本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务控制策略限制 Amazon Quick Suite 的注册选项
如果您是中的管理员 AWS Organizations,则可以使用服务控制策略 (SCPs) 来限制组织中的个人注册 Amazon Quick Suite 的方式。您可以限制他们可以注册的 Quick Suite 版本,也可以限制他们可以注册的用户类型。
AWS Organizations 是一项用户帐户管理服务,可用于将多个 AWS 账户整合到一个由您创建和集中管理的组织中。您可以在 SCPs中使用 AWS Organizations 来管理组织中的权限。有关更多信息,请参阅什么是 AWS Organizations? 和《AWS Organizations 用户指南》中的服务控制策略。
在以下主题中,您可以了解使用 SCPs 中的两种限制 Quick Suite 注册选项的方法。 AWS Organizations该主题包括一个示例 SCP。要了解有关创建的更多信息 SCPs,请参阅《AWS Organizations 用户指南》中的以下主题:
限制 Quick Suite 版本
要限制您的托管账户可以注册的 Quick Suite 版本,请使用您的 SCP 中的quicksight:Edition条件密钥。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
亚马逊 Quick Suite 标准版 |
|
|
亚马逊 Quick Suite 企业版 |
限制用户管理选项
要限制组织中的个人可用于注册 Quick Suite 的用户管理选项,请在 SCP 中使用quicksight:DirectoryType条件键。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
IAM 联合身份和 Amazon Quick Suite 管理的用户 |
|
|
仅 IAM 联合身份 |
|
|
|
在 Microsoft 活动目录中管理的用户 AWS Directory Service for Microsoft Active Directory |
|
|
|
用户在本地活动目录中进行管理并通过 AD_Connector 连接到 AWS Directory Service for Microsoft Active Directory |
|
|
|
在与 IAM 身份中心集成的 Amazon Quick Suite 账户中管理的用户。 |
示例 SCP
以下 Quick Suite 示例显示了一项服务控制策略,该策略拒绝注册 Amazon Quick Suite 标准版,并禁止使用 IAM Identity Center 身份验证进行注册。除了前面描述的条件键外,该策略还使用 quicksight:Subscribe 操作。有关用于 IAM 权限策略的 Amazon Quick Suite 专用密钥列表,请参阅《服务授权参考》中的 Qu ick Suite 的操作、资源和条件密钥。
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "quicksight:DirectoryType": [ "iam_identity_center" ] } } }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "quicksight:Edition": "standard" } } } ] }
此政策生效后,组织中的个人只能注册 Amazon Quick Suite 企业版,并且必须使用 IAM Identity Center 以外的身份验证方法。如果他们尝试注册 Amazon Quick Suite 标准版或尝试使用 IAM Identity Center 身份验证,他们将被限制注册并收到一条说明他们没有适当权限的消息。
