View a markdown version of this page

步骤 1:设置权限 - Amazon Quick

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:设置权限

重要

Amazon Quick Sight 推出了用于嵌入分析的新 API:GenerateEmbedUrlForAnonymousUserGenerateEmbedUrlForRegisteredUser

您仍然可以使用GetDashboardEmbedUrlGetSessionEmbedUrl API 来嵌入仪表板和 Amazon Quick Sight 控制台,但它们不包含最新的嵌入功能。有关最新的嵌入体验,请参阅将 Amazon Quick Sight 分析嵌入到您的应用程序中。

在下节中,您可以了解如何设置后端应用程序或 Web 服务器的权限。该任务需要具有 IAM 的管理访问权限。

每个访问 Amazon Quick Sight 的用户都扮演一个角色,该角色授予他们 Amazon Quick Sight 访问权限和控制台会话权限。为此,请在您的 AWS 账户中创建一个 IAM 角色。将一个 IAM 策略与该角色相关联,以便为担任该角色的任何用户提供权限。添加quicksight:RegisterUser权限以确保读者能够以只读方式访问 Amazon Quick Sight,并且无法访问任何其他数据或创建功能。IAM 角色还需要提供检索控制台会话 URL 的权限。为此,请添加 quicksight:GetSessionEmbedUrl

以下示例策略提供了可用于 IdentityType=IAM 的这些权限。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

以下示例策略提供了检索控制台会话 URL 的权限。如果您在用户访问嵌入式会话之前创建用户,则可以使用不具有 quicksight:RegisterUser 的策略。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

如果您使用 QUICKSIGHT 作为您的 identityType,并提供用户的 Amazon 资源名称(ARN),则还需要在策略中允许 quicksight:GetAuthCode 操作。以下示例策略提供了此权限。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

您应用程序的 IAM 身份必须具有关联的信任策略,才允许访问您刚创建的角色。这意味着,当用户访问您的应用程序时,您的应用程序可以代表用户担任该角色并在 Amazon Quick Sight 中配置用户。以下示例显示了一个名为 embedding_quicksight_console_session_role 的角色,该角色将前面的示例策略作为其资源。

有关 OpenId Connect 或 SAML 身份验证的信任策略的更多信息,请参阅 IAM 用户指南 的以下部分: