本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 IAM 角色传递给快速套件
| 适用于:企业版 |
当您的 IAM 用户注册 Quick Suite 时,他们可以选择使用 Amazon Quick Suite 管理的角色(这是默认角色)。或者他们可以将现有 IAM 角色传递给 Amazon Quick Suite。
使用以下部分将现有 IAM 角色传递给 Amazon Quick Suite
先决条件
为了让您的用户将 IAM 角色传递给 Amazon Quick Suite,您的管理员需要完成以下任务:
-
创建一个 IAM 角色。有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色。
-
为您的 IAM 角色附加信任策略,允许 Amazon Quick Suite 代入该角色。使用以下示例为角色创建信任策略。以下示例信任策略允许 Quick Suite 委托人代入其所关联的 IAM 角色。
有关创建 IAM 信任策略并将其附加到角色的详细信息,请参阅《IAM 用户指南》中的修改角色(控制台)。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
向您的管理员(IAM 用户或角色)分配以下 IAM 权限:
-
quicksight:UpdateResourcePermissions— 这授予身为 Amazon Quick Suite 管理员的 IAM 用户更新亚马逊 Quick Suite 中的资源级权限的权限。有关 Amazon Quick Suite 定义的资源类型的更多信息,请参阅 IAM 用户指南中的 Quick Suite 的操作、资源和条件键。 -
iam:PassRole— 这授予用户将角色传递给 Amazon Quick Suite 的权限。有关更多信息,请参阅 IAM 用户指南中的授予用户向 AWS 服务传递角色的权限。 -
iam:ListRoles—(可选)这授予用户查看 Amazon Quick Suite 中现有角色列表的权限。如果未提供此权限,则他们可以通过 ARN 来使用现有 IAM 角色。
以下是 IAM 权限策略示例,该策略允许在 Quick Suite 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }有关可用于 Amazon Quick Suite 的 IAM 策略的更多示例,请参阅亚马逊 Quick S uite 的 IAM 策略示例。
-
有关为用户或用户组分配权限策略的详细信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限。
附加其他策略
如果您使用的是其他 AWS 服务,例如 Amazon Athena 或 Amazon S3,则可以创建权限策略,授予 Amazon Quick Suite 执行特定操作的权限。然后,您可以将该策略附加到稍后传递给 Amazon Quick Suite 的 IAM 角色。以下是如何设置其他权限策略并将其附加到您的 IAM 角色的示例。
有关雅典娜中亚马逊 Quick Suite 的托管策略示例,AWSQuicksightAthenaAccess 请参阅《亚马逊 A thena 用户指南》中的托管策略。IAM 用户可以使用以下 ARN 在 Amazon Quick Suite 中访问此角色:。arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess
以下是 Amazon S3 中 Amazon Quick Suite 的权限策略示例。有关在 Amazon S3 中使用 IAM 的更多信息,请参阅《Amazon S3 用户指南》中的 Amazon S3 中的身份和访问管理。
有关如何创建从 Amazon Quick Suite 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限的信息,请参阅如何设置从 Quick Suite 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
在快速套件中使用现有的 IAM 角色
如果您是 Amazon Quick Suite 管理员并且有权更新 Amazon Quick Suite 资源并传递 IAM 角色,则可以使用 Amazon Quick Suite 中的现有 IAM 角色。要详细了解在 Amazon Quick Suite 中传递 IAM 角色的先决条件,请参阅前面列表中列出的先决条件。
使用以下过程学习如何在 Amazon Quick Suite 中传递 IAM 角色。
在 Amazon Quick Suite 中使用现有 IAM 角色
-
在 Amazon Quick Suite 中,在右上角的导航栏中选择您的账户名称,然后选择管理 QuickSight。
-
在打开的 “管理 Amazon Quick Suite” 页面上,在左侧菜单中选择 “安全和权限”。
-
在打开的 “安全与权限” 页面中,在 “Amazon Quick Suite AWS 服务访问权限” 下,选择 “管理”。
-
对于 IAM 角色,选择使用现有角色,然后执行以下操作之一:
-
从列表中选择要使用的角色。
-
或者,如果您没有看到现有 IAM 角色的列表,则可以按以下格式输入角色的 IAM ARN:
arn:aws:iam::。account-id:role/path/role-name
-
-
选择保存。
