在 Amazon Quick Suite 中建立自訂許可設定檔 - Amazon Quick Suite
Quick Suite 父系功能Quick Suite 功能為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick Suite 帳戶建立自訂許可設定檔為使用 Amazon Quick Suite 受管使用者的 Amazon Quick Suite 帳戶建立自訂許可設定檔將自訂許可設定檔套用至角色將自訂許可設定檔套用至使用者將自訂許可設定檔套用至帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Quick Suite 中建立自訂許可設定檔

 適用於:企業版 
   目標對象:管理員和 Amazon Quick Suite 開發人員 

在企業版中,您可以限制使用者可以在 Amazon Quick Suite 中存取的功能。您可以在 Quick Suite 中為所有身分類型設定帳戶、角色 (管理員、作者、讀者) 和使用者層級的自訂許可。使用者層級的自訂許可會覆寫使用者的角色現有預設或自訂角色層級許可。使用者層級的自訂許可角色層級的自訂許可會覆寫帳戶層級的自訂許可

下列限制適用於自訂許可。

  • 您無法授予高於使用者預設角色的許可。例如,如果使用者具有讀者存取權,則您無法授予該使用者編輯儀表板的許可。

  • 若要自訂使用者或角色許可,您必須是具有下列 IAM 許可的 Amazon Quick Suite 管理員:

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

您可以建立自訂許可設定檔,以限制存取下列功能的任何組合。父功能可用來限制對整個資產功能集的存取。當父系功能停用時,也會停用所有相關聯的子系功能。

此機制無法關閉沒有父功能的功能。反之,它們必須限制為個別功能。

Quick Suite 父系功能

父系功能 功能

分析

限制所有與分析相關的功能

儀表板

限制所有儀表板相關的功能

動作

限制所有動作相關的功能

自動化

限制所有自動化相關功能

聊天客服人員

限制所有與 Chat Agent 相關的功能

延伸模組

限制與延伸模組相關的所有功能

流程

限制所有流程相關功能

知識庫

限制所有與知識庫相關的功能

研究

限制所有與研究相關的功能

空格

限制所有與 Spaces 相關的功能

Quick Suite 功能

功能 Amazon Quick Suite 行為 父系功能

建立聊天代理程式

  • 無法檢視或存取任何聊天客服人員

  • 代理程式程式庫和導覽會隱藏

  • 仍然可以存取和建立其他 Quick Suite 資源,例如建立空間與團隊共用檔案,或為結構化互動建立流程 (只要這些功能也不受限制)

聊天客服人員

允許建立者在未經核准的情況下共用

  • 未經核准,建立者無法共用流程

流程

使用 Bedrock 模型進行輸出精簡

  • 限制 Bedrock 模型的使用

流程

啟用 UI 代理程式來執行瀏覽器任務

  • 限制流程 UI 代理程式執行瀏覽器任務

流程

使用網際網路增強結果

  • 限制在聊天代理程式和研究中使用 Web 型搜尋

--

共用分析

  • 檔案功能表上的共用選項的存取權已停用以進行分析

分析

新增或執行異常偵測

  • 分析已停用 Insights 功能表上的新增異常至工作表選項的存取權

  • 物件功能表上的異常選項的存取權已停用,以進行分析

  • 使用者將無法將異常偵測新增至工作表

分析

列印工作表

  • 已停用檔案功能表上的列印選項以進行分析

  • 儀表板已停用匯出功能表上的列印選項存取權

  • 使用者將無法列印工作表

--

匯出工作表至 PDF

  • 檔案功能表上的匯出為 PDF 選項的存取權已停用,以進行分析

  • 儀表板已停用匯出功能表上的產生 PDF 選項的存取權

  • 使用者將無法將工作表匯出至 PDF 檔案

--

建立或更新佈景主題

  • 編輯功能表上的佈景主題選項已停用以供分析

  • 使用者將無法建立自訂佈景主題

  • 使用者將無法編輯或更新現有的佈景主題

--

共用儀表板

  • 儀表板的導覽功能表上共用圖示的存取權已停用

儀表板

將視覺效果匯出至 CSV

  • 分析和儀表板都會停用每個視覺效果三點功能表上的匯出至 CSV 選項的存取權

  • 物件功能表上的匯出視覺效果至 CSV 選項的存取權已停用,以進行分析

  • 使用者將無法將視覺效果匯出至 CSV 檔案

--

將視覺效果匯出至 Excel

  • 分析和儀表板都會停用每個資料表三點功能表上的匯出至 Excel 選項的存取權

  • 物件功能表上的匯出資料表至 Excel 選項的存取權已停用,以進行分析

  • 使用者將無法將資料表匯出至 Excel 檔案

--

建立或更新所有資料集

  • 將停用建立或更新所有資料集的存取權

--

僅建立或更新 SPICE 資料集

  • 建立或更新 SPICE 資料集的存取權將會停用

--

共用資料集

  • 共用資料集的存取權將停用

--

檢視帳戶 SPICE 容量

  • 限制擷取帳戶的 SPICE 容量

--

建立或更新所有資料來源

  • 將停用建立或更新所有資料來源的存取權

--

共用資料來源

  • 共用資料來源的存取權將會停用

--

建立共用資料夾

  • 限制建立共用資料夾

--

重新命名共用資料夾

  • 限制重新命名共用資料夾

--

建立或更新排程電子郵件報告

  • 儀表板已停用排程功能表上的排程選項存取權

  • 儀表板已停用對排程功能表上最近快照選項的存取

  • 使用者將無法建立或更新排定的電子郵件報告

--

訂閱排定的電子郵件報告

  • 使用者將無法訂閱排定的電子郵件報告

儀表板

排程電子郵件報告中的 CSV 附件

  • 儀表板已停用排程功能表內容區段中 CSV 選項的存取

  • 使用者將無法在排定的電子郵件報告中附加 CSV 檔案

--

排程電子郵件報告中的 Excel 附件

  • 儀表板已停用排程功能表內容區段中的 Excel 選項存取權

  • 使用者將無法在排定的電子郵件報告中連接 Excel 檔案

--

排程電子郵件報告中的 PDF 附件

  • 儀表板已停用排程功能表內容區段中的 PDF 選項存取權

  • 使用者將無法在排定的電子郵件報告中附加 PDF 檔案

--

排程電子郵件報告中的內容

  • 使用者只會以登入後鎖定的可下載連結接收排程電子郵件報告中的內容

  • 電子郵件內文中包含工作表,且排程選單中的檔案連接選項將被忽略

  • 映像將不會包含在排定的電子郵件報告中

--

建立或更新閾值提醒

  • 儀表板的警示功能表存取權已停用

  • 使用者將無法建立或更新閾值提醒

--

您可以為與 IAM Identity Center、Active Directory 整合的 Amazon Quick Suite 帳戶建立自訂許可設定檔,或為具有 Amazon Quick Suite 受管使用者的 Amazon Quick Suite 帳戶建立自訂許可設定檔。Amazon Quick Suite 帳戶使用的身分類型會決定 Amazon Quick Suite 管理員設定自訂許可設定檔的方式。

下列程序說明如何控制對 Amazon Quick Suite 功能和個別功能的存取。

控制對 Amazon Quick Suite 功能和功能的存取

  1. 登入 Amazon Quick Suite 主控台。

  2. 選取管理 Quick Suite

  3. 從管理員主控台左側導覽功能表中,選取許可,然後選取自訂許可

  4. 自訂許可中,從設定檔中選取新增設定檔,或選擇編輯預設設定檔。

  5. 新設定檔中,執行下列動作:

    • 限制功能 - 透過勾選或取消勾選適當的選項,選擇是否允許系統的特定功能。

    • 限制功能 - 透過勾選或取消勾選適當的選項,選擇是否允許特定功能。

為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick Suite 帳戶建立自訂許可設定檔

Amazon Quick Suite 帳戶管理員可以使用下列程序,為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick Suite 帳戶建立自訂許可設定檔。

為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick Suite 帳戶建立自訂許可設定檔

  1. 登入 AWS 管理主控台

  2. 開啟 Amazon Quick Suite。

  3. Amazon Quick Suite Admin 主控台隨即開啟。選擇自訂許可

  4. 隨即開啟管理自訂許可頁面。選擇下列其中一個選項。

    • 若要建立新的自訂許可設定檔,請選擇建立

    • 若要編輯或檢視現有的自訂許可設定檔,請選擇所需設定檔旁的省略符號 (三個點),然後選擇編輯

  5. 如果要建立或更新自訂許可設定檔,請選取下列項目。

    • 對於名稱,輸入您的自訂許可設定檔的名稱。

    • 對於限制,選擇您要拒絕的選項。允許您未選擇的任何選項。例如,如果您不希望使用者建立或更新資料來源,但您希望他們能夠執行其他操作,請僅選擇建立或更新資料來源

  6. 選擇建立更新,以確認您的選擇。若要返回而不進行任何變更,請選擇返回

  7. 完成變更後,請記錄自訂許可設定檔的名稱。將自訂許可設定檔的名稱提供給 API 使用者,以便他們將自訂許可設定檔套用至角色或使用者。

為使用 Amazon Quick Suite 受管使用者的 Amazon Quick Suite 帳戶建立自訂許可設定檔

Amazon Quick Suite 帳戶管理員可以使用下列程序,為使用 Amazon Quick Suite 受管使用者的 Amazon Quick Suite 帳戶建立自訂許可設定檔。

為 Amazon Quick Suite 受管使用者建立自訂許可設定檔

  1. 開啟 Quick Suite 主控台

  2. 在 Amazon Quick Suite 主控台的任何頁面中,選擇右上角的管理 Quick Suite

    只有 Amazon Quick Suite 管理員可以存取管理 Quick Suite 功能表選項。如果您無法存取管理 Quick Suite 功能表,請聯絡您的 Amazon Quick Suite 管理員尋求協助。

  3. 選擇自訂許可。您也可以選擇管理使用者區段,然後選擇管理自訂許可

  4. 隨即開啟管理自訂許可頁面。選擇下列其中一個選項。

    • 若要建立新的自訂許可設定檔,請選擇建立

    • 若要編輯或檢視現有的自訂許可設定檔,請選擇所需設定檔旁的省略符號 (三個點),然後選擇編輯

  5. 如果要建立或更新自訂許可設定檔,請選取下列項目。

    • 對於名稱,輸入您的自訂許可設定檔的名稱。

    • 對於限制,選擇您要拒絕的選項。允許您未選擇的任何選項。例如,如果您不希望使用者建立或更新資料來源,但您可以讓他們執行任何其他動作,請僅選取建立或更新資料來源

  6. 選擇建立更新,以確認您的選擇。若要返回而不進行任何變更,請選擇返回

  7. 完成變更後,請記錄自訂許可設定檔的名稱。將自訂許可設定檔的名稱提供給 API 使用者,以便他們將自訂許可設定檔套用至角色或使用者。

建立自訂許可設定檔後,請使用 Amazon Quick Suite APIs 來新增或變更指派給使用者、角色或帳戶的自訂許可設定檔。具有足夠許可的使用者也可以使用 AWS::QuickSight::CustomPermissions CloudFormation 資源來管理 Amazon Quick Suite 自訂許可設定檔。使用以下主題,進一步了解如何使用 Amazon Quick Suite APIs 管理自訂許可設定檔。

使用 Amazon Quick Suite API 將自訂許可設定檔套用至 Amazon Quick Suite 角色

建立自訂許可設定檔之後,請使用 Amazon Quick Suite APIs 來新增或變更指派給角色的自訂許可設定檔。

開始之前,您需要設定 AWS CLI。如需安裝 AWS CLI 的詳細資訊,請參閱 AWS Command Line Interface 《 使用者指南》中的安裝或更新最新版本的 AWS CLI設定 AWS CLI。您也需要許可才能使用 Amazon Quick Suite API。

下列範例會呼叫 UpdateRoleCustomPermission API 來更新指派給角色的自訂許可。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

下列範例會傳回指派給角色的自訂許可設定檔。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

下列範例會從角色刪除自訂許可設定檔。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

使用 Amazon Quick Suite API 將自訂許可設定檔套用至使用者

下列範例會將自訂許可設定檔套用至使用者。

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

下列範例會從使用者刪除自訂許可設定檔。

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

下列範例會將自訂許可新增至新的 Amazon Quick Suite IAM 使用者。

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

您也可以將現有的 IAM 使用者與新的許可設定檔建立關聯。下列範例更新現有 IAM 使用者的自訂許可設定檔。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

下列範例會從許可設定檔中移除現有使用者。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

若要測試套用至角色或使用者的自訂許可,請登入使用者的帳戶。當使用者登入 Amazon Quick Suite 時,會授予他們可存取的最高權限角色。可授予使用者的最高權限角色為管理員。可授予使用者的最低權限角色是 Reader。如需 Amazon Quick Suite 中角色的詳細資訊,請參閱在 Amazon Quick Suite 中管理使用者存取權

如果您指派的自訂許可設定檔將資料來源共用限制為作者的角色,則該作者將無法再存取允許資料來源共用的控制項。相反,受影響的作者具有資料來源的僅供檢視許可。

將自訂許可設定檔套用至帳戶

將自訂許可設定檔套用至帳戶

  1. 開啟 Quick Suite 主控台

  2. 選擇右上角的設定檔圖示。

  3. 選擇管理 Quick Suite。只有 Amazon Quick Suite 管理員才能檢視此頁面。

  4. 選擇自訂許可。您也可以選擇管理使用者區段,如果您的 Quick Suite 帳戶使用 Quick Suite 受管使用者,請選擇管理自訂許可

  5. 找到所需的帳戶自訂許可。在動作下方的選項選單中,選擇設定為帳戶設定檔

使用 Quick Suite APIs 將自訂許可設定檔套用至帳戶

建立自訂許可設定檔之後,請使用 Quick Suite API 來新增或變更指派給帳戶的自訂許可設定檔。

開始之前,您需要設定 AWS CLI。如需安裝 AWS CLI 的詳細資訊,請參閱《 AWS 命令列界面使用者指南》中的安裝或更新最新版本的 AWS CLI設定 AWS CLI。您還需要具備下列 IAM 許可:quicksight:UpdateAccountPermissionquicksight:DescribeAccountPermissionquicksight:DeleteAccountCustomPermission

下列範例會呼叫 UpdateAccountPermission API 來更新指派給帳戶的自訂許可。

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

下列範例會傳回指派給帳戶的自訂許可設定檔。

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

下列範例會從帳戶中取消套用自訂許可設定檔。

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION