Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement in Quick
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren |
Sie können die folgenden Tools für die Identifizierung und den Zugriff auf Quick verwenden:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (nur Enterprise Edition)
+ [IAM-Verbund](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (Standard- und Enterprise-Editionen)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (nur Enterprise Edition)
+ [SAML-basiertes Single Sign-On](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard und Enterprise Edition)
+ [Multi-Factor Authentication (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard und Enterprise Edition)
**Anmerkung**
In den unten aufgeführten Regionen können Amazon Quick-Konten das [IAM Identity Center nur für die Identitäts](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) - und Zugriffsverwaltung verwenden.
`af-south-1` Afrika (Kapstadt)
`ap-southeast-3` Asien-Pazifik (Jakarta)
`ap-southeast-5`Asien-Pazifik (Malaysia)
`eu-south-1` Europa (Mailand)
`eu-central-2` Europa (Zürich)
In den folgenden Abschnitten können Sie die Identitätsverwaltungsmethode Ihrer Wahl für Quick konfigurieren.
**Topics**
+ [Verwenden von IAM](iam.md)
+ [Verwenden von IAM Identity Center](setting-up-sso.md)
+ [den IAM-Verbund](iam-federation.md)
+ [Verwenden von Active Directory mit Amazon Quick Enterprise Edition](aws-directory-service.md)
+ [Verwenden der Multi-Faktor-Authentifizierung (MFA) mit Amazon Quick](using-multi-factor-authentication-mfa.md)
# Verwenden von IAM
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Quick-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Einführung in IAM-Konzepte](security_iam_concepts.md)
+ [Quick mit IAM verwenden](security_iam_service-with-iam.md)
+ [Übergabe von IAM-Rollen an Quick](security-create-iam-role.md)
+ [Beispiele für IAM-Richtlinien für Quick](iam-policy-examples.md)
+ [Bereitstellen von Benutzern für Amazon Quick](provisioning-users.md)
+ [Problembehebung Schnelle Identität und Zugriff](security_iam_troubleshoot.md)
# Einführung in IAM-Konzepte
AWS Identity and Access Management (IAM) ist ein AWS Service, der einem Administrator hilft, den Zugriff auf Ressourcen sicherer zu AWS kontrollieren. Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Quick-Ressourcen zu nutzen. IAM ist ein AWS -Service, den Sie ohne zusätzliche Kosten verwenden können.
IAM wird mit Amazon Quick auf verschiedene Arten verwendet, unter anderem wie folgt:
+ Wenn Ihr Unternehmen IAM für sein Identitätsmanagement verwendet, verfügen die Benutzer möglicherweise über IAM-Benutzernamen und -Passwörter, mit denen sie sich bei Amazon Quick anmelden.
+ Wenn Sie möchten, dass Ihre Amazon Quick-Benutzer bei der ersten Anmeldung automatisch erstellt werden, können Sie IAM verwenden, um eine Richtlinie für Benutzer zu erstellen, die vorautorisiert sind, Amazon Quick zu verwenden.
+ Wenn Sie speziellen Zugriff für bestimmte Gruppen von Amazon Quick-Benutzern oder für bestimmte Ressourcen einrichten möchten, können Sie dazu IAM-Richtlinien verwenden.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
## Zielgruppe
Nutzen Sie die folgenden Hinweise, um den Kontext der Informationen in diesem Abschnitt und deren Bedeutung für Ihre Rolle einordnen zu können. Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Amazon Quick erledigen.
**Servicebenutzer** — In einigen Fällen können Sie Amazon Quick als Autor oder Leser verwenden, um über Amazon Quick mithilfe der Browseroberfläche mit Daten, Analysen und Dashboards, Bereichen und Agenten zu interagieren. In diesen Fällen enthält dieser Abschnitt nur Hintergrundinformationen für Sie. Sie interagieren nicht direkt mit dem IAM-Service, es sei denn, Sie verwenden IAM, um sich bei Amazon Quick anzumelden.
**Amazon Quick-Administrator** — Wenn Sie in Ihrem Unternehmen für Amazon Quick-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Amazon Quick. Es ist Ihre Aufgabe, zu bestimmen, auf welche Funktionen und Ressourcen von Amazon Quick Ihre Teammitglieder zugreifen sollen. Wenn Sie spezielle Anforderungen haben, die Sie mit dem Amazon Quick Admin-Panel nicht lösen können, können Sie mit Ihrem Administrator zusammenarbeiten, um Berechtigungsrichtlinien für Ihre Amazon Quick-Benutzer zu erstellen. Weitere Informationen zu IAM finden Sie auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit Amazon Quick verwenden kann, finden Sie unter [Amazon Quick mit IAM verwenden](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrator** — Wenn Sie ein Systemadministrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff auf Amazon Quick zu verwalten. Beispiele für identitätsbasierte Amazon Quick-Richtlinien, die Sie in IAM verwenden können, finden Sie unter [Identitätsbasierte](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) IAM-Richtlinien für Amazon Quick.
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich mit Ihren Identitätsdaten anmelden. AWS Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS-Konto Root-Benutzer](#security_iam_authentication-rootuser)
+ [IAM-Benutzer und -Gruppen](#security_iam_authentication-iamuser)
+ [IAM-Rollen](#security_iam_authentication-iamrole)
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Quick mit IAM verwenden
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Quick zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Quick verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Quick und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Amazon Quick Policies (identitätsbasiert)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick Policies (ressourcenbasiert)](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf Basis von Amazon Quick Tags](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM-Rollen](#security_iam_service-with-iam-roles)
## Amazon Quick Policies (identitätsbasiert)
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Quick unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Sie können AWS Root-Anmeldeinformationen oder IAM-Benutzeranmeldedaten verwenden, um ein Amazon Quick-Konto zu erstellen. AWS Root- und Administratoranmeldedaten verfügen bereits über alle erforderlichen Berechtigungen für die Verwaltung des Amazon-Schnellzugriffs auf AWS Ressourcen.
Wir empfehlen jedoch, die Anmeldeinformationen des Stammbenutzers zu schützen und stattdessen die Anmeldeinformationen eines IAM-Benutzers zu verwenden. Dazu können Sie eine Richtlinie erstellen und sie an den IAM-Benutzer und die Rollen anhängen, die Sie für Amazon Quick verwenden möchten. Die Richtlinie muss die entsprechenden Anweisungen für die administrativen Aufgaben von Amazon Quick enthalten, die Sie ausführen müssen, wie in den folgenden Abschnitten beschrieben.
**Wichtig**
Beachten Sie Folgendes, wenn Sie mit Quick- und IAM-Richtlinien arbeiten:
Vermeiden Sie es, eine Richtlinie, die von Quick erstellt wurde, direkt zu ändern. Wenn Sie sie selbst ändern, kann Quick sie nicht bearbeiten. Dadurch können Probleme mit der Richtlinie auftreten. Löschen Sie die zuvor bearbeitete Richtlinie, um das Problem zu beheben.
Wenn Sie beim Versuch, ein Amazon Quick-Konto zu erstellen, eine Fehlermeldung zu den Berechtigungen erhalten, finden Sie weitere Informationen unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) im *IAM-Benutzerhandbuch*.
In einigen Fällen haben Sie möglicherweise ein Amazon Quick-Konto, auf das Sie nicht einmal vom Root-Konto aus zugreifen können (z. B. wenn Sie versehentlich den Verzeichnisdienst gelöscht haben). In diesem Fall können Sie Ihr altes Amazon Quick-Konto löschen und es anschließend neu erstellen. Weitere Informationen finden Sie unter [Löschen Ihres Amazon Quick-Abonnements und Schließen des Kontos](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Aktionen](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressourcen](#security_iam_service-with-iam-id-based-policies-resources)
+ [Bedingungsschlüssel](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Beispiele](#security_iam_service-with-iam-id-based-policies-examples)
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon Quick verwenden vor der Aktion das folgende Präfix:`quicksight:`. Um einem Benutzer beispielsweise die Berechtigung zum Ausführen einer Amazon-EC2-Instance mit der Amazon-EC2-`RunInstances`-API-Operation zu erteilen, fügen Sie die Aktion `ec2:RunInstances` in seine Richtlinie ein. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Quick definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Create` beginnen, einschließlich der folgenden Aktion:
```
"Action": "quicksight:Create*"
```
Amazon Quick bietet eine Reihe von AWS Identity and Access Management (IAM-) Aktionen. Allen Amazon Quick-Aktionen wird ein Präfix `quicksight:` vorangestellt, wie `quicksight:Subscribe` z. Informationen zur Verwendung von Amazon Quick Actions in einer IAM-Richtlinie finden Sie unter [Beispiele für IAM-Richtlinien für Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Die meisten Amazon up-to-date Quick-Aktionen finden Sie unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) im *IAM-Benutzerhandbuch*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Es folgt eine Beispielrichtlinie. Dies bedeutet, dass ein Aufrufer, an den diese Richtlinie angehängt ist, die Operation `CreateGroupMembership` für jede Gruppe aufrufen kann, sofern der der Gruppe hinzugefügte Benutzername nicht `user1` lautet.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Einige Amazon Quick-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Bei einigen API-Aktionen sind mehrere Ressourcen beteiligt. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
```
Eine Liste der Amazon Quick-Ressourcentypen und ihrer Amazon-Ressourcennamen (ARNs) finden Sie unter [Von Amazon Quick definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Quick definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Quick stellt keine servicespezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Quick finden Sie unter [Amazon Quick Policies (identitätsbasiert](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)).
## Amazon Quick Policies (ressourcenbasiert)
Amazon Quick unterstützt keine ressourcenbasierten Richtlinien. Sie können jedoch die Amazon Quick-Konsole verwenden, um den Zugriff auf andere AWS Ressourcen in Ihrem zu konfigurieren AWS-Konto.
## Autorisierung auf Basis von Amazon Quick Tags
Amazon Quick unterstützt weder das Markieren von Ressourcen noch das Steuern des Zugriffs auf der Grundlage von Tags.
## Amazon Quick IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt. Sie können IAM-Rollen verwenden, um Berechtigungen zu gruppieren, um die Verwaltung des Benutzerzugriffs auf Amazon Quick Actions zu vereinfachen.
Amazon Quick unterstützt die folgenden Rollenfunktionen nicht:
+ Serviceverknüpfte Rollen.
+ Servicerollen
+ Temporäre Anmeldeinformationen (direkte Verwendung): Amazon Quick verwendet jedoch temporäre Anmeldeinformationen, damit Benutzer eine IAM-Rolle für den Zugriff auf eingebettete Dashboards annehmen können. Weitere Informationen finden Sie unter [Integrierte Analysen für Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Weitere Informationen darüber, wie Amazon Quick IAM-Rollen verwendet, finden Sie unter [Amazon Quick mit IAM verwenden](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) und [Beispiele für IAM-Richtlinien für](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Amazon Quick.
# Übergabe von IAM-Rollen an Quick
| |
| --- |
| Gilt für: Enterprise Edition |
Wenn sich Ihre IAM-Benutzer für Quick registrieren, können sie wählen, ob sie die von Amazon Quick verwaltete Rolle verwenden möchten (dies ist die Standardrolle). Oder sie können eine bestehende IAM-Rolle an Amazon Quick übergeben.
Verwenden Sie die folgenden Abschnitte, um bestehende IAM-Rollen an Amazon Quick zu übergeben
**Topics**
+ [Voraussetzungen](#security-create-iam-role-prerequisites)
+ [Anfügen zusätzlicher Richtlinien](#security-create-iam-role-athena-s3)
+ [Verwenden vorhandener IAM-Rollen in Quick](#security-create-iam-role-use)
## Voraussetzungen
Damit Ihre Benutzer IAM-Rollen an Amazon Quick weitergeben können, muss Ihr Administrator die folgenden Aufgaben erledigen:
+ **Erstellen Sie eine IAM-Rolle.** Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) im *IAM-Benutzerhandbuch*.
+ **Fügen Sie Ihrer IAM-Rolle eine Vertrauensrichtlinie hinzu, die es Amazon Quick ermöglicht, die Rolle zu übernehmen**. Verwenden Sie das folgende Beispiel, um eine Vertrauensrichtlinie für die Rolle zu erstellen. Das folgende Beispiel für eine Vertrauensrichtlinie ermöglicht es dem Quick-Principal, die IAM-Rolle zu übernehmen, der er zugewiesen ist.
Weitere Informationen zum Anfügen von Richtlinien an IAM-Rollen finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) im *IAM-Benutzerhandbuch*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Weisen Sie Ihrem Administrator (IAM-Benutzer oder -Rollen) die folgenden IAM-Berechtigungen zu**:
+ `quicksight:UpdateResourcePermissions`— Dadurch erhalten IAM-Benutzer, die Amazon Quick-Administratoren sind, die Berechtigung, Berechtigungen auf Ressourcenebene in Amazon Quick zu aktualisieren. Weitere Informationen zu den von Amazon Quick definierten Ressourcentypen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Quick](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) im *IAM-Benutzerhandbuch*.
+ `iam:PassRole`— Dadurch erhalten Benutzer die Erlaubnis, Rollen an Amazon Quick weiterzugeben. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
+ `iam:ListRoles`— (Optional) Dadurch erhalten Benutzer die Erlaubnis, eine Liste vorhandener Rollen in Amazon Quick einzusehen. Wenn diese Berechtigung nicht erteilt wird, können sie einen ARN verwenden, um vorhandene IAM-Rollen zu verwenden.
Im Folgenden finden Sie ein Beispiel für eine IAM-Berechtigungsrichtlinie, die die Verwaltung von Berechtigungen auf Ressourcenebene, die Auflistung von IAM-Rollen und die Weitergabe von IAM-Rollen in Quick ermöglicht.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Weitere Beispiele für IAM-Richtlinien, die Sie mit Amazon Quick verwenden können, finden Sie unter [Beispiele für IAM-Richtlinien für Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Weitere Informationen zum Zuweisen von Berechtigungsrichtlinien zu Benutzern oder Benutzergruppen finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
## Anfügen zusätzlicher Richtlinien
Wenn Sie einen anderen AWS Service wie Amazon Athena oder Amazon S3 verwenden, können Sie eine Berechtigungsrichtlinie erstellen, die Amazon Quick die Erlaubnis erteilt, bestimmte Aktionen auszuführen. Anschließend können Sie die Richtlinie an die IAM-Rollen anhängen, die Sie später an Amazon Quick weitergeben. Im Folgenden finden Sie Beispiele dafür, wie Sie zusätzliche Berechtigungsrichtlinien einrichten und Ihren IAM-Rollen zuordnen können.
Ein Beispiel für eine verwaltete Richtlinie für Amazon Quick in Athena finden Sie unter [AWSQuicksightAthenaAccess Verwaltete Richtlinie](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) im *Amazon Athena Athena-Benutzerhandbuch*. IAM-Benutzer können mit dem folgenden ARN auf diese Rolle in Amazon Quick zugreifen:`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`.
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie für Amazon Quick in Amazon S3. Weitere Informationen zur Verwendung von IAM mit Amazon S3 finden Sie unter [Identity and Access Management in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) im *Benutzerhandbuch für Amazon S3*.
Informationen zum Erstellen eines kontoübergreifenden Zugriffs von Amazon Quick auf einen Amazon S3 S3-Bucket in einem anderen Konto finden Sie unter [Wie richte ich den kontoübergreifenden Zugriff von Quick auf einen Amazon S3 S3-Bucket in einem anderen Konto](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) ein? im AWS Knowledge Center.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Verwenden vorhandener IAM-Rollen in Quick
Wenn Sie ein Amazon Quick-Administrator sind und berechtigt sind, Amazon Quick-Ressourcen zu aktualisieren und IAM-Rollen weiterzugeben, können Sie bestehende IAM-Rollen in Amazon Quick verwenden. Weitere Informationen zu den Voraussetzungen für die Übergabe von IAM-Rollen in Amazon Quick finden Sie in den [Voraussetzungen](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) in der vorherigen Liste.
Gehen Sie wie folgt vor, um zu erfahren, wie Sie IAM-Rollen in Amazon Quick weitergeben.
**Um eine bestehende IAM-Rolle in Amazon Quick zu verwenden**
1. Wählen Sie in Amazon Quick Ihren Kontonamen in der Navigationsleiste oben rechts aus und wählen Sie **Verwalten QuickSight**.
1. Wählen Sie auf der sich öffnenden Seite „**Amazon Quick verwalten**“ im Menü auf der linken Seite die Option **Sicherheit und Berechtigungen** aus.
1. Wählen Sie auf der sich öffnenden Seite **Sicherheit und Berechtigungen** unter **Amazon Quick access to AWS services die** Option **Manage** aus.
1. Wählen Sie für die **IAM-Rolle** die Option **Eine bestehende Rolle verwenden** aus und führen Sie dann einen der folgenden Schritte aus:
+ Wählen Sie aus der Liste die Rolle aus, die Sie verwenden möchten.
+ Oder, wenn Sie keine Liste der vorhandenen IAM-Rollen sehen, können Sie den IAM-ARN für die Rolle im folgenden Format eingeben: `arn:aws:iam::account-id:role/path/role-name`.
1. Wählen Sie **Speichern**.
# Beispiele für IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Quick verwenden können.
## Identitätsbasierte IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien zur Verwendung mit Quick.
**Topics**
+ [Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick IAM-Konsole](#security_iam_conosole-administration)
### Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick IAM-Konsole
Das folgende Beispiel zeigt die IAM-Berechtigungen, die für Verwaltungsaktionen der Amazon Quick IAM-Konsole erforderlich sind.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Dashboards
Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: -Namespaces
Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem Amazon Quick-Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.
**Erstellen von Namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Löschen von Namespaces**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: benutzerdefinierte Berechtigungen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem Amazon Quick-Administrator oder einem Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Anpassen von E-Mail-Berichtsvorlagen
Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in Amazon Quick sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem Amazon Quick-Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Erstellen Sie ein Enterprise-Konto mit verwalteten Amazon Quick Benutzern
Das folgende Beispiel zeigt eine Richtlinie, die es Amazon Quick-Administratoren ermöglicht, ein Amazon Quick-Konto für die Enterprise Edition mit von Amazon Quick verwalteten Benutzern zu erstellen.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Benutzer erstellen
Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von Amazon Quick-Benutzern erlaubt. Für `quicksight:CreateReader`, `quicksight:CreateUser` und `quicksight:CreateAdmin` können Sie die Berechtigungen für **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie **"Resource": "\$1"**. Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Gruppen erstellen und verwalten
Das folgende Beispiel zeigt eine Richtlinie, die es Administratoren und Entwicklern von Amazon Quick ermöglicht, Gruppen zu erstellen und zu verwalten.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Standard Edition
Das folgende Beispiel für die Amazon Quick Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center (Pro-Rollen)
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es einem Amazon Quick-Benutzer ermöglicht, Amazon Quick zu abonnieren, Benutzer zu erstellen und Active Directory in einem Amazon Quick-Konto zu verwalten, das in IAM Identity Center integriert ist.
Diese Richtlinie ermöglicht es Benutzern auch, Amazon Quick Pro-Rollen zu abonnieren, die Zugriff auf Amazon Q in Quick Generative BI-Funktionen gewähren. Weitere Informationen zu Pro-Rollen in Amazon Quick finden [Sie unter Erste Schritte mit Generative BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das in IAM Identity Center integriert ist.
Diese Richtlinie gewährt keine Berechtigungen zum Erstellen von Pro-Rollen in Amazon Quick. Informationen zum Erstellen einer Richtlinie, die die Berechtigung zum Abonnieren von Pro-Rollen in Amazon Quick gewährt, finden Sie unter [Identitätsbasierte IAM-Richtlinien für Amazon Quick: Vollzugriff für die Enterprise Edition mit IAM Identity Center (](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)Pro-Rollen).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit Active Directory
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: Active Directory-Gruppen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon Quick Enterprise Edition-Konto ermöglicht.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: mit der Admin-Asset-Management-Konsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Identitätsbasierte IAM-Richtlinien für Quick: mithilfe der Admin-Schlüsselverwaltungskonsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
Die `"kms:ListAliases"` Berechtigungen `"quicksight:ListKMSKeysForUser"` und sind erforderlich, um über die Amazon Quick-Konsole auf vom Kunden verwaltete Schlüssel zuzugreifen. `"quicksight:ListKMSKeysForUser"`und `"kms:ListAliases"` müssen die Amazon Quick Key Management nicht verwenden APIs.
Um anzugeben, auf welche Schlüssel ein Benutzer zugreifen kann, fügen Sie ARNs der `UpdateKeyRegistration` Bedingung mit dem Bedingungsschlüssel die Schlüssel hinzu, auf die der `quicksight:KmsKeyArns` Benutzer zugreifen soll. Benutzer können nur auf die unter `UpdateKeyRegistration` angegebenen Schlüssel zugreifen. Weitere Informationen zu unterstützten Bedingungsschlüsseln für Amazon Quick finden Sie unter [Bedingungsschlüssel für Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
Das folgende Beispiel gewährt `Describe` Berechtigungen für alle CMKs , die für ein Amazon Quick-Konto registriert sind, und `Update` Berechtigungen für bestimmte Personen, die für CMKs das Amazon Quick-Konto registriert sind.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS Ressourcen Schnell: Geltungsbereichsrichtlinien in der Enterprise Edition
Das folgende Beispiel für Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Bereitstellen von Benutzern für Amazon Quick
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren |
## Selbstbereitstellung eines Amazon Quick-Administrators
Amazon Quick-Administratoren sind Benutzer, die auch Amazon Quick-Funktionen wie Kontoeinstellungen und Konten verwalten können. Sie können auch zusätzliche Amazon Quick-Benutzerabonnements erwerben, [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) kaufen und das Abonnement für Amazon Quick für Sie kündigen AWS-Konto.
Sie können eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Benutzern die Möglichkeit zu geben, sich selbst als Administratoren von Amazon Quick hinzuzufügen. Benutzer, denen diese Fähigkeit gewährt wurde, können nur sich selbst als Administratoren hinzufügen und können diese Richtlinie nicht verwenden, um andere hinzuzufügen. Ihre Konten werden aktiv und abrechnungsfähig, wenn sie Amazon Quick zum ersten Mal öffnen. Um die selbstständige Bereitstellung einzurichten, geben Sie diesen Benutzern die Berechtigung, die `quicksight:CreateAdmin`-Aktion zu verwenden.
Alternativ können Sie das folgende Verfahren verwenden, um mithilfe der Konsole den Administrator für Amazon Quick einzurichten oder zu erstellen.
**Um einen Benutzer zum Amazon Quick-Administrator zu machen**
1. Erstellen Sie den AWS Benutzer:
+ Verwenden Sie IAM, um den Benutzer zu erstellen, den Sie zum Administrator von Amazon Quick machen möchten. Weisen Sie alternativ einem in IAM existierenden Benutzer die Administratorrolle zu. Sie können den Benutzer zur Vereinfachung der Verwaltung auch in eine neue Gruppe einfügen.
+ Gewähren Sie dem Benutzer (oder der Gruppe) die notwendigen Berechtigungen.
1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen des Zielbenutzers bei Ihrem an.
1. Navigieren Sie zu [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), geben Sie die E-Mail-Adresse des Zielbenutzers ein und wählen Sie **Continue (Weiter)**.
Bei Erfolg ist der Zielbenutzer jetzt ein Administrator in Amazon Quick.
## Selbstbereitstellung eines Amazon Quick-Autors
Amazon Quick-Autoren können Datenquellen, Datensätze, Analysen und Dashboards erstellen. Sie können Analysen und Dashboards mit anderen Amazon Quick-Benutzern in Ihrem Amazon Quick-Konto teilen. Sie haben jedoch keinen Zugriff auf das Menü „**Amazon Quick verwalten**“. Sie können keine Kontoeinstellungen ändern, Konten verwalten, zusätzliche Amazon Quick-Benutzerabonnements oder [SPICE-Kapazitäten](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) erwerben oder das Abonnement von Amazon Quick für Sie kündigen AWS-Konto. Author Pro-Benutzer können außerdem Inhalte in natürlicher Sprache erstellen, Wissensdatenbanken aufbauen, Aktionen konfigurieren und auf erweiterte Automatisierungsfunktionen zugreifen.
Sie können eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Benutzern die Möglichkeit zu geben, ein Amazon Quick Author-Konto für sich selbst zu erstellen. Ihre Konten werden aktiv und abrechnungsfähig, wenn sie Amazon Quick zum ersten Mal öffnen. Um die selbstständige Bereitstellung einzurichten, müssen Sie dem Benutzer die Berechtigung erteilen, die `quicksight:CreateUser`-Aktion zu verwenden.
## Selbstbereitstellung eines Amazon Quick-Benutzers mit Leserechten
Benutzer oder *Leser* von Amazon Quick mit Lesezugriff können Dashboards, die mit ihnen geteilt werden, anzeigen und bearbeiten, aber sie können keine Änderungen vornehmen oder ein Dashboard zur weiteren Analyse speichern. Amazon Quick Reader können keine Datenquellen, Datensätze, Analysen oder Grafiken erstellen. Sie können keine administrativen Aufgaben ausführen. Wählen Sie diese Rolle für Personen, die Dashboards nutzen, aber keine eigenen Analysen vornehmen (z. B. Führungskräfte). Reader Pro-Benutzer haben Zugriff auf erweiterte Funktionen wie KI-Chat-Agenten, Bereiche für die Zusammenarbeit, Abläufe und Erweiterungen.
Wenn Sie Microsoft Active Directory mit Amazon Quick verwenden, können Sie nur Leseberechtigungen mithilfe einer Gruppe verwalten. Andernfalls können Sie mehrere Benutzer gleichzeitig zur Nutzung von Amazon Quick einladen. Sie können auch eine AWS Benutzer- oder Gruppenrichtlinie verwenden, um Personen die Möglichkeit zu geben, ein Amazon Quick Reader-Konto für sich selbst zu erstellen.
Leserkonten werden aktiv und können abgerechnet werden, wenn sie Amazon Quick zum ersten Mal öffnen. Wenn Sie einen Benutzer hoch- oder herabstufen, werden die Kosten für den betreffenden Monat anteilig berechnet. Um die selbstständige Bereitstellung einzurichten, müssen Sie dem Benutzer die Berechtigung erteilen, die `quicksight:CreateReader`-Aktion zu verwenden.
Leser, die zur automatischen oder programmgesteuerten Aktualisierung von Dashboards für echtzeitnahe Anwendungsfälle verwendet werden, müssen Kapazitätspreise wählen. Bei Lesern mit Nutzerpreisen ist jedes Lesegerät auf die manuelle Nutzung durch eine einzige Person beschränkt.
# Problembehebung Schnelle Identität und Zugriff
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Quick und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Quick durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Quick-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Quick durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, die Konsole zum Anzeigen von Details zu einem *widget* zu verwenden, jedoch nicht über `quicksight:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `quicksight:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Quick übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Quick auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Quick-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Quick diese Funktionen unterstützt, finden Sie unter[Quick mit IAM verwenden](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von IAM Identity Center
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren |
Die Amazon Quick Enterprise Edition lässt sich in Ihre vorhandenen Verzeichnisse integrieren und verwendet entweder Microsoft Active Directory oder Single Sign-On (IAM Identity Center) mithilfe von Security Assertion Markup Language (SAML). Sie können AWS Identity and Access Management (IAM) verwenden, um Ihre Sicherheit weiter zu verbessern, oder für benutzerdefinierte Optionen wie das Einbetten von Dashboards.
In der Quick Standard Edition können Sie Benutzer vollständig in Quick verwalten. Wenn Sie möchten, können Sie in IAM eine Integration Ihrer vorhandenen Benutzer, Gruppen und Rollen herstellen.
Sie können die folgenden Tools für die Identifizierung und den Zugriff auf Amazon Quick verwenden:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (nur Enterprise Edition)
+ [IAM-Verbund](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard- und Enterprise-Editionen)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (nur Enterprise Edition)
+ [SAML-basiertes Single Sign-On](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) (Standard und Enterprise Edition)
+ [Multi-Factor Authentication (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard und Enterprise Edition)
**Anmerkung**
In den unten aufgeführten Regionen können Amazon Quick-Konten das [IAM Identity Center nur für die Identitäts](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) - und Zugriffsverwaltung verwenden.
`af-south-1` Afrika (Kapstadt)
`ap-southeast-3` Asien-Pazifik (Jakarta)
`ap-southeast-5`Asien-Pazifik (Malaysia)
`eu-south-1` Europa (Mailand)
`eu-central-2` Europa (Zürich)
Das IAM Identity Center hilft Ihnen dabei, Ihre Mitarbeiteridentitäten sicher zu erstellen oder zu verbinden und deren Zugriff über AWS Konten und Anwendungen hinweg zu verwalten.
Bevor Sie Ihr Amazon Quick-Konto mit IAM Identity Center integrieren, richten Sie IAM Identity Center in Ihrem AWS Konto ein. *Wenn Sie IAM Identity Center in Ihrer AWS Organisation noch nicht eingerichtet haben, finden Sie weitere Informationen unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im AWS IAM Identity Center Benutzerhandbuch.*
Wenn Sie einen externen Identitätsanbieter mit IAM Identity Center konfigurieren möchten, finden Sie unter [Unterstützte Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) eine Liste der Konfigurationsschritte der unterstützten Identitätsanbieter.
**Topics**
+ [Konfigurieren Sie Ihr Amazon Quick-Konto mit IAM Identity Center](#sec-identity-management-identity-center)
## Konfigurieren Sie Ihr Amazon Quick-Konto mit IAM Identity Center
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
IAM Identity Center hilft Ihnen dabei, Ihre bestehenden Mitarbeiteridentitäten sicher zu erstellen oder zu konfigurieren und deren Zugriff über AWS Konten und Anwendungen hinweg zu verwalten. IAM Identity Center ist der empfohlene Ansatz für die Authentifizierung und Autorisierung von Mitarbeitern AWS für Unternehmen jeder Größe und Art. Weitere Informationen über das IAM Identity Center finden Sie unter [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/).
Konfigurieren Sie Amazon Quick und IAM Identity Center, sodass Sie sich für ein neues Amazon Quick-Konto mit einer für IAM Identity Center konfigurierten Identitätsquelle registrieren können. Mit IAM Identity Center können Sie Ihren externen Identitätsanbieter als Identitätsquelle konfigurieren. Sie können IAM Identity Center auch als Identitätsspeicher verwenden, wenn Sie keinen externen Identitätsanbieter mit Amazon Quick verwenden möchten. Identitätsmethoden können nicht geändert werden, nachdem Ihr Konto erstellt wurde.
Wenn Sie Ihr Amazon Quick-Konto in das IAM Identity Center integrieren, können Amazon Quick-Kontoadministratoren ein neues Amazon Quick-Konto erstellen, für das automatisch die Gruppen des Identitätsanbieters verfügbar sind. Dies vereinfacht die gemeinsame Nutzung von Ressourcen in Amazon Quick in großem Umfang.
Der Zugriff auf einige Bereiche der Amazon Quick-Verwaltungskonsole ist durch IAM-Berechtigungen eingeschränkt. In der folgenden Tabelle sind die Administratoraktionen zusammengefasst, die Sie in Amazon Quick basierend auf dem von Ihnen ausgewählten Zugriffstyp ausführen können.
Weitere Informationen zur Registrierung eines Amazon Quick-Kontos bei IAM Identity Center finden Sie unter [Registrierung für ein Amazon Quick-Abonnement](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Admin-Aktion | IAM-Berechtigungen | Berechtigungen für Amazon Quick Admin-Rollen |
| --- | --- | --- |
| **Assets verwalten** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein |
| **Sicherheit und Berechtigungen** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein |
| **Verwalten von VPC-Verbindungen** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein |
| **KMS-Schlüssel** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein |
| **Kontoeinstellungen** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein |
| **Anpassung des Kontos** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja |
| **Verwalten von Benutzern** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja (IAM Identity Center-Benutzer) | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg)Ja (Amazon Quick- und IAM-Benutzer) |
| **Ihre Abonnements** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja |
| **Einstellungen für Mobilgeräte** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja |
| **Domains und Einbettung** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja |
| **SPICE-Kapazität** | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/success_icon.svg) Ja |
Die mobile Amazon Quick-App wird nicht mit Amazon Quick-Konten unterstützt, die in IAM Identity Center integriert sind.
### Überlegungen
Durch die folgenden Aktionen wird Amazon Quick-Benutzern dauerhaft die Möglichkeit genommen, sich bei Amazon Quick anzumelden. Amazon Quick empfiehlt Amazon Quick-Benutzern nicht, diese Aktionen durchzuführen.
+ Deaktivieren oder Löschen der Amazon Quick-Anwendung in der IAM Identity Center-Konsole. Wenn Sie Ihr Amazon Quick-Konto löschen möchten, finden Sie weitere Informationen unter [Ihr Amazon Quick-Konto schließen](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ Migrieren Sie das Amazon Quick-Konto, das Ihre IAM Identity Center-Konfiguration enthält, zu einer AWS Organisation, die nicht die IAM Identity Center-Instance enthält, für die Ihr Amazon Quick-Konto konfiguriert ist.
+ Löschen der IAM Identity Center-Instance, die für Ihr Amazon Quick-Konto konfiguriert ist.
+ Bearbeiten der IAM Identity Center-Anwendungsattribute, z. B. des Attributs **Zuweisung erforderlich**.
# den IAM-Verbund
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Wichtig**
Amazon Quick empfiehlt, neue Amazon Quick-Abonnements in IAM Identity Center für Identitätsmanagement zu integrieren. Dieses Benutzerhandbuch für den IAM Identity Federation dient als Referenz für bestehende Kontokonfigurationen. Weitere Informationen zur Integration Ihres Amazon Quick-Kontos mit IAM Identity Center finden [Sie unter Konfiguration Ihres Amazon Quick-Kontos mit IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Amazon Quick unterstützt den Identitätsverbund sowohl in der Standard- als auch in der Enterprise-Edition. Wenn Sie Verbundbenutzer verwenden, können Sie Benutzer mit Ihrem Enterprise Identity Provider (IdP) verwalten und AWS Identity and Access Management (IAM) verwenden, um Benutzer zu authentifizieren, wenn sie sich bei Quick anmelden. Sie können einen externen Identitätsanbieter verwenden, der Security Assertion Markup Language 2.0 (SAML 2.0) unterstützt, um einen Onboarding-Flow für Ihre Amazon Quick-Benutzer bereitzustellen. Diese Identitätsanbieter sind beispielsweise Microsoft Active Directory Federation Services, Okta und Ping One Federation Server. Mit Identity Federation erhalten Ihre Benutzer mit nur einem Klick Zugriff auf ihre Amazon Quick-Anwendungen mit ihren vorhandenen Identitätsdaten. Zudem erhalten Sie den Sicherheitsvorteil, den die Identitätsauthentifizierung durch Ihren Identitätsanbieter beinhaltet. Sie können mithilfe Ihres vorhandenen Identitätsanbieters steuern, welche Benutzer Zugriff auf Amazon Quick haben.
**Topics**
+ [Initiieren der Anmeldung beim Identitätsanbieter (IdP)](federated-identities-idp-to-sp.md)
+ [Einrichtung eines IdP-Verbunds mit IAM und Amazon Quick](external-identity-providers-setting-up-saml.md)
+ [Anmeldung von Quick aus initiieren](federated-identities-sp-to-idp.md)
+ [Einrichtung eines vom Dienstanbieter initiierten Verbunds mit der Quick Enterprise Edition](setup-quicksight-to-idp.md)
+ [Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Quick](jit-email-syncing.md)
+ [Tutorial: Amazon Quick und IAM-Identitätsverbund](tutorial-okta-quicksight.md)
# Initiieren der Anmeldung beim Identitätsanbieter (IdP)
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
In diesem Szenario initiieren Ihre Benutzer den Anmeldevorgang über das Portal des Identitätsanbieters. Nachdem die Benutzer authentifiziert wurden, melden sie sich bei Amazon Quick an. Nachdem Quick überprüft hat, ob sie autorisiert sind, können Ihre Benutzer auf Quick zugreifen.
Beginnend mit der Anmeldung eines Benutzers beim Identitätsanbieter durchläuft die Authentifizierung die folgenden Schritte:
1. Der Benutzer besucht `https://applications.example.com` und meldet sich bei dem Identitätsanbieter an. Zu diesem Zeitpunkt ist der Benutzer nicht beim Dienstanbieter angemeldet.
1. Der Verbunddienst und der Identitätsanbieter authentifizieren den Benutzer:
1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.
1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.
1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.
1. Der Benutzer öffnet Amazon Quick:
1. Der Browser des Benutzers sendet die SAML-Zusicherung an den SAML-Anmeldeendpunkt von AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an den Amazon Quick Service weiter.
1. Amazon Quick akzeptiert das Authentifizierungstoken von Amazon Quick AWS und präsentiert es dem Benutzer.
Für den Benutzer ist dieser Vorgang transparent. Der Benutzer beginnt im internen Portal Ihrer Organisation und landet auf einem Amazon Quick-Anwendungsportal, ohne jemals AWS Anmeldeinformationen angeben zu müssen.
In der folgenden Abbildung finden Sie einen Authentifizierungsablauf zwischen Amazon Quick und einem externen Identitätsanbieter (IdP). In diesem Beispiel hat der Administrator eine Anmeldeseite für den Zugriff auf Amazon Quick eingerichtet, genannt`applications.example.com`. Wenn sich ein Benutzer anmeldet, sendet die Anmeldeseite eine Anfrage an einen Verbunddienst, der SAML 2.0 entspricht. Der Endbenutzer initiiert die Authentifizierung auf der Anmeldeseite des Identitätsanbieters.
![\[Schnelles SAML-Diagramm. Die Abbildung besteht aus zwei Feldern. Im ersten Feld wird der Authentifizierungsprozess innerhalb des Unternehmens erläutert. Im zweiten Feld wird die Authentifizierung innerhalb von AWS dargestellt. Der Prozess wird im Anschluss an die Tabelle erläutert.\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Informationen einiger gängiger Anbieter finden Sie in der folgenden Dokumentation von Drittanbietern:
+ CA – [Aktivieren von SAML-2.0-HTTP-Post-Binding](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta – [Planen einer SAML-Bereitstellung](https://developer.okta.com/docs/concepts/saml/)
+ Ping – [Amazon-Integrationen](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
In den folgenden Themen erfahren Sie mehr über die Verwendung eines vorhandenen Verbunds mit AWS:
+ [Identitätsverbund AWS auf](https://aws.amazon.com/identity/federation/) der AWS Website
+ [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*
+ [Aktivieren von Zugriff auf die AWS -Managementkonsole durch SAML-2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) im *IAM-Benutzerhandbuch*
# Einrichtung eines IdP-Verbunds mit IAM und Amazon Quick
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Sie können eine AWS Identity and Access Management (IAM) -Rolle und eine Relay-State-URL verwenden, um einen Identitätsanbieter (IdP) zu konfigurieren, der mit SAML 2.0 kompatibel ist. Die Rolle gewährt Benutzern Berechtigungen für den Zugriff auf Amazon Quick. Der RelayState ist das Portal, an das der Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet wird.
**Topics**
+ [Voraussetzungen](#external-identity-providers-setting-up-prerequisites)
+ [Schritt 1: Erstellen Sie einen SAML-Anbieter in AWS](#external-identity-providers-create-saml-provider)
+ [Schritt 2: Konfigurieren Sie die Berechtigungen AWS für Ihre Verbundbenutzer](#external-identity-providers-grantperms)
+ [Schritt 3: Konfigurieren des SAML IdP](#external-identity-providers-config-idp)
+ [Schritt 4: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](#external-identity-providers-create-assertions)
+ [Schritt 5: Konfigurieren des Relay-Status für den Verbund](#external-identity-providers-relay-state)
## Voraussetzungen
Bevor Sie die SAML 2.0-Verbindung konfigurieren können, müssen Sie Folgendes tun:
+ Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit AWS einzurichten:
+ Konfigurieren Sie im Netzwerk Ihres Unternehmens Ihren Identitätsspeicher, z. B. Windows Active Directory, für die Arbeit mit einem SAML-basierten Identitätsanbieter. Zu den SAML-basierten Diensten IdPs gehören Active Directory Federation Services, Shibboleth usw.
+ Generieren Sie mithilfe Ihres Identitätsanbieters ein Metadatendokument, in dem Ihre Organisation als Identitätsanbieter beschrieben wird.
+ Richten Sie SAML 2.0-Authentifizierung auf dieselbe Weise ein wie für die AWS-Managementkonsole. Wenn dieser Vorgang abgeschlossen ist, können Sie Ihren Relay-Status so konfigurieren, dass er dem Relay-Status von Quick entspricht. Weitere Informationen finden [Sie unter Konfigurieren des Relay-Status Ihres Verbunds](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Erstellen Sie ein Amazon Quick-Konto und notieren Sie sich den Namen, den Sie bei der Konfiguration Ihrer IAM-Richtlinie und Ihres IdP verwenden möchten. Weitere Informationen zur Erstellung eines Amazon Quick-Kontos finden Sie unter [Registrierung für ein Amazon Quick-Abonnement](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Nachdem Sie das Setup für die Verbindung mit dem erstellt haben, AWS-Managementkonsole wie im Tutorial beschrieben, können Sie den im Tutorial angegebenen Relay-Status bearbeiten. Sie tun dies mit dem Relay-Status von Amazon Quick, der in Schritt 5 weiter unten beschrieben wird.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Integrieren von Drittanbieter-SAML-Lösungsanbietern mit AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) im *IAM-Benutzerhandbuch*.
+ [Problembehebung beim SAML AWS 2.0-Verbund mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), ebenfalls im *IAM-Benutzerhandbuch*.
+ [Einrichtung einer Vertrauensstellung zwischen ADFS AWS und Verwendung von Active Directory-Anmeldeinformationen für die Verbindung zu Amazon Athena mit dem ODBC-Treiber](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) — Dieser Artikel mit schrittweiser Vorgehensweise ist hilfreich, obwohl Sie Athena nicht einrichten müssen, um Amazon Quick verwenden zu können.
## Schritt 1: Erstellen Sie einen SAML-Anbieter in AWS
Ihr SAML-Identitätsanbieter definiert den IdP Ihrer Organisation für. AWS Hierfür wird das Metadatendokument verwendet, das Sie zuvor mithilfe Ihres Identitätsanbieters erstellt haben.
**Um einen SAML-Anbieter zu erstellen in AWS**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Erstellen Sie einen neuen SAML-Anbieter. Dabei handelt es sich um eine Entität in IAM, in der die Informationen zum Identitätsanbieter Ihrer Organisation gespeichert sind. Weitere Informationen finden Sie unter [Erstellen von SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*.
1. Laden Sie in diesem Prozess das Metadatendokument hoch, das von der IdP-Software Ihrer Organisation wie im vorherigen Abschnitt erwähnt erstellt wurde.
## Schritt 2: Konfigurieren Sie die Berechtigungen AWS für Ihre Verbundbenutzer
Erstellen Sie nun eine IAM-Rolle, die eine Vertrauensbeziehung zwischen IAM und dem Identitätsanbieter Ihres Unternehmens einrichtet. Diese Rolle identifiziert Ihren Identitätsanbieter als Prinzipal (vertrauenswürdige Entität) für die Zwecke des Identitätsverbunds. Die Rolle definiert auch, welche Benutzer, die vom IdP Ihrer Organisation authentifiziert wurden, auf Amazon Quick zugreifen dürfen. Weitere Informationen zum Erstellen einer Rolle für einen SAML-Identitätsanbieter finden Sie unter [Erstellen einer Rolle für den SAML 2.0-Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) im *IAM-Benutzerhandbuch*.
Nachdem Sie die Rolle erstellt haben, können Sie die Rolle so einschränken, dass sie nur Berechtigungen für Amazon Quick hat, indem Sie der Rolle eine Inline-Richtlinie anhängen. Das folgende Musterrichtliniendokument bietet Zugriff auf Amazon Quick. Diese Richtlinie gewährt Benutzern Zugriff auf Amazon Quick und ermöglicht es ihnen, sowohl Autorenkonten als auch Leserkonten zu erstellen.
**Anmerkung**
Ersetzen Sie es im folgenden Beispiel ** durch Ihre 12-stellige AWS-Konto ID (ohne Bindestriche '‐').
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Wenn Sie Zugriff auf Amazon Quick und auch die Möglichkeit bieten möchten, Amazon Quick-Administratoren, Autoren (Standardbenutzer) und Leser zu erstellen, können Sie das folgende Richtlinienbeispiel verwenden.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Sie können die Kontodetails in der AWS-Managementkonsole einsehen.
Nachdem Sie SAML und die IAM-Richtlinie bzw. -Richtlinien eingerichtet haben, müssen Sie Benutzer nicht manuell einladen. Wenn Benutzer Amazon Quick zum ersten Mal öffnen, werden sie automatisch bereitgestellt, wobei die höchsten Berechtigungen in der Richtlinie verwendet werden. Beispiel: Wenn sie die Berechtigungen für `quicksight:CreateUser` und `quicksight:CreateReader` besitzen, werden sie als Autoren bereitgestellt. Wenn sie auch über Berechtigungen für `quicksight:CreateAdmin` verfügen, werden sie als Administratoren bereitgestellt. Jede Berechtigungsstufe umfasst die Möglichkeit zum Erstellen von Benutzern auf oder unter der eigenen Ebene.. Beispiel: Ein Autor oder Leser kann anderen Autoren hinzufügen.
Eingeladene Benutzer, die manuell in der Rolle erstellt werden, werden von der einladenden Person manuell zugewiesen. Sie müssen nicht über Richtlinien verfügen, die ihnen Berechtigungen erteilen.
## Schritt 3: Konfigurieren des SAML IdP
Nachdem Sie die IAM-Rolle erstellt haben, aktualisieren Sie Ihren SAML-IdP etwa AWS als Dienstanbieter. [Installieren Sie dazu die `saml-metadata.xml` Datei unter saml-metadata.xml. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml)
Eine Anleitung zum Aktualisieren der IdP-Metadaten erhalten Sie von Ihrem Identitätsanbieter. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.
Weitere Informationen finden Sie in der Dokumentation des Identitätsanbieters.
## Schritt 4: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
Als Nächstes konfigurieren Sie die Informationen, an die der IdP als SAML-Attribute AWS als Teil der Authentifizierungsantwort weitergibt. Weitere Informationen finden Sie unter [Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im *IAM-Benutzerhandbuch*.
## Schritt 5: Konfigurieren des Relay-Status für den Verbund
Konfigurieren Sie abschließend den Relay-Status Ihres Verbunds so, dass er auf die Amazon Quick Relay-State-URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zu Amazon Quick weitergeleitet, was in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.
Die Relay-Status-URL für Amazon Quick lautet wie folgt.
```
https://quicksight.aws.amazon.com
```
# Anmeldung von Quick aus initiieren
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
In diesem Szenario initiiert Ihr Benutzer den Anmeldevorgang von einem Amazon Quick-Anwendungsportal aus, ohne beim Identitätsanbieter angemeldet zu sein. In diesem Fall verfügt der Benutzer über ein Verbundkonto, das von einem dritten Identitätsanbieter verwaltet wird. Der Benutzer hat möglicherweise ein Benutzerkonto bei Quick. Quick sendet eine Authentifizierungsanfrage an den IdP. Nachdem der Benutzer authentifiziert wurde, wird Quick geöffnet.
Beginnend mit der Anmeldung des Benutzers bei Quick umfasst die Authentifizierung die folgenden Schritte:
1. Der Benutzer öffnet Quick. Zu diesem Zeitpunkt ist der Benutzer nicht beim Identitätsanbieter angemeldet.
1. Der Benutzer versucht, sich bei Amazon Quick anzumelden.
1. Amazon Quick leitet die Benutzereingaben an den Federation Service weiter und fordert eine Authentifizierung an.
1. Der Verbunddienst und der Identitätsanbieter authentifizieren den Benutzer:
1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.
1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.
1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.
1. Der Browser des Benutzers sendet die SAML-Zusicherung an den SAML-Anmeldeendpunkt von AWS (`https://signin.aws.amazon.com/saml`).
1. AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an den Amazon Quick Service weiter.
1. Amazon Quick akzeptiert das Authentifizierungstoken von Amazon Quick AWS und präsentiert es dem Benutzer.
Für den Benutzer ist dieser Vorgang transparent. Der Benutzer beginnt in einem Amazon Quick-Anwendungsportal. Amazon Quick verhandelt die Authentifizierung mit dem Verbundservice Ihrer Organisation und AWS. Amazon Quick wird geöffnet, ohne dass der Benutzer zusätzliche Anmeldeinformationen angeben muss.
# Einrichtung eines vom Dienstanbieter initiierten Verbunds mit der Quick Enterprise Edition
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Nachdem Sie die Konfiguration Ihres Identitätsanbieters mit AWS Identity and Access Management (IAM) abgeschlossen haben, können Sie die vom Service Provider initiierte Anmeldung über Amazon Quick Enterprise Edition einrichten. Damit der schnell initiierte IAM-Verbund funktioniert, müssen Sie Quick autorisieren, die Authentifizierungsanfrage an Ihren IdP zu senden. Ein Quick-Administrator kann dies konfigurieren, indem er die folgenden vom IdP bereitgestellten Informationen hinzufügt:
+ Die IdP-URL — Quick leitet Benutzer zur Authentifizierung zu dieser URL weiter.
+ Der Relay-Status-Parameter – Dieser Parameter gibt den Status an, in dem sich die Browsersitzung befand, als sie zur Authentifizierung umgeleitet wurde. Der Identitätsanbieter leitet den Benutzer nach der Authentifizierung zurück in den ursprünglichen Status. Der Status wird als URL bereitgestellt.
Die folgende Tabelle zeigt die Standardauthentifizierungs-URL und den Relay-State-Parameter für die Weiterleitung des Benutzers an die von Ihnen angegebene Quick-URL.
| Identitätsanbieter | Parameter | Authentifizierungs-URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Google-Konten | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick unterstützt die Verbindung zu einem IdP pro. AWS-Konto Auf der Konfigurationsseite in Amazon Quick finden Sie Tests, die auf Ihren Eingaben URLs basieren, sodass Sie die Einstellungen testen können, bevor Sie die Funktion aktivieren. Um den Prozess noch reibungsloser zu gestalten, bietet Amazon Quick einen Parameter (`enable-sso=0`) zum vorübergehenden Ausschalten des von Amazon Quick initiierten IAM-Verbunds, falls Sie ihn vorübergehend deaktivieren müssen.
## Um Amazon Quick als Dienstanbieter einzurichten, der einen IAM-Verbund für einen bestehenden IdP initiieren kann
1. Stellen Sie sicher, dass Sie in Ihrem IdP, in IAM und Amazon Quick bereits einen IAM-Verbund eingerichtet haben. Um diese Einrichtung zu testen, prüfen Sie, ob Sie ein Dashboard mit einer anderen Person in der Domain Ihres Unternehmens teilen können.
1. Öffnen Sie Amazon Quick und wählen Sie in Ihrem Profilmenü oben rechts die Option **Amazon Quick verwalten**.
Um dieses Verfahren durchzuführen, müssen Sie ein Amazon Quick-Administrator sein. Wenn nicht, können Sie **Amazon Quick verwalten** nicht in Ihrem Profilmenü sehen.
1. Wählen Sie im Navigationsbereich **Single Sign-On (IAM-Verbund)** aus.
1. Geben Sie unter **Konfiguration**, **Identitätsanbieter-URL** die URL ein, die Ihr Identitätsanbieter zur Benutzerauthentifizierung bereitstellt.
1. Geben Sie für **Identitätsanbieter-URL** den Parameter ein, den Ihr Identitätsanbieter für den Relay-Status bereitstellt, z. B. `RelayState`. Der tatsächliche Name des Parameters wird von Ihrem Identitätsanbieter bereitgestellt.
1. Testen Sie die Anmeldung:
+ Um die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie die benutzerdefinierte URL, die unter **Testen Sie den Start mit Ihrem Identitätsanbieter** angegeben ist. Sie sollten auf der Startseite für Amazon Quick ankommen, zum Beispiel https://quicksight.aws.amazon.com/sn/ Start.
+ Um zunächst die Anmeldung bei Amazon Quick zu testen, verwenden Sie die benutzerdefinierte URL, **die Sie unter end-to-end Erlebnis testen finden**. Der `enable-sso`-Parameter wird an die URL angehängt. Wenn `enable-sso=1`, versucht der IAM-Verbund, sich zu authentifizieren.
1. Wählen Sie **Speichern**, um Ihre Einstellungen beizubehalten.
## Aktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund-Identitätsanbieter
1. Stellen Sie sicher, dass Ihre IAM-Verbundeinstellungen konfiguriert und getestet sind. Wenn Sie sich bei der Konfiguration nicht sicher sind, testen Sie die Verbindung, indem Sie das Verfahren URLs aus dem vorherigen Verfahren verwenden.
1. Öffnen Sie Amazon Quick und wählen Sie in Ihrem Profilmenü **Amazon Quick verwalten**.
1. Wählen Sie im Navigationsbereich **Single Sign-On (IAM-Verbund)** aus.
1. Wählen Sie unter **Status** die Option **AN** aus.
1. Stellen Sie sicher, dass es funktioniert, indem Sie die Verbindung zu Ihrem IdP trennen und Amazon Quick öffnen.
## So deaktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund
1. Öffnen Sie Amazon Quick und wählen Sie in Ihrem Profilmenü **Amazon Quick verwalten**.
1. Wählen Sie im Navigationsbereich **Single Sign-On (IAM-Verbund)** aus.
1. Wählen Sie unter **Status** die Option **AUS** aus.
# Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Quick
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
In der Amazon Quick Enterprise Edition können Sie als Administrator verhindern, dass neue Benutzer persönliche E-Mail-Adressen verwenden, wenn sie Quick direkt über ihren Identitätsanbieter (IdP) bereitstellen. Quick verwendet dann die vorkonfigurierten E-Mail-Adressen, die über den IdP weitergegeben wurden, um Ihrem Konto neue Benutzer zuzuweisen. Sie können beispielsweise festlegen, dass nur vom Unternehmen zugewiesene E-Mail-Adressen verwendet werden, wenn Benutzer über Ihren IdP Ihrem Amazon Quick-Konto zugewiesen werden.
**Anmerkung**
Stellen Sie sicher, dass sich Ihre Benutzer über ihren IdP direkt mit Amazon Quick verbinden. Wenn Sie sich AWS-Managementkonsole über ihren IdP mit ihnen verbinden und dann auf Amazon Quick klicken, wird ein Fehler angezeigt, und sie können nicht auf Amazon Quick zugreifen.
Wenn Sie die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick konfigurieren, haben Benutzer, die sich zum ersten Mal bei Ihrem Amazon Quick-Konto anmelden, vorab E-Mail-Adressen zugewiesen. Diese werden verwendet, um ihre Konten zu registrieren. Bei diesem Ansatz können die Nutzer den Zugang manuell durch Eingabe einer E-Mail-Adresse umgehen. Außerdem können die Benutzer keine E-Mail-Adresse verwenden, die sich von der von Ihnen, dem Administrator, angegebenen E-Mail-Adresse unterscheidet.
Amazon Quick unterstützt die Bereitstellung über einen IdP, der die SAML- oder OpenID Connect (OIDC) -Authentifizierung unterstützt. Um E-Mail-Adressen für neue Benutzer bei der Bereitstellung über einen Identitätsanbieter zu konfigurieren, aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle, die sie mit `AssumeRoleWithSAML` oder `AssumeRoleWithWebIdentity` verwenden. Dann fügen Sie ihrem Identitätsanbieter ein SAML-Attribut oder ein OIDC-Token hinzu. Zuletzt aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick.
Das folgende Verfahren beschreibt diese Schritte im Detail.
## Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity
Sie können E-Mail-Adressen für Ihre Benutzer konfigurieren, die sie bei der Bereitstellung über Ihren IdP für Amazon Quick verwenden. Fügen Sie dazu die `sts:TagSession`-Aktion zur Vertrauensbeziehung für die IAM-Rolle hinzu, die Sie mit `AssumeRoleWithSAML` oder `AssumeRoleWithWebIdentity` verwenden. Auf diese Weise können Sie `principal`-Tags übergeben, wenn Benutzer die Rolle übernehmen.
Das folgende Beispiel zeigt eine aktualisierte IAM-Rolle, bei der der Identitätsanbieter Okta ist. Um dieses Beispiel zu verwenden, aktualisieren Sie den `Federated`-Amazon-Ressourcennamen (ARN) mit dem ARN Ihres Dienstanbieters. Sie können rot markierte Artikel durch Ihre AWS und IdP-dienstspezifische Informationen ersetzen.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Schritt 2: Fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Prinzipal-Tag in Ihrem Identitätsanbieter hinzu
Nachdem Sie die Vertrauensbeziehung für die IAM-Rolle wie im vorangegangenen Abschnitt beschrieben aktualisiert haben, fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-`Principal`-Tag in Ihrem Identitätsanbieter hinzu.
Die folgenden Beispiele veranschaulichen ein SAML-Attribut und ein OIDC-Token. Um diese Beispiele zu verwenden, ersetzen Sie die E-Mail-Adresse durch eine Variable in Ihrem Identitätsanbieter, die auf die E-Mail-Adresse eines Benutzers verweist. Sie können rot hervorgehobene Elemente durch Ihre Informationen ersetzen.
+ **SAML-Attribut**: Das folgende Beispiel veranschaulicht ein SAML-Attribut.
```
john.doe@example.com
```
**Anmerkung**
Wenn Sie Okta als Ihren Identitätsanbieter verwenden, stellen Sie sicher, dass in Ihrem Okta-Benutzerkonto ein Feature-Flag aktiviert ist, um SAML zu verwenden. Weitere Informationen finden Sie im [Okta-Blog unter Okta und AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/).
+ **OIDC-Token**: Das folgende Beispiel veranschaulicht ein OIDC-Token-Beispiel.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Schritt 3: E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick aktivieren
Aktualisieren Sie, wie oben beschrieben, die Vertrauensbeziehung für die IAM-Rolle und fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-`Principal`-Tag in Ihrem Identitätsanbieter hinzu. Aktivieren Sie dann die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick, wie im folgenden Verfahren beschrieben.
**So aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer**
1. Wählen Sie auf einer beliebigen Seite in Amazon Quick oben rechts Ihren Benutzernamen und dann **Amazon Quick verwalten** aus.
1. Wählen Sie im Menü auf der linken Seite **Single Sign-On (IAM-Verbund)** aus.
1. Wählen Sie auf der Seite **Vom Dienstanbieter initiierter IAM-Verbund** für **E-Mail-Synchronisierung für Verbundbenutzer** die Option **AN** aus.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer aktiviert ist, verwendet Amazon Quick bei der Bereitstellung neuer Benutzer für Ihr Konto die E-Mail-Adressen, die Sie in den Schritten 1 und 2 konfiguriert haben. Benutzer können ihre eigenen E-Mail-Adressen nicht eingeben.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer deaktiviert ist, fordert Amazon Quick die Benutzer auf, ihre E-Mail-Adresse manuell einzugeben, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beliebige E-Mail-Adressen verwenden.
# Tutorial: Amazon Quick und IAM-Identitätsverbund
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Amazon Quick-Administratoren und Amazon Quick-Entwickler |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Im folgenden Tutorial finden Sie eine Anleitung zur Einrichtung von IdP Okta als Verbunddienst für Amazon Quick. Dieses Tutorial zeigt zwar die Integration von AWS Identity and Access Management (IAM) und Okta, Sie können diese Lösung jedoch auch mit SAML 2.0 Ihrer Wahl replizieren. IdPs
Im folgenden Verfahren erstellen Sie eine App im Okta IdP mithilfe der Verknüpfung „AWS Account Federation“. Okta beschreibt diese Integrations-App wie folgt:
„Durch die Zusammenführung von Okta mit Amazon Web Services (AWS) Identity and Access Management (IAM) -Konten erhalten Endbenutzer mit ihren Okta-Anmeldeinformationen Single-Sign-On-Zugriff auf alle ihnen zugewiesenen AWS Rollen. In jedem Fall richten Administratoren einen Verbund ein und konfigurieren AWS Rollen so AWS-Konto, dass sie Okta vertrauen. Wenn sich Benutzer anmelden, erhalten sie die Möglichkeit AWS, sich mit Okta Single Sign-In anzumelden, sodass sie die ihnen zugewiesenen Rollen einsehen können. AWS Sie können dann eine gewünschte Rolle auswählen, die ihre Berechtigungen für die Dauer ihrer authentifizierten Sitzung definiert. Kunden mit einer großen Anzahl von AWS Konten sollten sich die AWS Single Sign-On-App als Alternative ansehen.“ () https://www.okta.com/aws/
**Um eine Okta-App mithilfe der Anwendungsverknüpfung „AWS Account Federation“ von Okta zu erstellen**
1. Melden Sie sich in Ihrem Okta-Dashboard an. Wenn Sie noch kein Konto haben, erstellen Sie ein kostenloses Okta Developer Edition-Konto, indem Sie [diese URL der Marke Amazon Quick](https://developer.okta.com/quickstart/) verwenden. Wenn Sie Ihre E-Mail-Adresse aktiviert haben, melden Sie sich bei Okta an.
1. Wählen Sie auf der Okta-Website oben links **<> Entwicklerkonsole** und dann **Classic UI** aus.
1. Wählen Sie **Anwendungen hinzufügen** und dann **App hinzufügen**.
1. Geben Sie **aws** für **Suche** ein und wählen Sie in den Suchergebnissen **AWS -Kontoverbund** aus.
1. Wählen Sie **Hinzufügen**, um eine Instance dieser Anwendung zu erstellen.
1. Geben Sie unter **Anwendungsbeschreibung** **AWS Account Federation - Amazon Quick** ein.
1. Wählen Sie **Weiter** aus.
1. Geben Sie für **SAML 2.0**, **Standardmäßiger Relay-Status**, **https://quicksight.aws.amazon.com** ein.
1. Öffnen Sie das Kontextmenü (rechte Maustaste) für **Identitätsanbieter-Metadaten** und wählen Sie die Option zum Speichern der Datei. Benennen Sie die Datei `metadata.xml`. Sie benötigen diese Datei für die nächsten Schritte.
Der Inhalt der Datei ähnelt dem folgenden Beispiel.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Nachdem Sie die XML-Datei gespeichert haben, scrollen Sie zum Ende der Okta-Seite und wählen Sie **Fertig**.
1. Lassen Sie dieses Browserfenster nach Möglichkeit geöffnet. Sie benötigen es zu einem späteren Zeitpunkt in diesem Tutorial.
Als Nächstes erstellen Sie einen Identitätsanbieter in Ihrem AWS-Konto.
**Um einen SAML-Anbieter in (IAM) zu erstellen AWS Identity and Access Management**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Identitätsanbieter** und dann **Anbieter auswählen** aus.
1. Geben Sie die folgenden Einstellungen ein:
+ **Anbietertyp** – Wählen Sie **SAML** aus der Liste aus.
+ **Anbietername** – Geben Sie **Okta** ein.
+ **Metadaten-Dokument** – Laden Sie die XML-Datei `manifest.xml` aus dem vorherigen Verfahren hoch.
1. Wählen Sie **Nächster Schritt** und **Erstellen** aus.
1. Suchen Sie den Identitätsanbieter, den Sie erstellt haben, und wählen Sie ihn aus, um die Einstellungen anzuzeigen. Notieren Sie sich den **Anbieter-ARN**. Sie benötigen dies, um das Tutorial zu beenden.
1. Stellen Sie sicher, dass der Identitätsanbieter mit Ihren Einstellungen erstellt wurde. Wählen Sie in IAM **Identitätsanbieter**, **Okta** (der von Ihnen hinzugefügte Identitätsanbiete) und **Metadaten herunterladen** aus. Bei der Datei sollte es sich um die Datei handeln, die Sie kürzlich hochgeladen haben.
Als Nächstes erstellen Sie eine IAM-Rolle, damit der SAML 2.0-Verbund als vertrauenswürdige Entität in Ihrem agieren kann. AWS-Konto Für diesen Schritt müssen Sie auswählen, wie Sie Benutzer in Amazon Quick bereitstellen möchten. Sie können einen der folgenden Schritte ausführen:
+ Erteilen Sie der IAM-Rolle die Berechtigung, sodass Erstbesucher automatisch zu Amazon Quick-Benutzern werden.
**So erstellen Sie eine IAM-Rolle für einen SAML-2.0-Verbund als vertrauenswürdige Entität**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Roles (Rollen)** und **Create Role (Rolle erstellen)** aus.
1. Wählen Sie für **Typ der vertrauenswürdigen Entität auswählen** die Karte mit der Bezeichnung **SAML-2.0-Verbund** aus.
1. Wählen Sie für **SAML-Anbieter** den Identitätsanbieter aus, den Sie im vorherigen Vorgang erstellt haben, z. B. `Okta`.
1. Aktivieren Sie die Option **Programmatischen Zugriff und Zugriff auf die AWS -Managementkonsole zulassen**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Fügen Sie die folgende Richtlinie in den Editor ein.
Aktualisieren Sie den JSON im Richtlinien-Editor mit dem Amazon-Ressourcenname (ARN) Ihres Anbieters.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** den Namen **QuicksightOktaFederatedPolicy** ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie ein zweites Mal **Richtlinie erstellen**, **JSON** aus.
1. Fügen Sie die folgende Richtlinie in den Editor ein.
Aktualisieren Sie im Policy-Editor die JSON-Datei mit Ihrer AWS-Konto ID. Es sollte dieselbe Konto-ID sein, die Sie in der vorherigen Richtlinie im Anbieter-ARN verwendet haben.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Sie können den AWS-Region Namen im ARN weglassen, wie im Folgenden gezeigt.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** den Namen **QuicksightCreateReader** ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.
1. Aktualisieren Sie die Liste der Richtlinien, indem Sie das Aktualisierungssymbol auf der rechten Seite auswählen.
1. Geben Sie für **Suche** **QuicksightOktaFederatedPolicy** ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren (![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/checkbox-on.png)).
Wenn Sie die automatische Bereitstellung nicht verwenden möchten, können Sie den folgenden Schritt überspringen.
Um einen Amazon Quick-Benutzer hinzuzufügen, verwenden Sie [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Um eine Amazon Quick-Gruppe hinzuzufügen, verwenden Sie [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Um Benutzer zur Amazon Quick-Gruppe hinzuzufügen, verwenden Sie [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Optional) Geben Sie für **Suche** **QuicksightCreateReader** ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren (![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/checkbox-on.png)).
Führen Sie diesen Schritt aus, wenn Sie Amazon Quick-Benutzer automatisch bereitstellen möchten, anstatt die Amazon Quick API zu verwenden.
Die `QuicksightCreateReader`-Richtlinie aktiviert die automatische Bereitstellung, indem sie die Verwendung der `quicksight:CreateReader`-Aktion zulässt. Dadurch erhalten Erstbenutzer Zugriff auf Dashboard-Subscriber (auf Leserebene). Ein Amazon Quick-Administrator kann sie später über das Amazon Quick-Profilmenü, **Amazon Quick verwalten**, **Benutzer verwalten** aktualisieren.
1. Um mit dem Anhängen der IAM-Richtlinie oder -Richtlinien fortzufahren, wählen Sie **Weiter: Tags**.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie für **Rollenname** den Namen **QuicksightOktaFederatedRole** ein und klicken Sie auf **Rolle erstellen**.
1. Stellen Sie sicher, dass Sie den Vorgang erfolgreich abgeschlossen haben, indem Sie die folgenden Schritte ausführen:
1. Kehren Sie zur Hauptseite der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)zurück. Sie können die **Zurück**-Schaltfläche Ihres Browsers verwenden.
1. Wählen Sie **Roles**.
1. Geben Sie für **Suche** Okta ein. Wählen Sie **QuicksightOktaFederatedRole**aus den Suchergebnissen.
1. Sehen Sie sich auf der Seite **Übersicht** für die Richtlinie den Tab **Berechtigungen** an. Vergewissern Sie sich, dass die Rolle über die Richtlinie oder Richtlinien verfügt, die Sie ihr zugewiesen haben. Sie sollte `QuicksightOktaFederatedPolicy` haben. Wenn Sie sich für die Möglichkeit entschieden haben, Benutzer zu erstellen, sollte diese auch `QuicksightCreateReader` haben.
1. Verwenden Sie das ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/caret-right-filled.png)-Symbol, um jede Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt. Vergewissern Sie sich, dass Sie anstelle der AWS-Konto Beispielkontonummer 1111111111 Ihre eigene Nummer hinzugefügt haben.
1. Stellen Sie auf der Registerkarte **Vertrauensbeziehungen** sicher, dass das Feld **Vertrauenswürdige Entitäten** den ARN für den Identitätsanbieter enthält. Sie können den ARN in der IAM-Konsole überprüfen, indem Sie **Identitätsanbieter**, **Okta** öffnen.
**So erstellen Sie einen Zugriffsschlüssel für Okta**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Fügen Sie eine Richtlinie hinzu, die es Okta ermöglicht, dem Benutzer eine Liste von IAM-Rollen anzuzeigen. Wählen Sie dazu **Richtlinie**, **Richtlinie erstellen**.
1. Wählen Sie **JSON**, geben Sie dann die folgende Richtlinie ein.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Wählen Sie **Review policy** (Richtlinie überprüfen) aus.
1. Geben Sie unter **Name** **OktaListRolesPolicy** ein. Wählen Sie dann **Richtlinie erstellen** aus.
1. Fügen Sie einen Benutzer hinzu, damit Sie Okta einen Zugriffsschlüssel zur Verfügung stellen können.
Klicken Sie im Navigationsbereich auf **Benutzer** und **Benutzer hinzufügen**.
1. Verwenden Sie die folgenden Einstellungen:
+ Geben Sie unter **User Name (Benutzername)** den Text `OktaSSOUser` ein.
+ Aktivieren Sie als **Zugriffstyp** die Option **Programmgesteuerter Zugriff**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.
1. Geben Sie für **Suchen den **OktaListRolesPolicy** Suchbegriff** ein und wählen Sie **OktaListRolesPolicy**aus den Suchergebnissen aus.
1. Wählen Sie **Weiter: Tags** und danach **Weiter: Prüfen** aus.
1. Wählen Sie **Create user** (Benutzer erstellen) aus. Jetzt können Sie den Zugriffsschlüssel abrufen.
1. Laden Sie das Schlüsselpaar herunter, indem Sie **.csv herunterladen** wählen. Die Datei enthält dieselbe Zugriffsschlüssel-ID und denselben geheimen Zugriffsschlüssel, die auf diesem Bildschirm angezeigt werden. Da diese Informationen jedoch AWS kein zweites Mal angezeigt werden, stellen Sie sicher, dass Sie die Datei herunterladen.
1. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie wie folgt vorgehen:
1. Öffnen Sie die IAM-Konsole und wählen Sie **Benutzer** aus. Suchen Sie nach **Okta** und öffnen Sie esSSOUser, indem Sie den Benutzernamen aus den Suchergebnissen auswählen.
1. Vergewissern Sie sich auf der Registerkarte **Berechtigungen**, dass der angehängt **OktaListRolesPolicy**ist.
1. Verwenden Sie das ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/caret-right-filled.png)-Symbol, um die Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt.
1. Auf der Registerkarte **Sicherheitsanmeldedaten** können Sie den Zugriffsschlüssel überprüfen, obwohl Sie ihn bereits heruntergeladen haben. Sie können zu dieser Registerkarte zurückkehren, um einen Zugriffsschlüssel zu erstellen, wenn Sie einen neuen benötigen.
Im folgenden Verfahren kehren Sie zu Okta zurück, um den Zugriffsschlüssel bereitzustellen. Der Zugriffsschlüssel funktioniert mit Ihren neuen Sicherheitseinstellungen, damit AWS der Okta-IdP zusammenarbeiten kann.
**Um die Konfiguration der Okta-Anwendung mit den Einstellungen abzuschließen AWS**
1. Kehren Sie zu Ihrem Okta-Dashboard zurück. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn die Entwicklerkonsole nicht mehr geöffnet ist, wählen Sie **Admin**, um sie erneut zu öffnen.
1. Wenn Sie Okta erneut öffnen müssen, können Sie zu diesem Abschnitt zurückkehren, indem Sie die folgenden Schritte ausführen:
1. Melden Sie sich bei Okta an. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie **AWS Account Federation — Amazon Quick** — die Anwendung, die Sie zu Beginn dieses Tutorials erstellt haben.
1. Wählen Sie auf der Registerkarte **Anmelden** zwischen **Allgemein** und **Mobil**.
1. Scrollen Sie zu den **erweiterten Anmeldeeinstellungen**.
1. Geben Sie für **Identitätsanbieter-ARN (nur für den SAML-IAM-Verbund erforderlich)** den Dienst-ARN aus dem vorherigen Verfahren ein, zum Beispiel:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Wählen Sie **Fertig** oder **Speichern**. Der Name der Schaltfläche hängt davon ab, ob Sie die Anwendung erstellen oder bearbeiten.
1. Wählen Sie die Registerkarte **Bereitstellung** und wählen Sie im unteren Teil der Registerkarte die Option **API-Integration konfigurieren** aus.
1. Aktivieren Sie die Option **API-Integration aktivieren**, um die Einstellungen anzuzeigen.
1. Geben Sie für **Zugriffsschlüssel** und **Geheimer Schlüssel** den Zugriffsschlüssel und den geheimen Schlüssel ein, die Sie zuvor in eine Datei mit dem Namen **OktaSSOUser**`_credentials.csv` heruntergeladen haben.
1. Wählen Sie **API-Anmeldeinformationen testen** aus. Suchen Sie über der Einstellung **API-Integration aktivieren** nach einer Meldung, die bestätigt, dass der **AWS -Kontoverbund erfolgreich verifiziert wurde**.
1. Wählen Sie **Speichern**.
1. Vergewissern Sie sich, dass **Zur App** auf der linken Seite markiert ist, und wählen Sie rechts **Bearbeiten** aus.
1. Aktivieren Sie für **Benutzer erstellen** die Option **Aktivieren**.
1. Wählen Sie **Speichern**.
1. Wählen Sie auf der Registerkarte **Zuweisungen** neben **Bereitstellung** und **Import** die Option **Zuweisen** aus.
1. Um den Verbundzugriff zu aktivieren, führen Sie einen oder mehrere der folgenden Schritte aus:
+ Um mit einzelnen Benutzern zu arbeiten, wählen Sie **Personen zuweisen**.
+ Um mit IAM-Gruppen zu arbeiten, wählen Sie **Zu Gruppen zuordnen** aus. Sie können bestimmte IAM-Gruppen oder **Alle (Alle Benutzer in Ihrem Unternehmen**) auswählen.
1. Gehen Sie für jeden IAM-Benutzer oder jede Gruppe wie folgt vor:
1. Wählen Sie **Zuweisen**, **Rolle**.
1. Wählen Sie **QuicksightOktaFederatedRole**aus der Liste der IAM-Rollen aus.
1. Aktivieren Sie für **SAML-Benutzerrollen**. **QuicksightOktaFederatedRole**
1. Wählen Sie **Speichern und Zurück** und anschließend **Fertig**.
1. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie links den Filter **Personen** oder **Gruppen** auswählen und die von Ihnen eingegebenen Benutzer oder Gruppen überprüfen. Wenn Sie diesen Vorgang nicht abschließen können, weil die von Ihnen erstellte Rolle nicht in der Liste aufgeführt ist, kehren Sie zu den vorherigen Verfahren zurück, um die Einstellungen zu überprüfen.
**So melden Sie sich mit Okta bei Amazon Quick an (Anmeldung von IdP zum Dienstanbieter)**
1. Wenn Sie ein Okta-Administratorkonto verwenden, wechseln Sie in den Benutzermodus.
1. Melden Sie sich mit einem Benutzer, dem Verbundzugriff gewährt wurde, in Ihrem Okta-Anwendungs-Dashboard an. Sie sollten eine neue Anwendung mit Ihrem Label sehen, zum Beispiel **AWS Account Federation — Amazon Quick**.
1. Wählen Sie das Anwendungssymbol, um **AWS Account Federation — Amazon Quick** zu starten.
Sie können jetzt Identitäten mit Okta verwalten und den Verbundzugriff mit Quick verwenden.
Der folgende Vorgang ist ein optionaler Teil dieses Tutorials. Wenn Sie die Anweisungen befolgen, autorisieren Sie Amazon Quick, Autorisierungsanfragen im Namen Ihrer Benutzer an den IdP weiterzuleiten. Mit dieser Methode können sich Benutzer bei Amazon Quick anmelden, ohne sich zuerst über die IdP-Seite anmelden zu müssen.
**(Optional) So richten Sie Amazon Quick für das Senden von Authentifizierungsanfragen an Okta ein**
1. Öffnen Sie Amazon Quick und wählen Sie in Ihrem Profilmenü **Amazon Quick verwalten**.
1. Wählen Sie im Navigationsbereich **Single Sign-On (IAM-Verbund)** aus.
1. Geben Sie unter **Konfiguration**, **IdP-URL** die URL ein, die Ihr IdP zur Benutzerauthentifizierung bereitstellt, z. B. https://dev — .okta. *1-----0* com/home/amazon\$1aws/. *0oabababababaGQei5d5/282* Sie finden dies auf Ihrer Okta-App-Seite auf der Registerkarte **Allgemein** unter **Link einbetten**.
1. Geben Sie `RelayState` für **Identitätsanbieter-URL** ein.
1. Führen Sie eine der folgenden Aktionen aus:
+ Um die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie zunächst die benutzerdefinierte URL, die unter **Testen Sie den Start mit Ihrem Identitätsanbieter** angegeben ist. Sie sollten auf der Startseite für Amazon Quick ankommen, zum Beispiel https://quicksight.aws.amazon.com/sn/ Start.
+ Um zunächst die Anmeldung bei Amazon Quick zu testen, verwenden Sie die benutzerdefinierte URL, **die Sie unter end-to-end Erlebnis testen finden**. Der `enable-sso`-Parameter wird an die URL angehängt. Wenn `enable-sso=1`, versucht der IAM-Verbund, sich zu authentifizieren. Falls`enable-sso=0`, Amazon Quick sendet die Authentifizierungsanfrage nicht und Sie melden sich wie zuvor bei Amazon Quick an.
1. Wählen Sie unter **Status** die Option **AN** aus.
1. Wählen Sie **Speichern**, um Ihre Einstellungen beizubehalten.
Sie können einen Deep-Link zu einem Amazon Quick-Dashboard erstellen, damit Benutzer mithilfe des IAM-Verbunds eine direkte Verbindung zu bestimmten Dashboards herstellen können. Dazu hängen Sie das Relay-Status-Flag und die Dashboard-URL an die Okta-Single-Sign-On-URL an, wie im Folgenden beschrieben.
**Um einen Deep-Link zu einem Amazon Quick-Dashboard für Single Sign-On zu erstellen**
1. Suchen Sie die Single-Sign-On-URL (IAM-Verbund) der Okta-Anwendung in der `metadata.xml`-Datei, die Sie zu Beginn des Tutorials heruntergeladen haben. Sie finden die URL am Ende der Datei, in dem Element mit dem Namen `md:SingleSignOnService`. Das Attribut heißt `Location` und der Wert endet mit `/sso/saml`, wie im folgenden Beispiel gezeigt.
```
```
1. Nehmen Sie den Wert der IAM-Verbund-URL und fügen Sie ihn an, `?RelayState=` gefolgt von der URL Ihres Amazon Quick-Dashboards. Der `RelayState`-Parameter gibt den Status (die URL) weiter, in dem sich der Benutzer befand, als er zur Authentifizierungs-URL umgeleitet wurde.
1. Fügen Sie dem neuen IAM-Verbund mit dem hinzugefügten Relay-Status die URL Ihres Amazon Quick-Dashboards hinzu. Die resultierende URL sollte folgendermaßen aussehen.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Wenn sich der von Ihnen erstellte Link nicht öffnen lässt, überprüfen Sie, ob Sie die neueste IAM-Verbund-URL aus dem `metadata.xml` verwenden. Vergewissern Sie sich auch, dass der Benutzername, mit dem Sie sich anmelden, nicht in mehr als einer Okta-App für den IAM-Verbund zugewiesen wurde.
# Verwenden von Active Directory mit Amazon Quick Enterprise Edition
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Die Amazon Quick Enterprise Edition unterstützt sowohl [AWS Directory Service für Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) als auch [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Um ein neues Verzeichnis als Ihr Identitätsmanager für Quick zu erstellen, verwenden Sie AWS Directory Service for Microsoft Active Directory, auch bekannt als AWS Managed Microsoft AD. Hierbei handelt es sich um einen Active-Directory-Host in der AWS -Cloud, der einen Großteil der Funktionalität von Active Directory bereitstellt. Derzeit können Sie in jeder AWS Region, die von Amazon Quick unterstützt wird, eine Verbindung zu Active Directory herstellen, mit Ausnahme von Asien-Pazifik (Singapur). Wenn Sie ein Verzeichnis erstellen, verwenden Sie es in einer Virtual Private Cloud (VPC). Weitere Informationen finden Sie unter [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Wenn Sie über ein vorhandenes Verzeichnis verfügen, das Sie für Quick verwenden möchten, können Sie Active Directory Connector verwenden. Dieser Dienst leitet Verzeichnisanfragen an Ihr Active Directory weiter — in einem anderen Verzeichnis AWS-Region oder vor Ort —, ohne Informationen in der Cloud zwischenzuspeichern.
Eine exemplarische Vorgehensweise zum Erstellen und Verwalten eines Verzeichnisses mit AWS Managed Microsoft AD finden Sie unter [Verwenden eines AWS verwalteten Microsoft AD mit Quick?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) im AWS Knowledge Center.
Wenn Sie den AWS Directory Service zum Starten eines Verzeichnisses verwenden, AWS wird eine Organisationseinheit (OU) mit demselben Namen wie Ihre Domain erstellt. AWS erstellt außerdem ein Administratorkonto mit delegierten Administratorrechten für die Organisationseinheit. Sie können Konten, Gruppen und Richtlinien innerhalb der OU mithilfe von Active-Directory-Benutzer und -Gruppen erstellen. Weitere Informationen finden Sie unter [Best Practices for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) im *Directory Service Administration Guide.*
Nachdem Sie Ihr Verzeichnis eingerichtet haben, verwenden Sie es mit Quick, indem Sie Gruppen für Benutzer erstellen. Amazon Quick hat sechs spezifische Benutzerrollen, die zugewiesen werden können, einschließlich Pro-Versionen, die Zugriff auf erweiterte Funktionen bieten:
+ **Schnelle Administratoren — Administratoren** können Kontoeinstellungen ändern und Konten verwalten. Administratoren können auch zusätzliche Amazon Quick-Benutzerabonnements oder [SPICE-Kapazität](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) erwerben oder das Abonnement für Amazon Quick für Sie AWS-Konto kündigen. Admin Pro-Benutzer verfügen über zusätzliche Funktionen, darunter die Erstellung von Inhalten in natürlicher Sprache, den Aufbau von Wissensdatenbanken, die Konfiguration von Aktionen und den Zugriff auf erweiterte Automatisierungsworkflows.
+ **Schnellautoren** — Amazon Quick-Autoren können Datenquellen, Datensätze, Analysen und Dashboards erstellen. Sie können Analysen und Dashboards mit anderen Amazon Quick-Benutzern teilen. Author Pro-Benutzer können außerdem Inhalte in natürlicher Sprache erstellen, Wissensdatenbanken aufbauen, Aktionen konfigurieren und auf erweiterte Automatisierungsfunktionen zugreifen.
+ **Schnellleser** — Leser können Dashboards ansehen und mit ihnen interagieren, die von einer anderen Person erstellt wurden. Reader Pro-Benutzer haben Zugriff auf erweiterte Funktionen wie KI-Chat-Agenten, Bereiche für die Zusammenarbeit, Flows und Erweiterungen.
Sie können den Zugriff durch Anwendung von IAM-Richtlinien erweitern bzw. verfeinern. Beispiel: Sie können IAM-Richtlinien verwenden, um Benutzern zu erlauben, selbst abonnieren.
Wenn Sie die Amazon Quick Enterprise Edition abonnieren und Active Directory als Ihren Identitätsanbieter wählen, können Sie Ihre AD-Gruppen mit Amazon Quick verknüpfen. Sie können auch später AD-Gruppen hinzufügen oder ändern.
**Topics**
+ [Verzeichnisintegration mit der Quick Enterprise Edition](#directory-integration)
## Verzeichnisintegration mit der Quick Enterprise Edition
| |
| --- |
| Gilt für: Enterprise Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Quick Enterprise unterstützt die folgenden Optionen:
+ AWS Directory Service
+ AWS Directory Service mit AD Connector
+ On-Premises Active Directory mit IAM-Verbund oder AD Connector
+ IAM-Verbund unter Verwendung eines AWS IAM Identity Center Verbunddienstes eines Drittanbieters
Wenn Sie den IAM-Verbund mit einem lokalen Active Directory verwenden möchten, implementieren Sie den AWS Directory Service als separates Active Directory mit einer Vertrauensbeziehung zum lokalen Active Directory.
Wenn Sie keine Vertrauensstellung verwenden möchten, können Sie für die Authentifizierung innerhalb von AWS eine Standalone-Domain bereitstellen. Anschließend können Sie Benutzer und Gruppen in Active Directory erstellen. Anschließend ordnen Sie sie Benutzern und Gruppen in Quick zu. In diesem Beispiel authentifizieren sich Benutzer mit ihren Active-Directory-Anmeldeinformationen. Um Ihren Benutzern den Zugriff auf Quick transparent zu machen, verwenden Sie in diesem Szenario den IAM-Verbund.
# Verwenden der Multi-Faktor-Authentifizierung (MFA) mit Amazon Quick
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Systemadministratoren |
**Wichtig**
Amazon Quick empfiehlt, neue Quick-Abonnements in IAM Identity Center für Identitätsmanagement zu integrieren. Dieses Benutzerhandbuch für den IAM Identity Federation dient als Referenz für bestehende Kontokonfigurationen. Weitere Informationen zur Integration Ihres Quick-Kontos mit IAM Identity Center finden [Sie unter Konfigurieren Ihres Quick-Kontos mit IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Identity Center.
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Es gibt mehrere Möglichkeiten, wie Sie die Multi-Faktor-Authentifizierung (MFA) mit Quick verwenden können. Sie können sie mit AWS Identity and Access Management (IAM) verwenden. Sie können es mit AD Connector oder Ihrem [AWS Directory Service](https://aws.amazon.com/directoryservice/) für Microsoft Active Directory, auch bekannt als AWS Microsoft Active Directory oder AWS Managed Microsoft Active Directory, verwenden. Und wenn Sie einen externen Identitätsanbieter (IdP) verwenden, benötigen Sie AWS keine Informationen über MFA, da dies Teil der Authentifizierung ist, die vom IdP durchgeführt wird.
Weitere Informationen finden Sie hier:
+ [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) im IAM-Benutzerhandbuch.
+ [Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS verwaltetes Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) im AWS Directory Service Administratorhandbuch
+ [Aktivieren der Multi-Faktor-Authentifizierung für AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) im AWS Directory Service -Verwaltungshandbuch
Wenn Sie ein Entwickler sind, sollten Sie sich die folgenden Informationen ansehen:
+ [Wie verwende ich ein MFA-Token, um den Zugriff auf meine AWS Ressourcen über die AWS CLI im Knowledge Center zu authentifizieren](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/)[?AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ [Konfigurieren eines MFA-geschützten API-Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im IAM-Benutzerhandbuch