本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 IAM 使用 Quick Suite
| 適用對象:企業版和標準版 |
| 目標對象:系統管理員 |
使用 IAM 管理 Amazon Quick Suite 的存取權之前,您應該了解哪些 IAM 功能可與 Amazon Quick Suite 搭配使用。若要全面了解 Amazon Quick Suite 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《IAM 使用者指南》中的與 IAM AWS 搭配使用的 服務。
主題
Amazon Quick Suite 政策 (以身分為基礎)
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Amazon Quick Suite 支援特定動作、資源和條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱 IAM 使用者指南中的 JSON 政策元素參考。
您可以使用 AWS 根登入資料或 IAM 使用者登入資料來建立 Amazon Quick Suite 帳戶。 AWS root 和管理員登入資料已經擁有管理 Amazon Quick Suite 對 AWS 資源的存取所需的所有必要許可。
不過,建議您保護您的根登入資料,且改用 IAM 使用者登入資料。若要這樣做,您可以建立政策,並將其連接到您計劃用於 Amazon Quick Suite 的 IAM 使用者和角色。此政策必須包含您需要執行之 Amazon Quick Suite 管理任務的適當陳述式,如下列各節所述。
重要
使用 Quick Suite 和 IAM 政策時,請注意下列事項:
-
避免直接修改 Quick Suite 建立的政策。當您自行修改時,Quick Suite 無法編輯它。這樣會導致政策發生問題。若要修正此問題,請刪除之前修改的政策。
-
如果您在嘗試建立 Amazon Quick Suite 帳戶時遇到許可錯誤,請參閱《IAM 使用者指南》中的 Amazon Quick Suite 定義的動作。
-
在某些情況下,您可能擁有即使從根帳戶也無法存取的 Amazon Quick Suite 帳戶 (例如,如果您意外刪除其目錄服務)。在這種情況下,您可以刪除舊的 Amazon Quick Suite 帳戶,然後重新建立。如需詳細資訊,請參閱刪除 Amazon Quick Suite 訂閱和關閉帳戶。
動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
JSON 政策的 Action 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
Amazon Quick Suite 中的政策動作在動作之前使用下列字首:quicksight:。例如,若要授予某人使用 Amazon EC2 RunInstances API 作業來執行 Amazon EC2 執行個體的許可,請在其政策中加入 ec2:RunInstances 動作。政策陳述式必須包含 Action 或 NotAction 元素。Amazon Quick Suite 會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
"Action": [ "quicksight:action1", "quicksight:action2"]
您也可以使用萬用字元 (*) 來指定多個動作。例如,若要指定開頭是 Create 文字的所有動作,請包含以下動作:
"Action": "quicksight:Create*"
Amazon Quick Suite 提供多種 AWS Identity and Access Management (IAM) 動作。所有 Amazon Quick Suite 動作都以 為字首quicksight:,例如 quicksight:Subscribe。如需在 IAM 政策中使用 Amazon Quick Suite 動作的詳細資訊,請參閱 Amazon Quick Suite 的 IAM 政策範例。
若要查看 up-to-date清單,請參閱《IAM 使用者指南》中的 Amazon Quick Suite 定義的動作。
Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Resource JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 Amazon Resource Name (ARN) 來指定資源。對於不支援資源層級許可的動作,使用萬用字元 (*) 表示陳述式適用於所有資源。
"Resource": "*"
以下是政策的範例。這表示只要新增至群組的使用者名稱不是 user1,連接此政策的呼叫者就能在任何群組上呼叫 CreateGroupMembership 操作。
{ "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } }
有些 Amazon Quick Suite 動作無法在特定資源上執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (*)。
"Resource": "*"
許多 API 動作都會用到多項資源。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
"Resource": [ "resource1", "resource2"
若要查看 Amazon Quick Suite 資源類型及其 Amazon Resource Name (ARNs) 的清單,請參閱《IAM 使用者指南》中的 Amazon Quick Suite 定義的資源。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 Amazon Quick Suite 定義的動作。
條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Condition 元素指定何時根據定義的條件執行陳述式。您可以建立使用條件運算子的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《IAM 使用者指南》中的AWS 全域條件內容索引鍵。
Amazon Quick Suite 不提供任何服務特定的條件金鑰,但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件金鑰,請參閱《IAM 使用者指南》中的AWS 全域條件內容金鑰。
範例
若要檢視 Amazon Quick Suite 身分型政策的範例,請參閱 Amazon Quick Suite 政策 (身分型)。
Amazon Quick Suite 政策 (以資源為基礎)
Amazon Quick Suite 不支援以資源為基礎的政策。不過,您可以使用 Amazon Quick Suite 主控台來設定對 中其他 AWS 資源的存取 AWS 帳戶。
以 Amazon Quick Suite 標籤為基礎的授權
Amazon Quick Suite 不支援標記資源或根據標籤控制存取。
Amazon Quick Suite IAM 角色
IAM 角色是您 AWS 帳戶中具有特定許可的實體。您可以使用 IAM 角色將許可分組在一起,以便更輕鬆地管理使用者對 Amazon Quick Suite 動作的存取。
Amazon Quick Suite 不支援下列角色功能:
-
服務連結角色。
-
服務角色
-
臨時登入資料 (直接使用):不過,Amazon Quick Suite 會使用臨時登入資料,讓使用者擔任 IAM 角色來存取內嵌儀表板。如需詳細資訊,請參閱 Amazon Quick Suite 的內嵌分析。
如需 Amazon Quick Suite 如何使用 IAM 角色的詳細資訊,請參閱使用 Amazon Quick Suite 搭配 IAM 和 Amazon Quick Suite 的 IAM 政策範例。
