Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von IAM
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Quick-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Einführung in IAM-Konzepte](security_iam_concepts.md)
+ [Quick mit IAM verwenden](security_iam_service-with-iam.md)
+ [Übergabe von IAM-Rollen an Quick](security-create-iam-role.md)
+ [Beispiele für IAM-Richtlinien für Quick](iam-policy-examples.md)
+ [Bereitstellen von Benutzern für Amazon Quick](provisioning-users.md)
+ [Problembehebung Schnelle Identität und Zugriff](security_iam_troubleshoot.md)
# Einführung in IAM-Konzepte
AWS Identity and Access Management (IAM) ist ein AWS Service, der einem Administrator hilft, den Zugriff auf Ressourcen sicherer zu AWS kontrollieren. Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Quick-Ressourcen zu nutzen. IAM ist ein AWS -Service, den Sie ohne zusätzliche Kosten verwenden können.
IAM wird mit Amazon Quick auf verschiedene Arten verwendet, unter anderem wie folgt:
+ Wenn Ihr Unternehmen IAM für sein Identitätsmanagement verwendet, verfügen die Benutzer möglicherweise über IAM-Benutzernamen und -Passwörter, mit denen sie sich bei Amazon Quick anmelden.
+ Wenn Sie möchten, dass Ihre Amazon Quick-Benutzer bei der ersten Anmeldung automatisch erstellt werden, können Sie IAM verwenden, um eine Richtlinie für Benutzer zu erstellen, die vorautorisiert sind, Amazon Quick zu verwenden.
+ Wenn Sie speziellen Zugriff für bestimmte Gruppen von Amazon Quick-Benutzern oder für bestimmte Ressourcen einrichten möchten, können Sie dazu IAM-Richtlinien verwenden.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
## Zielgruppe
Nutzen Sie die folgenden Hinweise, um den Kontext der Informationen in diesem Abschnitt und deren Bedeutung für Ihre Rolle einordnen zu können. Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Amazon Quick erledigen.
**Servicebenutzer** — In einigen Fällen können Sie Amazon Quick als Autor oder Leser verwenden, um über Amazon Quick mithilfe der Browseroberfläche mit Daten, Analysen und Dashboards, Bereichen und Agenten zu interagieren. In diesen Fällen enthält dieser Abschnitt nur Hintergrundinformationen für Sie. Sie interagieren nicht direkt mit dem IAM-Service, es sei denn, Sie verwenden IAM, um sich bei Amazon Quick anzumelden.
**Amazon Quick-Administrator** — Wenn Sie in Ihrem Unternehmen für Amazon Quick-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Amazon Quick. Es ist Ihre Aufgabe, zu bestimmen, auf welche Funktionen und Ressourcen von Amazon Quick Ihre Teammitglieder zugreifen sollen. Wenn Sie spezielle Anforderungen haben, die Sie mit dem Amazon Quick Admin-Panel nicht lösen können, können Sie mit Ihrem Administrator zusammenarbeiten, um Berechtigungsrichtlinien für Ihre Amazon Quick-Benutzer zu erstellen. Weitere Informationen zu IAM finden Sie auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit Amazon Quick verwenden kann, finden Sie unter [Amazon Quick mit IAM verwenden](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrator** — Wenn Sie ein Systemadministrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff auf Amazon Quick zu verwalten. Beispiele für identitätsbasierte Amazon Quick-Richtlinien, die Sie in IAM verwenden können, finden Sie unter [Identitätsbasierte](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) IAM-Richtlinien für Amazon Quick.
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich mit Ihren Identitätsdaten anmelden. AWS Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS-Konto Root-Benutzer](#security_iam_authentication-rootuser)
+ [IAM-Benutzer und -Gruppen](#security_iam_authentication-iamuser)
+ [IAM-Rollen](#security_iam_authentication-iamrole)
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Quick mit IAM verwenden
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Quick zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Quick verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Quick und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Amazon Quick Policies (identitätsbasiert)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick Policies (ressourcenbasiert)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf Basis von Amazon Quick Tags](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM-Rollen](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (identitätsbasiert)
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Quick unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Sie können AWS Root-Anmeldeinformationen oder IAM-Benutzeranmeldedaten verwenden, um ein Amazon Quick-Konto zu erstellen. AWS Root- und Administratoranmeldedaten verfügen bereits über alle erforderlichen Berechtigungen für die Verwaltung des Amazon-Schnellzugriffs auf AWS Ressourcen.
Wir empfehlen jedoch, die Anmeldeinformationen des Stammbenutzers zu schützen und stattdessen die Anmeldeinformationen eines IAM-Benutzers zu verwenden. Dazu können Sie eine Richtlinie erstellen und sie an den IAM-Benutzer und die Rollen anhängen, die Sie für Amazon Quick verwenden möchten. Die Richtlinie muss die entsprechenden Anweisungen für die administrativen Aufgaben von Amazon Quick enthalten, die Sie ausführen müssen, wie in den folgenden Abschnitten beschrieben.
**Wichtig**
Beachten Sie Folgendes, wenn Sie mit Quick- und IAM-Richtlinien arbeiten:
Vermeiden Sie es, eine Richtlinie, die von Quick erstellt wurde, direkt zu ändern. Wenn Sie sie selbst ändern, kann Quick sie nicht bearbeiten. Dadurch können Probleme mit der Richtlinie auftreten. Löschen Sie die zuvor bearbeitete Richtlinie, um das Problem zu beheben.
Wenn Sie beim Versuch, ein Amazon Quick-Konto zu erstellen, eine Fehlermeldung zu den Berechtigungen erhalten, finden Sie weitere Informationen unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) im *IAM-Benutzerhandbuch*.
In einigen Fällen haben Sie möglicherweise ein Amazon Quick-Konto, auf das Sie nicht einmal vom Root-Konto aus zugreifen können (z. B. wenn Sie versehentlich den Verzeichnisdienst gelöscht haben). In diesem Fall können Sie Ihr altes Amazon Quick-Konto löschen und es anschließend neu erstellen. Weitere Informationen finden Sie unter [Löschen Ihres Amazon Quick-Abonnements und Schließen des Kontos](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Aktionen](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressourcen](#security_iam_service-with-iam-id-based-policies-resources)
+ [Bedingungsschlüssel](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Beispiele](#security_iam_service-with-iam-id-based-policies-examples)
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon Quick verwenden vor der Aktion das folgende Präfix:`quicksight:`. Um einem Benutzer beispielsweise die Berechtigung zum Ausführen einer Amazon-EC2-Instance mit der Amazon-EC2-`RunInstances`-API-Operation zu erteilen, fügen Sie die Aktion `ec2:RunInstances` in seine Richtlinie ein. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Quick definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Create` beginnen, einschließlich der folgenden Aktion:
```
"Action": "quicksight:Create*"
```
Amazon Quick bietet eine Reihe von AWS Identity and Access Management (IAM-) Aktionen. Allen Amazon Quick-Aktionen wird ein Präfix `quicksight:` vorangestellt, wie `quicksight:Subscribe` z. Informationen zur Verwendung von Amazon Quick Actions in einer IAM-Richtlinie finden Sie unter [Beispiele für IAM-Richtlinien für Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Die meisten Amazon up-to-date Quick-Aktionen finden Sie unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) im *IAM-Benutzerhandbuch*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Es folgt eine Beispielrichtlinie. Dies bedeutet, dass ein Aufrufer, an den diese Richtlinie angehängt ist, die Operation `CreateGroupMembership` für jede Gruppe aufrufen kann, sofern der der Gruppe hinzugefügte Benutzername nicht `user1` lautet.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Einige Amazon Quick-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Bei einigen API-Aktionen sind mehrere Ressourcen beteiligt. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
```
Eine Liste der Amazon Quick-Ressourcentypen und ihrer Amazon-Ressourcennamen (ARNs) finden Sie unter [Von Amazon Quick definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Quick stellt keine servicespezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Quick finden Sie unter [Amazon Quick Policies (identitätsbasiert](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)).
## Amazon Quick Policies (ressourcenbasiert)
Amazon Quick unterstützt keine ressourcenbasierten Richtlinien. Sie können jedoch die Amazon Quick-Konsole verwenden, um den Zugriff auf andere AWS Ressourcen in Ihrem zu konfigurieren AWS-Konto.
## Autorisierung auf Basis von Amazon Quick Tags
Amazon Quick unterstützt weder das Markieren von Ressourcen noch das Steuern des Zugriffs auf der Grundlage von Tags.
## Amazon Quick IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt. Sie können IAM-Rollen verwenden, um Berechtigungen zu gruppieren, um die Verwaltung des Benutzerzugriffs auf Amazon Quick Actions zu vereinfachen.
Amazon Quick unterstützt die folgenden Rollenfunktionen nicht:
+ Serviceverknüpfte Rollen.
+ Servicerollen
+ Temporäre Anmeldeinformationen (direkte Verwendung): Amazon Quick verwendet jedoch temporäre Anmeldeinformationen, damit Benutzer eine IAM-Rolle für den Zugriff auf eingebettete Dashboards annehmen können. Weitere Informationen finden Sie unter [Integrierte Analysen für Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Weitere Informationen darüber, wie Amazon Quick IAM-Rollen verwendet, finden Sie unter [Amazon Quick mit IAM verwenden](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) und [Beispiele für IAM-Richtlinien für](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Amazon Quick.
# Übergabe von IAM-Rollen an Quick
| |
| --- |
| Gilt für: Enterprise Edition |
Wenn sich Ihre IAM-Benutzer für Quick registrieren, können sie wählen, ob sie die von Amazon Quick verwaltete Rolle verwenden möchten (dies ist die Standardrolle). Oder sie können eine bestehende IAM-Rolle an Amazon Quick übergeben.
Verwenden Sie die folgenden Abschnitte, um bestehende IAM-Rollen an Amazon Quick zu übergeben
**Topics**
+ [Voraussetzungen](#security-create-iam-role-prerequisites)
+ [Anfügen zusätzlicher Richtlinien](#security-create-iam-role-athena-s3)
+ [Verwenden vorhandener IAM-Rollen in Quick](#security-create-iam-role-use)
## Voraussetzungen
Damit Ihre Benutzer IAM-Rollen an Amazon Quick weitergeben können, muss Ihr Administrator die folgenden Aufgaben erledigen:
+ **Erstellen Sie eine IAM-Rolle.** Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) im *IAM-Benutzerhandbuch*.
+ **Fügen Sie Ihrer IAM-Rolle eine Vertrauensrichtlinie hinzu, die es Amazon Quick ermöglicht, die Rolle zu übernehmen**. Verwenden Sie das folgende Beispiel, um eine Vertrauensrichtlinie für die Rolle zu erstellen. Das folgende Beispiel für eine Vertrauensrichtlinie ermöglicht es dem Quick-Principal, die IAM-Rolle zu übernehmen, der er zugewiesen ist.
Weitere Informationen zum Anfügen von Richtlinien an IAM-Rollen finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) im *IAM-Benutzerhandbuch*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Weisen Sie Ihrem Administrator (IAM-Benutzer oder -Rollen) die folgenden IAM-Berechtigungen zu**:
+ `quicksight:UpdateResourcePermissions`— Dadurch erhalten IAM-Benutzer, die Amazon Quick-Administratoren sind, die Berechtigung, Berechtigungen auf Ressourcenebene in Amazon Quick zu aktualisieren. Weitere Informationen zu den von Amazon Quick definierten Ressourcentypen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) im *IAM-Benutzerhandbuch*.
+ `iam:PassRole`— Dadurch erhalten Benutzer die Erlaubnis, Rollen an Amazon Quick weiterzugeben. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
+ `iam:ListRoles`— (Optional) Dadurch erhalten Benutzer die Erlaubnis, eine Liste vorhandener Rollen in Amazon Quick einzusehen. Wenn diese Berechtigung nicht erteilt wird, können sie einen ARN verwenden, um vorhandene IAM-Rollen zu verwenden.
Im Folgenden finden Sie ein Beispiel für eine IAM-Berechtigungsrichtlinie, die die Verwaltung von Berechtigungen auf Ressourcenebene, die Auflistung von IAM-Rollen und die Weitergabe von IAM-Rollen in Quick ermöglicht.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Weitere Beispiele für IAM-Richtlinien, die Sie mit Amazon Quick verwenden können, finden Sie unter [Beispiele für IAM-Richtlinien für Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Weitere Informationen zum Zuweisen von Berechtigungsrichtlinien zu Benutzern oder Benutzergruppen finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
## Anfügen zusätzlicher Richtlinien
Wenn Sie einen anderen AWS Service wie Amazon Athena oder Amazon S3 verwenden, können Sie eine Berechtigungsrichtlinie erstellen, die Amazon Quick die Erlaubnis erteilt, bestimmte Aktionen auszuführen. Anschließend können Sie die Richtlinie an die IAM-Rollen anhängen, die Sie später an Amazon Quick weitergeben. Im Folgenden finden Sie Beispiele dafür, wie Sie zusätzliche Berechtigungsrichtlinien einrichten und Ihren IAM-Rollen zuordnen können.
Ein Beispiel für eine verwaltete Richtlinie für Amazon Quick in Athena finden Sie unter [AWSQuicksightAthenaAccess Verwaltete Richtlinie](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) im *Amazon Athena Athena-Benutzerhandbuch*. IAM-Benutzer können mit dem folgenden ARN auf diese Rolle in Amazon Quick zugreifen:`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`.
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie für Amazon Quick in Amazon S3. Weitere Informationen zur Verwendung von IAM mit Amazon S3 finden Sie unter [Identity and Access Management in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) im *Benutzerhandbuch für Amazon S3*.
Informationen zum Erstellen eines kontoübergreifenden Zugriffs von Amazon Quick auf einen Amazon S3 S3-Bucket in einem anderen Konto finden Sie unter [Wie richte ich den kontoübergreifenden Zugriff von Quick auf einen Amazon S3 S3-Bucket in einem anderen Konto](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) ein? im AWS Knowledge Center.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Verwenden vorhandener IAM-Rollen in Quick
Wenn Sie ein Amazon Quick-Administrator sind und berechtigt sind, Amazon Quick-Ressourcen zu aktualisieren und IAM-Rollen weiterzugeben, können Sie bestehende IAM-Rollen in Amazon Quick verwenden. Weitere Informationen zu den Voraussetzungen für die Übergabe von IAM-Rollen in Amazon Quick finden Sie in den [Voraussetzungen](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) in der vorherigen Liste.
Gehen Sie wie folgt vor, um zu erfahren, wie Sie IAM-Rollen in Amazon Quick weitergeben.
**Um eine bestehende IAM-Rolle in Amazon Quick zu verwenden**
1. Wählen Sie in Amazon Quick Ihren Kontonamen in der Navigationsleiste oben rechts aus und wählen Sie **Verwalten QuickSight**.
1. Wählen Sie auf der sich öffnenden Seite „**Amazon Quick verwalten**“ im Menü auf der linken Seite die Option **Sicherheit und Berechtigungen** aus.
1. Wählen Sie auf der sich öffnenden Seite **Sicherheit und Berechtigungen** unter **Amazon Quick access to AWS services die** Option **Manage** aus.
1. Wählen Sie für die **IAM-Rolle** die Option **Eine bestehende Rolle verwenden** aus und führen Sie dann einen der folgenden Schritte aus:
+ Wählen Sie aus der Liste die Rolle aus, die Sie verwenden möchten.
+ Oder, wenn Sie keine Liste der vorhandenen IAM-Rollen sehen, können Sie den IAM-ARN für die Rolle im folgenden Format eingeben: `arn:aws:iam::account-id:role/path/role-name`.
1. Wählen Sie **Speichern**.
# Beispiele für IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Quick verwenden können.
## Identitätsbasierte IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien zur Verwendung mit Quick.
**Topics**
+ [Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick IAM-Konsole](#security_iam_conosole-administration)
### Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick IAM-Konsole
Das folgende Beispiel zeigt die IAM-Berechtigungen, die für Verwaltungsaktionen der Amazon Quick IAM-Konsole erforderlich sind.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Dashboards
Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: -Namespaces
Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem Amazon Quick-Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.
**Erstellen von Namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Löschen von Namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: benutzerdefinierte Berechtigungen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem Amazon Quick-Administrator oder einem Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Anpassen von E-Mail-Berichtsvorlagen
Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in Amazon Quick sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem Amazon Quick-Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Erstellen Sie ein Enterprise-Konto mit verwalteten Amazon Quick Benutzern
Das folgende Beispiel zeigt eine Richtlinie, die es Amazon Quick-Administratoren ermöglicht, ein Amazon Quick-Konto für die Enterprise Edition mit von Amazon Quick verwalteten Benutzern zu erstellen.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Benutzer erstellen
Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von Amazon Quick-Benutzern erlaubt. Für `quicksight:CreateReader`, `quicksight:CreateUser` und `quicksight:CreateAdmin` können Sie die Berechtigungen für **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie **"Resource": "\$1"**. Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Gruppen erstellen und verwalten
Das folgende Beispiel zeigt eine Richtlinie, die es Administratoren und Entwicklern von Amazon Quick ermöglicht, Gruppen zu erstellen und zu verwalten.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Standard Edition
Das folgende Beispiel für die Amazon Quick Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center (Pro-Rollen)
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es einem Amazon Quick-Benutzer ermöglicht, Amazon Quick zu abonnieren, Benutzer zu erstellen und Active Directory in einem Amazon Quick-Konto zu verwalten, das in IAM Identity Center integriert ist.
Diese Richtlinie ermöglicht es Benutzern auch, Amazon Quick Pro-Rollen zu abonnieren, die Zugriff auf Amazon Q in Quick Generative BI-Funktionen gewähren. Weitere Informationen zu Pro-Rollen in Amazon Quick finden [Sie unter Erste Schritte mit Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das in IAM Identity Center integriert ist.
Diese Richtlinie gewährt keine Berechtigungen zum Erstellen von Pro-Rollen in Amazon Quick. Informationen zum Erstellen einer Richtlinie, die die Berechtigung zum Abonnieren von Pro-Rollen in Amazon Quick gewährt, finden Sie unter [Identitätsbasierte IAM-Richtlinien für Amazon Quick: Vollzugriff für die Enterprise Edition mit IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)Pro-Rollen).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit Active Directory
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Active Directory-Gruppen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon Quick Enterprise Edition-Konto ermöglicht.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: mit der Admin-Asset-Management-Konsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: mithilfe der Admin-Schlüsselverwaltungskonsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Die `"kms:ListAliases"` Berechtigungen `"quicksight:ListKMSKeysForUser"` und sind erforderlich, um über die Amazon Quick-Konsole auf vom Kunden verwaltete Schlüssel zuzugreifen. `"quicksight:ListKMSKeysForUser"`und `"kms:ListAliases"` müssen die Amazon Quick Key Management nicht verwenden APIs.
Um anzugeben, auf welche Schlüssel ein Benutzer zugreifen kann, fügen Sie ARNs der `UpdateKeyRegistration` Bedingung mit dem Bedingungsschlüssel die Schlüssel hinzu, auf die der `quicksight:KmsKeyArns` Benutzer zugreifen soll. Benutzer können nur auf die unter `UpdateKeyRegistration` angegebenen Schlüssel zugreifen. Weitere Informationen zu unterstützten Bedingungsschlüsseln für Amazon Quick finden Sie unter [Bedingungsschlüssel für Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
Das folgende Beispiel gewährt `Describe` Berechtigungen für alle CMKs , die für ein Amazon Quick-Konto registriert sind, und `Update` Berechtigungen für bestimmte Personen, die für CMKs das Amazon Quick-Konto registriert sind.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS Ressourcen Schnell: Geltungsbereichsrichtlinien in der Enterprise Edition
Das folgende Beispiel für Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Bereitstellen von Benutzern für Amazon Quick
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren |
## Selbstbereitstellung eines Amazon Quick-Administrators
Amazon Quick-Administratoren sind Benutzer, die auch Amazon Quick-Funktionen wie Kontoeinstellungen und Konten verwalten können. Sie können auch zusätzliche Amazon Quick-Benutzerabonnements erwerben, [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) kaufen und das Abonnement für Amazon Quick für Sie kündigen AWS-Konto.
Sie können eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Benutzern die Möglichkeit zu geben, sich selbst als Administratoren von Amazon Quick hinzuzufügen. Benutzer, denen diese Fähigkeit gewährt wurde, können nur sich selbst als Administratoren hinzufügen und können diese Richtlinie nicht verwenden, um andere hinzuzufügen. Ihre Konten werden aktiv und abrechnungsfähig, wenn sie Amazon Quick zum ersten Mal öffnen. Um die selbstständige Bereitstellung einzurichten, geben Sie diesen Benutzern die Berechtigung, die `quicksight:CreateAdmin`-Aktion zu verwenden.
Alternativ können Sie das folgende Verfahren verwenden, um mithilfe der Konsole den Administrator für Amazon Quick einzurichten oder zu erstellen.
**Um einen Benutzer zum Amazon Quick-Administrator zu machen**
1. Erstellen Sie den AWS Benutzer:
+ Verwenden Sie IAM, um den Benutzer zu erstellen, den Sie zum Administrator von Amazon Quick machen möchten. Weisen Sie alternativ einem in IAM existierenden Benutzer die Administratorrolle zu. Sie können den Benutzer zur Vereinfachung der Verwaltung auch in eine neue Gruppe einfügen.
+ Gewähren Sie dem Benutzer (oder der Gruppe) die notwendigen Berechtigungen.
1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen des Zielbenutzers bei Ihrem an.
1. Navigieren Sie zu [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), geben Sie die E-Mail-Adresse des Zielbenutzers ein und wählen Sie **Continue (Weiter)**.
Bei Erfolg ist der Zielbenutzer jetzt ein Administrator in Amazon Quick.
## Selbstbereitstellung eines Amazon Quick-Autors
Amazon Quick-Autoren können Datenquellen, Datensätze, Analysen und Dashboards erstellen. Sie können Analysen und Dashboards mit anderen Amazon Quick-Benutzern in Ihrem Amazon Quick-Konto teilen. Sie haben jedoch keinen Zugriff auf das Menü „**Amazon Quick verwalten**“. Sie können keine Kontoeinstellungen ändern, Konten verwalten, zusätzliche Amazon Quick-Benutzerabonnements oder [SPICE-Kapazitäten](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) erwerben oder das Abonnement von Amazon Quick für Sie kündigen AWS-Konto. Author Pro-Benutzer können außerdem Inhalte in natürlicher Sprache erstellen, Wissensdatenbanken aufbauen, Aktionen konfigurieren und auf erweiterte Automatisierungsfunktionen zugreifen.
Sie können eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Benutzern die Möglichkeit zu geben, ein Amazon Quick Author-Konto für sich selbst zu erstellen. Ihre Konten werden aktiv und abrechnungsfähig, wenn sie Amazon Quick zum ersten Mal öffnen. Um die selbstständige Bereitstellung einzurichten, müssen Sie dem Benutzer die Berechtigung erteilen, die `quicksight:CreateUser`-Aktion zu verwenden.
## Selbstbereitstellung eines Amazon Quick-Benutzers mit Leserechten
Benutzer oder *Leser* von Amazon Quick mit Lesezugriff können Dashboards, die mit ihnen geteilt werden, anzeigen und bearbeiten, aber sie können keine Änderungen vornehmen oder ein Dashboard zur weiteren Analyse speichern. Amazon Quick Reader können keine Datenquellen, Datensätze, Analysen oder Grafiken erstellen. Sie können keine administrativen Aufgaben ausführen. Wählen Sie diese Rolle für Personen, die Dashboards nutzen, aber keine eigenen Analysen vornehmen (z. B. Führungskräfte). Reader Pro-Benutzer haben Zugriff auf erweiterte Funktionen wie KI-Chat-Agenten, Bereiche für die Zusammenarbeit, Abläufe und Erweiterungen.
Wenn Sie Microsoft Active Directory mit Amazon Quick verwenden, können Sie nur Leseberechtigungen mithilfe einer Gruppe verwalten. Andernfalls können Sie mehrere Benutzer gleichzeitig zur Nutzung von Amazon Quick einladen. Sie können auch eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Personen die Möglichkeit zu geben, ein Amazon Quick Reader-Konto für sich selbst zu erstellen.
Leserkonten werden aktiv und können abgerechnet werden, wenn sie Amazon Quick zum ersten Mal öffnen. Wenn Sie einen Benutzer hoch- oder herabstufen, werden die Kosten für den betreffenden Monat anteilig berechnet. Um die selbstständige Bereitstellung einzurichten, müssen Sie dem Benutzer die Berechtigung erteilen, die `quicksight:CreateReader`-Aktion zu verwenden.
Leser, die zur automatischen oder programmgesteuerten Aktualisierung von Dashboards für echtzeitnahe Anwendungsfälle verwendet werden, müssen Kapazitätspreise wählen. Bei Lesern mit Nutzerpreisen ist jedes Lesegerät auf die manuelle Nutzung durch eine einzige Person beschränkt.
# Problembehebung Schnelle Identität und Zugriff
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Quick und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Quick durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Quick-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Quick durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, die Konsole zum Anzeigen von Details zu einem *widget* zu verwenden, jedoch nicht über `quicksight:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `quicksight:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Quick übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Quick auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Quick-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Quick diese Funktionen unterstützt, finden Sie unter[Quick mit IAM verwenden](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.