本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 IAM 角色傳遞至 Quick Suite
| 適用於:企業版 |
當您的 IAM 使用者註冊 Quick Suite 時,可以選擇使用 Amazon Quick Suite 受管角色 (這是預設角色)。或者,他們可以將現有的 IAM 角色傳遞給 Amazon Quick Suite。
使用以下區段將現有的 IAM 角色傳遞至 Amazon Quick Suite
先決條件
若要讓使用者將 IAM 角色傳遞至 Amazon Quick Suite,您的管理員需要完成下列任務:
-
建立 IAM 角色。如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 角色。
-
將信任政策連接至您的 IAM 角色,以允許 Amazon Quick Suite 擔任該角色。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Quick Suite 主體擔任其連接的 IAM 角色。
如需有關建立 IAM 信任政策及將其連接至 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的修改角色 (主控台)。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
將以下 IAM 許可指派給您的管理員 (IAM 使用者或角色):
-
quicksight:UpdateResourcePermissions– 這會授予身為 Amazon Quick Suite 管理員的 IAM 使用者在 Amazon Quick Suite 中更新資源層級許可的許可。如需 Amazon Quick Suite 定義之資源類型的詳細資訊,請參閱《IAM 使用者指南》中的 Quick Suite 的動作、資源和條件索引鍵。 -
iam:PassRole– 這會授予使用者將角色傳遞至 Amazon Quick Suite 的許可。如需詳細資訊,請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可。 -
iam:ListRoles– (選用) 這會授予使用者在 Amazon Quick Suite 中查看現有角色清單的許可。如果未提供此許可,他們可以使用 ARN 來使用現有的 IAM 角色。
以下是 IAM 許可政策範例,允許管理資源層級許可、列出 IAM 角色,以及在 Quick Suite 中傳遞 IAM 角色。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }如需可與 Amazon Quick Suite 搭配使用的 IAM 政策範例,請參閱 Amazon Quick Suite 的 IAM 政策範例。
-
如需有關將許可指派給使用者或使用者群組的詳細資訊,請參閱《IAM 使用者指南》中的變更 IAM 使用者的許可。
連接其他政策
如果您使用的是其他服務 AWS ,例如 Amazon Athena 或 Amazon S3,您可以建立授予 Amazon Quick Suite 執行特定動作許可的許可政策。然後,您可以將政策連接至稍後傳遞至 Amazon Quick Suite 的 IAM 角色。以下是如何設定其他許可政策並將其他許可政策連接到 IAM 角色的範例。
如需 Athena 中 Amazon Quick Suite 的範例受管政策,請參閱《Amazon Athena 使用者指南》中的 AWSQuicksightAthenaAccess 受管政策。 Amazon Athena IAM 使用者可以使用下列 ARN 在 Amazon Quick Suite 中存取此角色:arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess。
以下是 Amazon S3 中 Amazon Quick Suite 的許可政策範例。如需有關搭配使用 IAM 和 Amazon S3 的詳細資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 中的身分和存取管理。
如需有關如何從 Amazon Quick Suite 建立對另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權的資訊,請參閱 AWS 知識中心中的如何設定從 Quick Suite 到另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權?
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
在 Quick Suite 中使用現有的 IAM 角色
如果您是 Amazon Quick Suite 管理員,並具有更新 Amazon Quick Suite 資源和傳遞 IAM 角色的許可,則可以在 Amazon Quick Suite 中使用現有的 IAM 角色。若要進一步了解在 Amazon Quick Suite 中傳遞 IAM 角色的先決條件,請參閱先前清單中概述的先決條件。
使用下列程序了解如何在 Amazon Quick Suite 中傳遞 IAM 角色。
在 Amazon Quick Suite 中使用現有的 IAM 角色
-
在 Amazon Quick Suite 中,在右上角的導覽列中選擇您的帳戶名稱,然後選擇管理 QuickSight。
-
在開啟的管理 Amazon Quick Suite 頁面上,選擇左側選單中的安全與許可。
-
在開啟的安全與許可頁面中,在 Amazon Quick Suite 存取 AWS 服務下,選擇管理。
-
對於 IAM 角色,選擇使用現有角色,然後執行下列其中一項:
-
從清單中選擇要使用的角色。
-
或者,如果您沒有看到現有 IAM 角色的清單,您可使用下列格式輸入該角色的 IAM ARN:
arn:aws:iam::。account-id:role/path/role-name
-
-
選擇儲存。
