 附加到 IAM 实体。
此策略授予只读权限,允许访问 Amazon Quick 资产资源。要查看此策略的详细信息,请参阅 AWS 托管策略参考[AWSQuickSightAssetBundleExportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleExportPolicy.html)中的。
该策略包含以下权限:
+ `quicksight`— 允许委托人使用`quicksight:Describe*`、查找和`quicksight:List*`提取 Amazon Quick 资产及其相应的权限。
+ `quicksight`— 允许委托人使用`quicksight:ListTagsForResource`来获取 Amazon Quick 资产的标签。
+ `quicksight` – 允许主体列出、执行和获取资产包导出作业的状态。此策略使用 `quicksight:ListAssetBundleExportJob`、`StartAssetBundleExportJob` 和 `quicksight:DescribeAssetBundleExportJob` 权限。
## AWS 托管策略: AWSQuickSightAssetBundleImportPolicy
使用`AWSQuickSightAssetBundleImportPolicy` AWS 托管策略执行资产包导入操作。此托管策略不授予使用某些 VPC 连接和 DataSource 操作所需的任何 run-as-role功能的权限。`iam:passrole`此策略也不授予从用户 Amazon S3 存储桶检索对象的访问权限。
您可以将 `AWSQuickSightAssetBundleImportPolicy` 附加到 IAM 实体。该政策授予允许访问 Amazon Quick 资源的读写权限。要查看此策略的详细信息,请参阅 AWS 托管策略参考[AWSQuickSightAssetBundleImportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleImportPolicy.html)中的。
该策略包含以下权限:
+ `quicksight`— 允许委托人使用`quicksight:Describe*`和`quicksight:List*`检测 Amazon Quick 资产及其权限的变化。
+ `quicksight`— 允许委托人使用`quicksight:Create*`和`quicksight:Update*`更改所提供资产包中的 Amazon Quick 资产和权限。
+ `quicksight`— 允许委托人使用`quicksight:ListTagsForResource``quicksight:TagResource`、和`quicksight:UntagResource`更新 Amazon Quick 资产的标签。
+ `quicksight` – 允许主体列出、执行和获取资产包导入作业的状态。此策略使用 `quicksight:ListAssetBundleImportJob`、`quicksight:StartAssetBundleImportJob` 和 `quicksight:DescribeAssetBundleImportJob` 权限。
## Amazon AWS 托管政策的快速更新
查看自该服务开始跟踪这些更改以来对 Amazon Quick AWS 托管政策的更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 [Amazon 快速文档历史记录](doc-history.md)页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| `AWSQuickSightAssetBundleExportPolicy` - 新策略 | Amazon Quick 添加了新的权限以简化资产捆绑包导出操作。 | 2024 年 3 月 27 日 |
| `AWSQuickSightAssetBundleImportPolicy`:新策略 | Amazon Quick 添加了新的权限,以简化资产捆绑包的导入操作。 | 2024 年 3 月 27 日 |
| `AWSQuickSageMakerPolicy`:对现有策略的更新 | Amazon Quick 添加了新的权限,允许与亚马逊 A SageMaker I Canvas 集成。 | 2023 年 7 月 25 日 |
| `AWSQuickSightElasticsearchPolicy`:对现有策略的更新 | Amazon Quick 添加了新的权限以提供对亚马逊 OpenSearch 服务资源的访问权限。 | 2021 年 9 月 8 日 |
| `AWSQuickSightOpenSearchPolicy`:新策略 | Amazon Quick 添加了一项新政策,允许从 Quick 访问亚马逊 OpenSearch 服务资源。 | 2021 年 9 月 8 日 |
| Amazon 快速开始追踪变更 | Amazon Quick 开始跟踪其 AWS 托管策略的变更。 | 2021 年 8 月 2 日 |