本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務控制政策來限制 Amazon Quick Suite 註冊選項
如果您是 中的管理員 AWS Organizations,您可以使用服務控制政策 (SCPs) 來限制組織中的個人註冊 Amazon Quick Suite 的方式。您可以限制他們可以註冊的 Quick Suite 版本,以及他們可以註冊的使用者類型。
AWS Organizations 是一種使用者帳戶管理服務,可用來將多個 AWS 帳戶合併到您建立並集中管理的組織。您可以在 中使用 SCPs AWS Organizations 來管理組織中的許可。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的什麼是 AWS Organizations?和服務控制政策。
在下列主題中,您可以了解使用 SCPs兩種方式 AWS Organizations。主題包括範例 SCP。若要進一步了解建立 SCP,請參閱《AWS Organizations 使用者指南》中的下列主題:
限制 Quick Suite 版本
若要限制受管帳戶可註冊的 Quick Suite 版本,請使用 SCP 中的 quicksight:Edition條件金鑰。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | 描述 |
|---|---|---|
|
|
|
Amazon Quick Suite 標準版本 |
|
|
Amazon Quick Suite Enterprise Edition |
限制使用者管理選項
若要限制組織中的個人可用來註冊 Quick Suite 的使用者管理選項,請使用 SCP 中的 quicksight:DirectoryType條件索引鍵。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | 描述 |
|---|---|---|
|
|
|
IAM 聯合身分和 Amazon Quick Suite 受管使用者 |
|
|
僅限 IAM 聯合身分 |
|
|
|
在 上在 Microsoft Active Directory 中管理的使用者 AWS Directory Service for Microsoft Active Directory |
|
|
|
在內部部署 Active Directory 中管理並透過 AD_Connector 連線至 的使用者 AWS Directory Service for Microsoft Active Directory |
|
|
|
在與 IAM Identity Center 整合的 Amazon Quick Suite 帳戶中管理的使用者。 |
SCP 範例
下列 Quick Suite 範例顯示服務控制政策,拒絕註冊 Amazon Quick Suite Standard Edition,並阻止使用 IAM Identity Center 身分驗證進行註冊。除了先前描述的條件金鑰之外,此政策還會使用 quicksight:Subscribe 動作。如需用於 IAM 許可政策的 Amazon Quick Suite 特定金鑰清單,請參閱《服務授權參考》中的 Quick Suite 的動作、資源和條件金鑰。
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "quicksight:DirectoryType": [ "iam_identity_center" ] } } }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "quicksight:Edition": "standard" } } } ] }
此政策生效後,組織中的個人只能註冊 Amazon Quick Suite Enterprise Edition,而且必須使用 IAM Identity Center 以外的身分驗證方法。如果他們嘗試註冊 Amazon Quick Suite Standard Edition 或嘗試使用 IAM Identity Center 身分驗證,則會受到限制,無法註冊並收到訊息,說明他們沒有適當的許可。
