Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie Administrator bei Amazon sind AWS Organizations, können Sie mithilfe von Richtlinien zur Servicesteuerung (SCPs) einschränken, wie sich Personen in Ihrer Organisation bei Amazon registrieren können QuickSight. Sie können die Edition von Amazon einschränken, für die QuickSight sie sich registrieren können, und auch den Benutzertyp, für den sie sich registrieren können.
AWS Organizations ist ein Service zur Verwaltung von Benutzerkonten, mit dem Sie mehrere AWS Konten in einer Organisation zusammenfassen können, die Sie erstellen und zentral verwalten. Sie können SCPs in verwenden AWS Organizations , um die Berechtigungen in Ihrer Organisation zu verwalten. Weitere Informationen finden Sie unter Was ist AWS Organizations? und Richtlinien zur Servicesteuerung im AWS Organizations Benutzerhandbuch.
Im folgenden Thema erfahren Sie mehr über zwei Möglichkeiten, die QuickSight Amazon-Anmeldeoptionen mithilfe von SCPs AWS Organizations einzuschränken. Das Thema enthält ein Beispiel für eine SCP. Weitere Informationen zum Erstellen SCPs finden Sie in den folgenden Themen im AWS Organizations Benutzerhandbuch:
Beschränkung der Amazon-Edition QuickSight
Um die Edition von Amazon einzuschränken, für QuickSight die sich Ihre verwalteten Konten registrieren können, verwenden Sie den quicksight:Edition Bedingungsschlüssel in Ihrem SCP. Die Werte für diesen Schlüssel sind in der folgenden Tabelle aufgeführt und beschrieben.
| Schlüsselname | Schlüsselwert | Beschreibung |
|---|---|---|
|
|
|
QuickSight Standard Edition |
|
|
QuickSight Enterprise-Ausgabe |
Einschränken der Benutzerverwaltungsoptionen
Um die Benutzerverwaltungsoptionen einzuschränken, mit denen sich Einzelpersonen in Ihrer Organisation bei Amazon registrieren können QuickSight, verwenden Sie den quicksight:DirectoryType Bedingungsschlüssel in Ihrem SCP. Die Werte für diesen Schlüssel sind in der folgenden Tabelle aufgeführt und beschrieben.
| Schlüsselname | Schlüsselwert | Beschreibung |
|---|---|---|
|
|
|
IAM-Verbundidentitäten und -verwaltete Benutzer QuickSight |
|
|
Nur IAM-Verbundidentitäten |
|
|
|
In Microsoft Active Directory verwaltete Benutzer auf AWS Directory Service for Microsoft Active Directory |
|
|
|
Benutzer, die im lokalen Active Directory verwaltet und über AD_Connector verbunden sind mit AWS Directory Service for Microsoft Active Directory |
|
|
|
Benutzer, die in einem QuickSight Konto verwaltet werden, das in IAM Identity Center integriert ist. |
Beispiel-SCP
Das folgende Beispiel für Amazon QuickSight zeigt eine Service Control-Richtlinie, die die Registrierung für eine QuickSight Standard Edition verweigert und die Möglichkeit, sich mit unseren Active Directory-Anmeldeinformationen QuickSight anzumelden, deaktiviert. Diese Richtlinie verwendet die quicksight:subscribe-Aktion zusätzlich zu den zuvor beschriebenen Bedingungsschlüsseln. Eine Liste mit QuickSight spezifischen Schlüsseln zur Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon QuickSight in der Service Authorization Reference.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}Wenn diese Richtlinie in Kraft ist, können sich Einzelpersonen in einer Organisation nur für die QuickSight Enterprise Edition registrieren. Außerdem können sie sich nur über die für das IAM Identity Center aktivierte Anwendungsoption anmelden. Wenn sie versuchen, sich für die QuickSight Standard Edition zu registrieren oder eine andere Form der Authentifizierung zu verwenden, können sie sich nicht registrieren. Sie erhalten eine Nachricht, in der erklärt wird, dass sie nicht über die erforderlichen Anmeldeberechtigungen verfügen QuickSight.
