Schritt 1: Festlegen von Berechtigungen - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Festlegen von Berechtigungen

Im folgenden Abschnitt erfahren Sie, wie Sie Berechtigungen für die Back-End-Anwendung oder den Webserver einrichten. Für diese Aufgabe ist Administratorzugriff auf IAM erforderlich.

Jeder Benutzer, der auf ein Dashboard zugreift, nimmt eine Rolle ein, die ihm QuickSight Amazon-Zugriff und Berechtigungen für das Dashboard gewährt. Um dies zu ermöglichen, erstellen Sie eine IAM Rolle in Ihrem AWS-Konto. Ordnen Sie der Rolle eine IAM Richtlinie zu, um jedem Benutzer, der sie annimmt, Berechtigungen zu gewähren. Die IAM Rolle muss Berechtigungen zum Abrufen von Einbettungen URLs für einen bestimmten Benutzerpool bereitstellen. Mithilfe des Platzhalterzeichens * können Sie die Berechtigungen zum Generieren von a URL für alle Benutzer in einem bestimmten Namespace oder für eine Untergruppe von Benutzern in bestimmten Namespaces gewähren. Dazu fügen Sie quicksight:GenerateEmbedUrlForRegisteredUser hinzu.

Sie können in Ihrer IAM Richtlinie eine Bedingung erstellen, die die Domänen einschränkt, die Entwickler im Parameter eines Vorgangs auflisten können. AllowedDomains GenerateEmbedUrlForRegisteredUser API Der AllowedDomains-Parameter ist ein optionaler Parameter. Sie gewährt Ihnen als Entwickler die Möglichkeit, die statischen Domänen zu überschreiben, die im QuickSight Menü Verwalten konfiguriert sind. Stattdessen können Sie bis zu drei Domains oder Subdomains auflisten, die auf die generierten URL Domains zugreifen können. Dies URL wird dann in die von Ihnen erstellte Website eingebettet. Nur die Domains, die im Parameter aufgeführt sind, können auf die eingebettete Visualisierung zugreifen. Ohne diese Bedingung können Sie jede Domain im Internet im AllowedDomains-Parameter auflisten.

Um die Domänen einzuschränken, die Entwickler mit diesem Parameter verwenden können, fügen Sie Ihrer IAM Richtlinie eine AllowedEmbeddingDomains Bedingung hinzu. Weitere Informationen zu dem AllowedDomains Parameter finden Sie GenerateEmbedUrlForRegisteredUserin der QuickSight APIAmazon-Referenz.

Die folgende Beispielrichtlinie gewährt diese Berechtigungen.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Wenn Sie Erstbenutzer erstellen, die QuickSight Amazon-Leser sein werden, stellen Sie außerdem sicher, dass Sie die quicksight:RegisterUser Erlaubnis in der Richtlinie hinzufügen.

Die folgende Beispielrichtlinie gewährt Erstbenutzern, die als Leser dienen sollen, die Erlaubnis URL zum Abrufen einer Einbettung. QuickSight 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

Schließlich muss der IAM Identität Ihrer Anwendung eine Vertrauensrichtlinie zugeordnet sein, um den Zugriff auf die Rolle zu ermöglichen, die Sie gerade erstellt haben. Das heißt, wenn ein Benutzer auf Ihre Anwendung zugreift, kann Ihre Anwendung die Rolle im Namen des Benutzers übernehmen und dem Benutzer Zugriff gewähren. QuickSight Das folgende Beispiel zeigt eine Vertrauensrichtlinie. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Weitere Informationen zu Vertrauensrichtlinien für OpenID Connect oder SAML Authentifizierung finden Sie in den folgenden Abschnitten des IAMBenutzerhandbuchs: