Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Amazon QuickSight verwenden können.
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight
Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien, die mit Amazon verwendet werden können. QuickSight
Themen
Identitätsbasierte IAM-Richtlinien für die Verwaltung der IAM-Konsole QuickSight
Identitätsbasierte IAM-Richtlinien für Amazon: Dashboards QuickSight
Identitätsbasierte IAM-Richtlinien für Amazon: Namespaces QuickSight
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: benutzerdefinierte Berechtigungen
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Anpassen von E-Mail-Berichtsvorlagen
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Benutzer erstellen
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Gruppen erstellen und verwalten
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für die Standard Edition
Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Active Directory-Gruppen
AWS Ressourcen Amazon QuickSight: Geltungsbereichsrichtlinien in der Enterprise Edition
Identitätsbasierte IAM-Richtlinien für die Verwaltung der IAM-Konsole QuickSight
Das folgende Beispiel zeigt die IAM-Berechtigungen, die für QuickSight Verwaltungsaktionen der IAM-Konsole erforderlich sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon: Dashboards QuickSight
Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon: Namespaces QuickSight
Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem QuickSight Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.
Erstellen von Namespaces
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}Löschen von Namespaces
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: benutzerdefinierte Berechtigungen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem QuickSight Administrator oder Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Anpassen von E-Mail-Berichtsvorlagen
Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in QuickSight sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem QuickSight Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Erstellen Sie ein Enterprise-Konto mit verwalteten Benutzern QuickSight
Das folgende Beispiel zeigt eine Richtlinie, die es QuickSight Administratoren ermöglicht, ein Enterprise QuickSight Edition-Konto mit QuickSight verwalteten Benutzern zu erstellen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Benutzer erstellen
Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von QuickSight Amazon-Benutzern erlaubt. Für quicksight:CreateReader, quicksight:CreateUser und quicksight:CreateAdmin können Sie die Berechtigungen für "Resource":
"arn:aws:quicksight:: beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Gruppen erstellen und verwalten
Das folgende Beispiel zeigt eine Richtlinie, die es QuickSight Administratoren und Entwicklern ermöglicht, Gruppen zu erstellen und zu verwalten.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für die Standard Edition
Das folgende Beispiel für die Amazon QuickSight Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit IAM Identity Center (Pro-Rollen)
Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die es einem QuickSight Benutzer ermöglicht QuickSight, Active Directory in einem QuickSight Konto zu abonnieren, Benutzer zu erstellen und zu verwalten, das in IAM Identity Center integriert ist.
Diese Richtlinie ermöglicht es Benutzern auch, QuickSight Pro-Rollen zu abonnieren, die Zugriff auf Amazon Q in QuickSight Generative BI-Funktionen gewähren. Weitere Informationen zu Profi-Rollen bei Amazon QuickSight finden Sie unterBeginnen Sie mit Generative BI.
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"sso:ListApplications",
"sso:GetSharedSsoConfiguration",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAccessScope",
"sso:GetSSOStatus",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DisableAWSServiceAccess",
"organizations:EnableAWSServiceAccess",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"user-subscriptions:ListClaims",
"user-subscriptions:ListUserSubscriptions",
"user-subscriptions:DeleteClaim",
"sso-directory:DescribeUsers",
"sso-directory:DescribeGroups",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeGroup",
"sso-directory:DescribeUser",
"sso-directory:DescribeDirectory",
"signin:ListTrustedIdentityPropagationApplicationsForConsole",
"signin:CreateTrustedIdentityPropagationApplicationForConsole",
"q:CreateAssignment",
"q:DeleteAssignment"
],
"Resource": [
"*"
]
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit IAM Identity Center
Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem QuickSight Konto ermöglicht, das in IAM Identity Center integriert ist.
Diese Richtlinie gewährt keine Berechtigungen zum Erstellen von Pro-Rollen in. QuickSight Informationen zum Erstellen einer Richtlinie, die die Berechtigung zum Abonnieren von Pro-Rollen in gewährt QuickSight, finden Sie unterIdentitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit IAM Identity Center (Pro-Rollen).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit Active Directory
Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem QuickSight Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Active Directory-Gruppen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon QuickSight Enterprise Edition-Konto ermöglicht.
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Verwenden der Admin-Asset-Management-Konsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: mithilfe der Admin-Schlüsselverwaltungskonsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}Die "kms:ListAliases" Berechtigungen "quicksight:ListKMSKeysForUser" und sind erforderlich, um über die Konsole auf vom Kunden verwaltete Schlüssel zuzugreifen. QuickSight "quicksight:ListKMSKeysForUser"und "kms:ListAliases" sind nicht erforderlich, um die QuickSight Schlüsselverwaltung zu verwenden APIs.
Um anzugeben, auf welche Schlüssel ein Benutzer zugreifen soll, fügen Sie ARNs der UpdateKeyRegistration Bedingung mit dem Bedingungsschlüssel die Schlüssel hinzu, auf die der quicksight:KmsKeyArns Benutzer zugreifen soll. Benutzer können nur auf die unter angegebenen Schlüssel zugreifenUpdateKeyRegistration. Weitere Informationen zu unterstützten Bedingungsschlüsseln für QuickSight finden Sie unter Bedingungsschlüssel für Amazon QuickSight.
Das folgende Beispiel gewährt Describe Berechtigungen für alle CMKs , die für ein QuickSight Konto registriert sind, und Update Berechtigungen für bestimmte Personen, die für CMKs das Konto registriert sind. QuickSight
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}AWS Ressourcen Amazon QuickSight: Geltungsbereichsrichtlinien in der Enterprise Edition
Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}