本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将快速套件与 IAM 配合使用
| 适用于:企业版和标准版 |
| 目标受众:系统管理员 |
在使用 IAM 管理对 Amazon Quick Suite 的访问权限之前,您应该了解有哪些 IAM 功能可用于亚马逊 Quick Suite。要全面了解 Amazon Quick Suite 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM 用户指南中的与 IAM 配合使用的AWS 服务。
Amazon Quick Suite 政策(基于身份)
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Quick Suite 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》 中的 IAM JSON 策略元素参考。
您可以使用 AWS 根证书或 IAM 用户证书创建 Amazon Quick Suite 账户。 AWS 根凭证和管理员凭证已经拥有管理 Amazon Quick Suite AWS 资源访问权限所需的所有权限。
不过,我们强烈建议您保护根凭证,因此请使用 IAM 用户凭证。为此,您可以创建策略并将其附加到计划用于 Amazon Quick Suite 的 IAM 用户和角色。该策略必须包括您需要执行的 Amazon Quick Suite 管理任务的相应声明,如以下各节所述。
重要
在使用 Quick Suite 和 IAM 策略时,请注意以下几点:
-
避免直接修改由 Quick Suite 创建的策略。当你自己修改它时,Quick Suite 无法对其进行编辑。无法编辑可能会导致策略出现问题。要修复此问题,请删除之前修改过的策略。
-
如果您在尝试创建 Amazon Quick Suite 账户时遇到权限错误,请参阅 IAM 用户指南中的 A mazon Quick Suite 定义的操作。
-
在某些情况下,您可能有一个 Amazon Quick Suite 账户,即使是根账户也无法访问该账户(例如,如果您不小心删除了其目录服务)。在这种情况下,您可以删除旧的 Amazon Quick Suite 账户,然后重新创建该账户。有关更多信息,请参阅删除您的 Amazon Quick Suite 订阅并关闭账户。
操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon Quick Suite 中的策略操作在操作前使用以下前缀:quicksight:. 例如,要授予某人通过 Amazon EC2 RunInstances API 操作运行亚马逊 EC2 实例的权限,您需要将该ec2:RunInstances操作包含在他们的策略中。策略语句必须包含 Action 或 NotAction 元素。Amazon Quick Suite 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
"Action": [ "quicksight:action1", "quicksight:action2"]
您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Create 开头的所有操作,包括以下操作:
"Action": "quicksight:Create*"
Amazon Quick Suite 提供了许多 AWS Identity and Access Management (IAM) 操作。所有 Amazon Quick Suite 操作都带有前缀quicksight:,例如quicksight:Subscribe。有关在 IAM 策略中使用 Amazon Quick Suite 操作的信息,请参阅亚马逊 Quick Suite 的 IAM 策略示例。
要查看 Amazon Quick Suite 操作的最多 up-to-date列表,请参阅 IAM 用户指南中的 A mazon Quick Suite 定义的操作。
Resources(资源)
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
Resource JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 Amazon 资源名称(ARN)指定资源。对于不支持资源级权限的操作,请使用通配符(*)来指示此语句应用于所有资源。
"Resource": "*"
下面是一个示例策略。这意味着只要添加到组中的用户名不是 user1,附加该策略的调用方就能够在任意组上调用 CreateGroupMembership 操作。
{ "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } }
某些 Amazon Quick Suite 操作(例如用于创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (*)。
"Resource": "*"
一些 API 操作涉及多种资源。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
"Resource": [ "resource1", "resource2"
要查看 Amazon Quick Suite 资源类型列表及其亚马逊资源名称 (ARNs),请参阅 IAM 用户指南中的 A mazon Quick Suite 定义的资源。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 A mazon Quick Suite 定义的操作。
条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
Condition 元素指定语句何时根据定义的标准执行。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。
Amazon Quick Suite 不提供任何特定于服务的条件密钥,但它确实支持使用一些全局条件密钥。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。
示例
要查看 Amazon Quick Suite 基于身份的策略示例,请参阅亚马逊 Quick Suite 政策(基于身份)。
Amazon Quick Suite 政策(基于资源)
Amazon Quick Suite 不支持基于资源的策略。但是,您可以使用 Amazon Quick Suite 控制台来配置对您中其他 AWS 资源的访问权限 AWS 账户。
基于亚马逊 Quick Suite 标签的授权
Amazon Quick Suite 不支持为资源添加标签或根据标签控制访问权限。
Amazon 快速套件 IAM 角色
I AM 角色是您的 AWS 账户中具有特定权限的实体。您可以使用 IAM 角色将权限组合在一起,以便更轻松地管理用户对 Amazon Quick Suite 操作的访问权限。
Amazon Quick Suite 不支持以下角色功能:
-
服务相关角色。
-
服务角色。
-
临时证书(直接使用):但是,Amazon Quick Suite 使用临时证书允许用户担任 IAM 角色来访问嵌入式控制面板。有关更多信息,请参阅适用于 Amazon Quick Suite 的嵌入式分析。
有关 Amazon Quick Suite 如何使用 IAM 角色的更多信息,请参阅使用 Amazon Quick Suite 和 A maz on Quick Suite 的 IAM 策略示例。
