Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan untuk Cepat
Bagian ini membantu Anda memahami cara mengonfigurasi identitas dan manajemen akses, serta mengontrol pendaftaran untuk pengguna saat Anda menyiapkan instans Amazon Quick.
**catatan**
Untuk informasi tentang cara mengatur instans Amazon Quick, termasuk membuat AWS akun, mendaftar langganan Amazon Quick, dan masuk ke Amazon Quick, lihat [Menyiapkan dan masuk ke Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/setting-up.html).
**Topics**
+ [Menggunakan kebijakan kontrol layanan untuk membatasi opsi pendaftaran Amazon Cepat](security-scp-admin.md)
+ [Manajemen identitas dan akses di Quick](identity.md)
+ [Mengizinkan domain Amazon Cepat](allowlist-domains.md)
# Menggunakan kebijakan kontrol layanan untuk membatasi opsi pendaftaran Amazon Cepat
Jika Anda seorang administrator AWS Organizations, Anda dapat menggunakan kebijakan kontrol layanan (SCPs) untuk membatasi cara individu di organisasi Anda dapat mendaftar ke Amazon Quick. Anda dapat membatasi edisi Quick yang dapat mereka daftarkan, dan juga jenis pengguna yang dapat mereka daftarkan.
AWS Organizations adalah layanan manajemen akun pengguna yang dapat Anda gunakan untuk mengkonsolidasikan beberapa AWS akun ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat menggunakannya SCPs AWS Organizations untuk mengelola izin di organisasi Anda. Untuk informasi lebih lanjut, lihat [Apa itu AWS Organizations?](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) dan [kebijakan kontrol Layanan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan AWS Organizations Pengguna*.
Dalam topik berikut, Anda dapat mempelajari dua cara untuk membatasi opsi pendaftaran cepat menggunakan SCPs in. AWS Organizations Topiknya mencakup contoh SCP. Untuk mempelajari lebih lanjut tentang membuat SCPs, lihat topik berikut di *Panduan AWS Organizations Pengguna*:
+ [Membuat, memperbarui, dan menghapus kebijakan kontrol layanan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Sintaks SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Strategi untuk menggunakan SCPs](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [Membatasi edisi Cepat](#security-scp-edition)
+ [Membatasi opsi manajemen pengguna](#security-scp-user)
+ [Contoh SCP](#security-scp-example)
## Membatasi edisi Cepat
Untuk membatasi edisi Quick yang dapat didaftarkan oleh akun terkelola Anda, gunakan kunci `quicksight:Edition` kondisi di SCP Anda. Nilai untuk kunci ini tercantum dan dijelaskan dalam tabel berikut.
| Nama Kunci | Nilai Kunci | Deskripsi |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Edisi Standar Cepat Amazon |
| | `enterprise` | Edisi Perusahaan Cepat Amazon |
## Membatasi opsi manajemen pengguna
Untuk membatasi opsi manajemen pengguna yang dapat digunakan individu di organisasi Anda untuk mendaftar ke Quick, gunakan kunci `quicksight:DirectoryType` kondisi di SCP Anda. Nilai untuk kunci ini tercantum dan dijelaskan dalam tabel berikut.
| Nama Kunci | Nilai Kunci | Deskripsi |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | Identitas federasi IAM dan pengguna Amazon Quick-managed |
| | `iam` | Hanya identitas federasi IAM |
| | `microsoft_ad` | Pengguna yang dikelola di Microsoft Active Directory pada AWS Directory Service for Microsoft Active Directory |
| | `ad_connector` | Pengguna dikelola di Active Directory lokal dan terhubung melalui AD\$1connector ke AWS Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | Pengguna dikelola di akun Amazon Quick yang terintegrasi dengan IAM Identity Center. |
## Contoh SCP
Contoh berikut untuk Quick menunjukkan kebijakan kontrol layanan yang menolak mendaftar untuk Amazon Quick Standard Edition dan mencegah kemampuan untuk mendaftar menggunakan autentikasi IAM Identity Center. Kebijakan ini menggunakan `quicksight:Subscribe` tindakan, selain kunci kondisi yang dijelaskan sebelumnya. Untuk daftar kunci khusus Amazon Quick untuk digunakan dalam kebijakan izin IAM, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Cepat](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html) di Referensi Otorisasi *Layanan*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
Dengan kebijakan ini berlaku, individu dalam suatu organisasi hanya dapat mendaftar untuk Amazon Quick Enterprise Edition, dan mereka harus menggunakan metode otentikasi selain Pusat Identitas IAM. Jika mereka mencoba mendaftar ke Amazon Quick Standard Edition atau mencoba menggunakan autentikasi IAM Identity Center, mereka akan dibatasi untuk mendaftar dan menerima pesan yang menjelaskan bahwa mereka tidak memiliki izin yang tepat.
# Manajemen identitas dan akses di Quick
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem dan administrator Amazon Quick |
Anda dapat menggunakan alat berikut untuk identitas dan akses ke Quick:
+ [Pusat Identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (khusus edisi Enterprise)
+ [Federasi IAM](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (edisi Standar dan Perusahaan)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(Hanya edisi Enterprise)
+ Sistem [masuk tunggal berbasis SAML (edisi](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) Standar dan Perusahaan)
+ [Otentikasi multifaktor (MFA) (edisi Standar dan Perusahaan)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)
**catatan**
Di wilayah yang tercantum di bawah ini, akun Amazon Quick hanya dapat menggunakan [Pusat Identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) untuk manajemen identitas dan akses.
`af-south-1`Afrika (Cape Town)
`ap-southeast-3`Asia Pasifik (Jakarta)
`ap-southeast-5`Asia Pasifik (Malaysia)
`eu-south-1`Eropa (Milan)
`eu-central-2`Eropa (Zürich)
Bagian berikut membantu Anda mengonfigurasi metode manajemen identitas pilihan Anda untuk Cepat.
**Topics**
+ [Menggunakan IAM](iam.md)
+ [Menggunakan Pusat Identitas IAM](setting-up-sso.md)
+ [Federasi IAM](iam-federation.md)
+ [Menggunakan Active Directory dengan Amazon Quick Enterprise edisi](aws-directory-service.md)
+ [Menggunakan otentikasi multi-faktor (MFA) dengan Amazon Quick](using-multi-factor-authentication-mfa.md)
# Menggunakan IAM
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon Quick. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Pengantar konsep IAM](security_iam_concepts.md)
+ [Menggunakan Cepat dengan IAM](security_iam_service-with-iam.md)
+ [Melewati peran IAM ke Quick](security-create-iam-role.md)
+ [Contoh kebijakan IAM untuk Quick](iam-policy-examples.md)
+ [Menyediakan pengguna untuk Amazon Quick](provisioning-users.md)
+ [Pemecahan masalah Identitas dan akses cepat](security_iam_troubleshoot.md)
# Pengantar konsep IAM
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator untuk lebih aman mengontrol akses ke AWS sumber daya. Administrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Amazon Quick. IAM adalah layanan AWS yang dapat Anda gunakan tanpa dikenakan biaya tambahan.
IAM digunakan dengan Amazon Quick dalam beberapa cara, termasuk yang berikut:
+ Jika perusahaan Anda menggunakan IAM untuk manajemen identitas mereka, orang mungkin memiliki nama pengguna dan kata sandi IAM yang mereka gunakan untuk masuk ke Amazon Quick.
+ Jika ingin pengguna Amazon Quick dibuat secara otomatis saat masuk pertama kali, Anda dapat menggunakan IAM untuk membuat kebijakan bagi pengguna yang telah diotorisasi sebelumnya untuk menggunakan Amazon Quick.
+ Jika Anda ingin membuat akses khusus untuk grup pengguna Amazon Quick tertentu atau ke sumber daya tertentu, Anda dapat menggunakan kebijakan IAM untuk melakukannya.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
## Audiens
Gunakan yang berikut ini untuk membantu memahami konteks informasi yang diberikan di bagian ini, dan bagaimana hal itu berlaku untuk peran Anda. Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda tergantung pada pekerjaan yang Anda lakukan di Amazon Quick.
**Pengguna layanan** — Dalam beberapa kasus, Anda dapat menggunakan Amazon Quick sebagai Penulis atau Pembaca untuk berinteraksi dengan data, analisis, dan dasbor, spasi, dan agen melalui Amazon Quick dengan menggunakan antarmuka browser. Dalam kasus ini, bagian ini hanya menyediakan informasi latar belakang untuk Anda. Anda tidak berinteraksi langsung dengan layanan IAM, kecuali jika Anda menggunakan IAM untuk masuk ke Amazon Quick.
**Administrator Cepat Amazon** - Jika Anda bertanggung jawab atas sumber daya Amazon Quick di perusahaan Anda, Anda mungkin memiliki akses penuh ke Amazon Quick. Tugas Anda adalah menentukan fitur dan sumber daya Amazon Quick mana yang harus diakses anggota tim Anda. Jika Anda memiliki persyaratan khusus yang tidak dapat diselesaikan dengan menggunakan panel admin Amazon Quick, Anda dapat bekerja dengan administrator untuk membuat kebijakan izin bagi pengguna Amazon Quick Anda. Untuk mempelajari lebih lanjut tentang IAM, baca halaman ini untuk memahami konsep dasar IAM. Untuk mempelajari selengkapnya tentang cara perusahaan Anda dapat menggunakan IAM dengan Amazon Quick, lihat [Menggunakan Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrator** - Jika Anda seorang administrator sistem, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses ke Amazon Quick. Untuk melihat contoh kebijakan berbasis identitas Cepat Amazon yang dapat Anda gunakan di IAM, lihat kebijakan [berbasis identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) untuk Amazon Quick.
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Akun AWS pengguna root](#security_iam_authentication-rootuser)
+ [Pengguna dan grup IAM](#security_iam_authentication-iamuser)
+ [Peran IAM](#security_iam_authentication-iamrole)
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Menggunakan Cepat dengan IAM
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Quick, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Quick. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Quick dan AWS layanan lainnya dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Kebijakan Cepat Amazon (berbasis identitas)](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan Amazon Quick (berbasis sumber daya)](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag Cepat Amazon](#security_iam_service-with-iam-tags)
+ [Peran IAM Cepat Amazon](#security_iam_service-with-iam-roles)
## Kebijakan Cepat Amazon (berbasis identitas)
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Amazon Quick mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
Anda dapat menggunakan kredensi AWS root atau kredensi pengguna IAM untuk membuat akun Amazon Quick. AWS kredensi root dan administrator sudah memiliki semua izin yang diperlukan untuk mengelola akses cepat Amazon ke sumber daya. AWS
Namun, kami menyarankan Anda melindungi kredensi root Anda, dan sebagai gantinya menggunakan kredenal pengguna IAM. Untuk melakukan ini, Anda dapat membuat kebijakan dan melampirkannya ke pengguna IAM dan peran yang ingin Anda gunakan untuk Amazon Quick. Kebijakan harus menyertakan pernyataan yang sesuai untuk tugas administratif Amazon Quick yang perlu Anda lakukan, seperti yang dijelaskan di bagian berikut.
**penting**
Perhatikan hal-hal berikut saat bekerja dengan kebijakan Cepat dan IAM:
Hindari memodifikasi kebijakan yang dibuat oleh Quick secara langsung. Ketika Anda memodifikasinya sendiri, Quick tidak dapat mengeditnya. Ketidakmampuan ini dapat menyebabkan masalah dengan kebijakan. Untuk memperbaiki masalah ini, hapus kebijakan yang telah diubah sebelumnya.
Jika Anda mendapatkan kesalahan pada izin saat mencoba membuat akun Cepat Amazon, lihat [Tindakan yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) di *Panduan Pengguna IAM*.
Dalam beberapa kasus, Anda mungkin memiliki akun Amazon Quick yang tidak dapat Anda akses bahkan dari akun root (misalnya, jika Anda secara tidak sengaja menghapus layanan direktorinya). Dalam hal ini, Anda dapat menghapus akun Amazon Quick lama Anda, lalu membuatnya kembali. Untuk informasi selengkapnya, lihat [Menghapus langganan Amazon Quick dan menutup akun](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Tindakan](#security_iam_service-with-iam-id-based-policies-actions)
+ [Sumber daya](#security_iam_service-with-iam-id-based-policies-resources)
+ [Kunci syarat](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Contoh](#security_iam_service-with-iam-id-based-policies-examples)
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Amazon Cepat gunakan awalan berikut sebelum tindakan:`quicksight:`. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon EC2 dengan operasi API `RunInstances` Amazon EC2, Anda menyertakan tindakan `ec2:RunInstances` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Amazon Quick mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Create`, sertakan tindakan berikut:
```
"Action": "quicksight:Create*"
```
Amazon Quick menyediakan sejumlah tindakan AWS Identity and Access Management (IAM). Semua tindakan Amazon Quick diawali dengan`quicksight:`, seperti`quicksight:Subscribe`. Untuk informasi tentang menggunakan tindakan Cepat Amazon dalam kebijakan IAM, lihat [contoh kebijakan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Untuk melihat up-to-date daftar tindakan Cepat Amazon terbanyak, lihat [Tindakan yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) di *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Berikut ini adalah contoh kebijakan. Ini berarti bahwa penelepon dengan kebijakan ini terlampir, dapat menjalankan `CreateGroupMembership` operasi pada grup mana pun, asalkan nama pengguna yang mereka tambahkan ke grup tidak. `user1`
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Beberapa tindakan Amazon Quick, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Beberapa tindakan API melibatkan beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
```
Untuk melihat daftar jenis sumber daya Amazon Cepat dan Nama Sumber Daya Amazon (ARNs), lihat [Sumber Daya yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) di *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Amazon Quick tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Cepat Amazon, lihat [Kebijakan Cepat Amazon (](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)berbasis identitas).
## Kebijakan Amazon Quick (berbasis sumber daya)
Amazon Quick tidak mendukung kebijakan berbasis sumber daya. Namun, Anda dapat menggunakan konsol Amazon Quick untuk mengonfigurasi akses ke AWS sumber daya lain di Anda Akun AWS.
## Otorisasi berdasarkan tag Cepat Amazon
Amazon Quick tidak mendukung sumber daya penandaan atau mengontrol akses berdasarkan tag.
## Peran IAM Cepat Amazon
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu. Anda dapat menggunakan peran IAM untuk mengelompokkan izin bersama agar lebih mudah mengelola akses pengguna ke tindakan Cepat Amazon.
Amazon Quick tidak mendukung fitur peran berikut:
+ Peran terkait layanan.
+ Peran layanan.
+ Kredensi sementara (penggunaan langsung): Namun, Amazon Quick menggunakan kredenal sementara untuk memungkinkan pengguna mengambil peran IAM untuk mengakses dasbor yang disematkan. Untuk informasi selengkapnya, lihat [Analitik tertanam untuk Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Untuk informasi selengkapnya tentang cara Amazon Quick menggunakan peran IAM, lihat [Menggunakan Amazon Quick dengan contoh kebijakan IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [dan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Melewati peran IAM ke Quick
| |
| --- |
| Berlaku untuk: Enterprise Edition |
Saat pengguna IAM Anda mendaftar ke Quick, mereka dapat memilih untuk menggunakan peran Amazon Quick-managed (ini adalah peran default). Atau mereka dapat meneruskan peran IAM yang ada ke Amazon Quick.
Gunakan bagian di bawah ini untuk meneruskan peran IAM yang ada ke Amazon Quick
**Topics**
+ [Prasyarat](#security-create-iam-role-prerequisites)
+ [Melampirkan kebijakan tambahan](#security-create-iam-role-athena-s3)
+ [Menggunakan peran IAM yang ada di Quick](#security-create-iam-role-use)
## Prasyarat
Agar pengguna dapat meneruskan peran IAM ke Amazon Quick, administrator Anda harus menyelesaikan tugas-tugas berikut:
+ **Buat peran IAM**. Untuk informasi selengkapnya tentang membuat peran IAM, lihat [Membuat peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) di Panduan Pengguna *IAM*.
+ **Lampirkan kebijakan kepercayaan ke peran IAM Anda yang memungkinkan Amazon Quick untuk mengambil peran tersebut**. Gunakan contoh berikut untuk membuat kebijakan kepercayaan untuk peran tersebut. Contoh kebijakan kepercayaan berikut memungkinkan prinsipal Cepat untuk mengambil peran IAM yang dilampirkan.
Untuk informasi selengkapnya tentang membuat kebijakan kepercayaan IAM dan melampirkannya ke peran, lihat [Memodifikasi Peran (Konsol) di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) Pengguna *IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Tetapkan izin IAM berikut ke administrator Anda (pengguna atau peran IAM**):
+ `quicksight:UpdateResourcePermissions`— Ini memberi pengguna IAM yang merupakan administrator Amazon Quick izin untuk memperbarui izin tingkat sumber daya di Amazon Quick. Untuk informasi selengkapnya tentang jenis sumber daya yang ditentukan oleh Amazon Quick[, lihat Tindakan, sumber daya, dan kunci kondisi untuk Cepat](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) di *Panduan Pengguna IAM*.
+ `iam:PassRole`— Ini memberi pengguna izin untuk meneruskan peran ke Amazon Quick. Untuk informasi selengkapnya, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
+ `iam:ListRoles`— (Opsional) Ini memberi pengguna izin untuk melihat daftar peran yang ada di Amazon Quick. Jika izin ini tidak diberikan, mereka dapat menggunakan ARN untuk menggunakan peran IAM yang ada.
Berikut ini adalah contoh kebijakan izin IAM yang memungkinkan mengelola izin tingkat sumber daya, mencantumkan peran IAM, dan meneruskan peran IAM di Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Untuk lebih banyak contoh kebijakan IAM yang dapat Anda gunakan dengan Amazon Quick, lihat [contoh kebijakan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
*Untuk informasi selengkapnya tentang menetapkan kebijakan izin kepada pengguna atau grup pengguna, lihat [Mengubah izin untuk pengguna IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).*
## Melampirkan kebijakan tambahan
Jika Anda menggunakan AWS layanan lain, seperti Amazon Athena atau Amazon S3, Anda dapat membuat kebijakan izin yang memberikan izin Amazon Quick untuk melakukan tindakan tertentu. Anda kemudian dapat melampirkan kebijakan ke peran IAM yang kemudian Anda berikan ke Amazon Quick. Berikut ini adalah contoh cara mengatur dan melampirkan kebijakan izin tambahan ke peran IAM Anda.
Untuk contoh kebijakan terkelola untuk Amazon Quick di Athena, lihat [Kebijakan AWSQuicksight AthenaAccess Terkelola](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) di Panduan Pengguna *Amazon Athena*. Pengguna IAM dapat mengakses peran ini di Amazon Quick menggunakan `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess` ARN berikut:.
Berikut ini adalah contoh kebijakan izin untuk Amazon Quick di Amazon S3. Untuk informasi selengkapnya tentang menggunakan IAM dengan Amazon S3, [lihat Manajemen identitas dan akses di Amazon S3 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) *S3*.
Untuk informasi tentang cara membuat akses lintas akun dari Amazon Quick ke bucket Amazon S3 di akun lain, [lihat Bagaimana cara mengatur akses lintas akun dari Quick ke bucket Amazon S3 di akun lain?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) di pusat AWS pengetahuan.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Menggunakan peran IAM yang ada di Quick
Jika Anda administrator Amazon Quick dan memiliki izin untuk memperbarui sumber daya Amazon Quick dan meneruskan peran IAM, Anda dapat menggunakan peran IAM yang ada di Amazon Quick. Untuk mempelajari lebih lanjut tentang prasyarat untuk meneruskan peran IAM di Amazon Quick, lihat Prasyarat yang diuraikan dalam [daftar](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) sebelumnya.
Gunakan prosedur berikut untuk mempelajari cara meneruskan peran IAM di Amazon Quick.
**Untuk menggunakan peran IAM yang ada di Amazon Quick**
1. Di Amazon Quick, pilih nama akun Anda di bilah navigasi di kanan atas dan pilih **Kelola QuickSight**.
1. Pada halaman **Kelola Amazon Cepat** yang terbuka, pilih **Keamanan & Izin** di menu di sebelah kiri.
1. Di halaman **Keamanan & Izin** yang terbuka, di bawah **Amazon Akses cepat ke AWS layanan**, pilih **Kelola**.
1. Untuk **peran IAM**, pilih **Gunakan peran yang ada**, lalu lakukan salah satu hal berikut:
+ Pilih peran yang ingin Anda gunakan dari daftar.
+ Atau, jika Anda tidak melihat daftar peran IAM yang ada, Anda dapat memasukkan ARN IAM untuk peran dalam format berikut:. `arn:aws:iam::account-id:role/path/role-name`
1. Pilih **Simpan**.
# Contoh kebijakan IAM untuk Quick
Bagian ini memberikan contoh kebijakan IAM yang dapat Anda gunakan dengan Quick.
## Kebijakan berbasis identitas IAM untuk Quick
Bagian ini menunjukkan contoh kebijakan berbasis identitas yang akan digunakan dengan Quick.
**Topics**
+ [Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick IAM](#security_iam_conosole-administration)
### Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick IAM
Contoh berikut menunjukkan izin IAM yang diperlukan untuk tindakan administrasi konsol Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk dasbor Cepat:
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan berbagi dasbor dan penyematan untuk dasbor tertentu.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: ruang nama
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick membuat atau menghapus ruang nama.
**Membuat ruang nama**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Menghapus ruang nama**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: izin khusus
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick atau pengembang mengelola izin khusus.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
Contoh berikut menunjukkan cara lain untuk memberikan izin yang sama seperti yang ditunjukkan pada contoh sebelumnya.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menyesuaikan templat laporan email
Contoh berikut menunjukkan kebijakan yang memungkinkan melihat, memperbarui, dan membuat templat laporan email di Amazon Quick, serta mendapatkan atribut verifikasi untuk identitas Amazon Simple Email Service. Kebijakan ini memungkinkan administrator Amazon Quick untuk membuat dan memperbarui templat laporan email kustom, dan untuk mengonfirmasi bahwa alamat email khusus yang ingin mereka kirimi laporan email adalah identitas terverifikasi di SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: buat akun Enterprise dengan pengguna terkelola Amazon Quick
Contoh berikut menunjukkan kebijakan yang memungkinkan admin Amazon Quick membuat akun Amazon Quick edisi Enterprise dengan pengguna terkelola Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: membuat pengguna
Contoh berikut menunjukkan kebijakan yang memungkinkan pembuatan pengguna Amazon Quick saja. Untuk`quicksight:CreateReader`,`quicksight:CreateUser`, dan`quicksight:CreateAdmin`, Anda dapat membatasi izin untuk**"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Untuk semua izin lain yang dijelaskan dalam panduan ini, gunakan**"Resource": "\$1"**. Sumber daya yang Anda tentukan membatasi ruang lingkup izin ke sumber daya yang ditentukan.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: membuat dan mengelola grup
Contoh berikut menunjukkan kebijakan yang memungkinkan administrator dan pengembang Amazon Quick membuat dan mengelola grup.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Standar
Contoh berikut untuk Amazon Quick Standard edition menunjukkan kebijakan yang memungkinkan berlangganan dan membuat penulis dan pembaca. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
Contoh berikut untuk edisi Amazon Quick Enterprise menunjukkan kebijakan yang memungkinkan pengguna Amazon Quick untuk berlangganan Amazon Quick, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini juga memungkinkan pengguna untuk berlangganan peran Amazon Quick Pro yang memberikan akses ke Amazon Q dalam kemampuan BI Generatif Cepat. Untuk informasi selengkapnya tentang peran Pro di Amazon Quick, lihat [Memulai BI Generatif](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini tidak memberikan izin untuk membuat peran Pro di Amazon Quick. Untuk membuat kebijakan yang memberikan izin untuk berlangganan peran Pro di Amazon Quick, lihat [kebijakan berbasis identitas IAM untuk Amazon Quick: Semua akses untuk edisi Enterprise dengan IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro) Center (peran Pro).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: semua akses untuk edisi Enterprise dengan Active Directory
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang menggunakan Active Directory untuk manajemen identitas. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: grup direktori aktif
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan manajemen grup Active Directory untuk akun edisi Amazon Quick Enterprise.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen aset admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen aset admin.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen kunci admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen kunci admin.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"kms:ListAliases"`Izin `"quicksight:ListKMSKeysForUser"` dan diperlukan untuk mengakses kunci yang dikelola pelanggan dari konsol Amazon Quick. `"quicksight:ListKMSKeysForUser"`dan tidak `"kms:ListAliases"` diharuskan menggunakan manajemen kunci Amazon Quick APIs.
Untuk menentukan kunci mana yang Anda ingin pengguna dapat mengakses, tambahkan kunci yang Anda ingin pengguna akses ke `UpdateKeyRegistration` kondisi dengan kunci `quicksight:KmsKeyArns` kondisi. ARNs Pengguna hanya dapat mengakses kunci yang ditentukan dalam`UpdateKeyRegistration`. Untuk informasi selengkapnya tentang kunci kondisi yang didukung untuk Amazon Quick, lihat [Kunci kondisi untuk Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
Contoh di bawah ini memberikan `Describe` izin untuk semua CMKs yang terdaftar ke akun Amazon Quick dan `Update` izin untuk spesifik CMKs yang terdaftar ke akun Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS sumber daya Cepat: kebijakan pelingkupan dalam edisi Enterprise
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan pengaturan akses default ke AWS sumber daya dan kebijakan pelingkupan untuk izin ke sumber daya. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Menyediakan pengguna untuk Amazon Quick
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem dan administrator Amazon Quick |
## Menyediakan sendiri administrator Amazon Quick
Administrator Amazon Quick adalah pengguna yang juga dapat mengelola fitur Amazon Quick seperti pengaturan akun dan akun. Mereka juga dapat membeli langganan pengguna Amazon Quick tambahan, membeli [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), dan membatalkan langganan Amazon Quick untuk Anda Akun AWS.
Anda dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi pengguna kemampuan untuk menambahkan diri mereka sebagai administrator Amazon Quick. Pengguna yang telah diberikan kemampuan ini hanya dapat menambahkan diri mereka sebagai administrator dan tidak dapat menggunakan kebijakan ini untuk menambahkan orang lain. Akun mereka menjadi aktif dan dapat ditagih saat pertama kali mereka membuka Amazon Quick. Untuk mengatur penyediaan mandiri, berikan izin kepada pengguna ini untuk menggunakan tindakan. `quicksight:CreateAdmin`
Atau, Anda dapat menggunakan prosedur berikut untuk menggunakan konsol untuk mengatur atau membuat administrator untuk Amazon Quick.
**Untuk menjadikan pengguna administrator Amazon Quick**
1. Buat AWS pengguna:
+ Gunakan IAM untuk membuat pengguna yang Anda inginkan menjadi administrator Amazon Quick. Atau, identifikasi pengguna yang ada di IAM untuk peran administrator. Anda juga dapat menempatkan pengguna di dalam grup baru, untuk pengelolaan.
+ Berikan izin yang cukup kepada pengguna (atau grup).
1. Masuk ke Anda Konsol Manajemen AWS dengan kredensi pengguna target.
1. Buka[http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), ketik alamat email pengguna target, dan pilih **Lanjutkan**.
Saat sukses, target pengguna sekarang menjadi administrator di Amazon Quick.
## Menyediakan sendiri penulis Amazon Quick
Penulis Amazon Quick dapat membuat sumber data, kumpulan data, analisis, dan dasbor. Mereka dapat berbagi analisis dan dasbor dengan pengguna Amazon Quick lainnya di akun Amazon Quick Anda. Namun, mereka tidak memiliki akses ke menu **Kelola Amazon Cepat**. Mereka tidak dapat mengubah pengaturan akun, mengelola akun, membeli langganan pengguna Amazon Quick tambahan atau kapasitas [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), atau membatalkan langganan Amazon Quick untuk Anda Akun AWS. Pengguna Author Pro juga dapat membuat konten menggunakan bahasa alami, membangun basis pengetahuan, mengonfigurasi tindakan, dan mengakses kemampuan otomatisasi tingkat lanjut.
Anda dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi pengguna kemampuan membuat akun penulis Amazon Quick untuk diri mereka sendiri. Akun mereka menjadi aktif dan dapat ditagih saat pertama kali membuka Amazon Quick. Untuk mengatur penyediaan mandiri, Anda harus memberi mereka izin untuk menggunakan tindakan. `quicksight:CreateUser`
## Menyediakan sendiri pengguna hanya-baca Amazon Quick
Pengguna atau *pembaca* hanya-baca Amazon Quick dapat melihat dan memanipulasi dasbor yang dibagikan dengan mereka, tetapi mereka tidak dapat membuat perubahan apa pun atau menyimpan dasbor untuk analisis lebih lanjut. Pembaca Amazon Quick tidak dapat membuat sumber data, kumpulan data, analisis, atau visual. Mereka tidak dapat melakukan tugas administratif apa pun. Pilih peran ini untuk orang-orang yang merupakan konsumen dasbor tetapi jangan menulis analisis mereka sendiri, misalnya, eksekutif. Pengguna Reader Pro memiliki akses ke fitur-fitur canggih termasuk agen obrolan AI, ruang kolaboratif, alur, dan ekstensi.
Jika Anda menggunakan Microsoft Active Directory dengan Amazon Quick, Anda dapat mengelola izin hanya-baca dengan menggunakan grup. Jika tidak, Anda dapat mengundang pengguna secara massal untuk menggunakan Amazon Quick. Anda juga dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi orang kemampuan untuk membuat akun Amazon Quick reader untuk diri mereka sendiri.
Akun pembaca menjadi aktif dan dapat ditagih saat pertama kali membuka Amazon Quick. Jika Anda memutuskan untuk meningkatkan atau menurunkan versi pengguna, penagihan untuk pengguna tersebut diprorata untuk bulan tersebut. Untuk mengatur penyediaan mandiri, Anda harus memberi mereka izin untuk menggunakan tindakan. `quicksight:CreateReader`
Pembaca yang terbiasa menyegarkan dasbor secara otomatis atau terprogram untuk kasus penggunaan yang mendekati waktu nyata harus memilih harga kapasitas. Untuk pembaca di bawah harga pengguna, setiap pembaca dibatasi untuk penggunaan manual oleh satu individu saja.
# Pemecahan masalah Identitas dan akses cepat
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Quick dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Quick saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Amazon Quick
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang *widget* tetapi tidak memiliki `quicksight:GetWidget` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `quicksight:GetWidget`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon Quick.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon Quick. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Quick saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon Quick mendukung fitur-fitur ini, lihat[Menggunakan Cepat dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Menggunakan Pusat Identitas IAM
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem dan administrator Amazon Quick |
Amazon Quick Enterprise edition terintegrasi dengan direktori yang ada, baik menggunakan Microsoft Active Directory atau single sign-on (IAM Identity Center) menggunakan Security Assertion Markup Language (SAMP). Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk lebih meningkatkan keamanan Anda, atau untuk opsi khusus seperti menyematkan dasbor.
Dalam edisi Quick Standard, Anda dapat mengelola pengguna sepenuhnya dalam Quick. Jika mau, Anda dapat berintegrasi dengan pengguna, grup, dan peran yang ada di IAM.
Anda dapat menggunakan alat berikut untuk identitas dan akses ke Amazon Quick:
+ [Pusat Identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (khusus edisi Enterprise)
+ [Federasi IAM](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (edisi Standar dan Perusahaan)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(Hanya edisi Enterprise)
+ Sistem [masuk tunggal berbasis SAML (edisi](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) Standar dan Perusahaan)
+ [Otentikasi multifaktor (MFA) (Edisi Standar dan Perusahaan)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)
**catatan**
Di wilayah yang tercantum di bawah ini, akun Amazon Quick hanya dapat menggunakan [Pusat Identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) untuk manajemen identitas dan akses.
`af-south-1`Afrika (Cape Town)
`ap-southeast-3`Asia Pasifik (Jakarta)
`ap-southeast-5`Asia Pasifik (Malaysia)
`eu-south-1`Eropa (Milan)
`eu-central-2`Eropa (Zürich)
IAM Identity Center membantu Anda membuat atau menghubungkan identitas tenaga kerja Anda dengan aman dan mengelola akses mereka di seluruh AWS akun dan aplikasi.
Sebelum Anda mengintegrasikan akun Amazon Quick Anda dengan IAM Identity Center, siapkan Pusat Identitas IAM di akun Anda AWS . Jika Anda belum menyiapkan Pusat Identitas IAM di AWS organisasi, lihat [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) di *Panduan AWS IAM Identity Center Pengguna*.
Jika Anda ingin mengonfigurasi penyedia identitas eksternal dengan Pusat Identitas IAM, lihat [Penyedia identitas yang didukung](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) untuk melihat daftar langkah konfigurasi penyedia identitas yang didukung.
**Topics**
+ [Konfigurasikan akun Amazon Quick Anda dengan IAM Identity Center](#sec-identity-management-identity-center)
## Konfigurasikan akun Amazon Quick Anda dengan IAM Identity Center
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
IAM Identity Center membantu Anda membuat atau mengonfigurasi identitas tenaga kerja yang ada dengan aman dan mengelola akses mereka di seluruh AWS akun dan aplikasi. IAM Identity Center adalah pendekatan yang direkomendasikan untuk otentikasi dan otorisasi tenaga kerja AWS untuk organisasi dari berbagai ukuran dan jenis. Untuk mempelajari lebih lanjut tentang Pusat Identitas IAM, lihat [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/).
Konfigurasikan Amazon Quick dan IAM Identity Center sehingga Anda dapat mendaftar untuk akun Amazon Quick baru dengan sumber identitas yang dikonfigurasi IAM Identity Center. Dengan IAM Identity Center, Anda dapat mengonfigurasi penyedia identitas eksternal Anda sebagai sumber identitas. Anda juga dapat menggunakan IAM Identity Center sebagai toko identitas jika Anda tidak ingin menggunakan penyedia identitas pihak ketiga dengan Amazon Quick. Metode identitas tidak dapat diubah setelah akun Anda dibuat.
Saat Anda mengintegrasikan akun Amazon Quick dengan IAM Identity Center, administrator akun Amazon Quick dapat membuat akun Amazon Quick baru yang secara otomatis memiliki grup penyedia identitas yang tersedia. Ini menyederhanakan pembagian aset dalam skala besar di Amazon Quick.
Akses ke beberapa bagian konsol administrasi Amazon Quick dibatasi oleh izin IAM. Tabel berikut merangkum tindakan admin yang dapat Anda lakukan di Amazon Quick berdasarkan jenis akses yang Anda pilih.
Untuk mempelajari lebih lanjut cara mendaftar akun Amazon Quick dengan IAM Identity Center, lihat [Mendaftar untuk berlangganan Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| Tindakan admin | Izin IAM | Izin peran admin Amazon Cepat |
| --- | --- | --- |
| **Kelola aset** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak |
| **Keamanan & izin** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak |
| **Kelola koneksi VPC** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak |
| **Kuncinya KMS** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak |
| **Pengaturan akun** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak |
| **Kustomisasi akun** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya |
| **Kelola pengguna** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg)Ya (pengguna IAM Identity Center) | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg)Ya (pengguna Amazon Quick dan IAM) |
| **Langganan Anda** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya |
| **Pengaturan seluler** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya |
| **Domain dan penyematan** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya |
| **Kapasitas SPICE** | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/success_icon.svg) Ya |
Aplikasi seluler Amazon Quick tidak didukung dengan akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
### Pertimbangan-pertimbangan
Tindakan berikut secara permanen menghapus kemampuan pengguna Amazon Quick untuk masuk ke Amazon Quick. Amazon Quick tidak merekomendasikan agar pengguna Amazon Quick melakukan tindakan ini.
+ Menonaktifkan atau menghapus aplikasi Amazon Quick di konsol IAM Identity Center. Jika Anda ingin menghapus akun Amazon Quick, lihat [Menutup akun Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html) Anda.
+ Memigrasi akun Amazon Quick yang berisi konfigurasi Pusat Identitas IAM Anda ke AWS Organisasi yang tidak berisi instans Pusat Identitas IAM tempat akun Amazon Quick Anda dikonfigurasi.
+ Menghapus instans Pusat Identitas IAM yang dikonfigurasi ke akun Amazon Quick Anda.
+ Mengedit atribut aplikasi IAM Identity Center, misalnya atribut **penugasan membutuhkan**.
# Federasi IAM
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**penting**
Amazon Quick merekomendasikan agar Anda mengintegrasikan langganan Amazon Quick baru dengan IAM Identity Center untuk manajemen identitas. Panduan pengguna federasi identitas IAM ini disediakan sebagai referensi untuk konfigurasi akun yang ada. Untuk informasi selengkapnya tentang mengintegrasikan akun Amazon Quick dengan IAM Identity Center, lihat [Mengonfigurasi akun Amazon Quick Anda dengan IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) Center.
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Amazon Quick mendukung federasi identitas dalam edisi Standar dan Perusahaan. Saat menggunakan pengguna federasi, Anda dapat mengelola pengguna dengan penyedia identitas perusahaan (iDP) dan AWS Identity and Access Management menggunakan (IAM) untuk mengautentikasi pengguna saat mereka masuk ke Quick. Anda dapat menggunakan penyedia identitas pihak ketiga yang mendukung Security Assertion Markup Language 2.0 (SAMP 2.0) untuk menyediakan alur orientasi bagi pengguna Amazon Quick Anda. Penyedia identitas tersebut termasuk Microsoft Active Directory Federation Services, Okta, dan Ping One Federation Server. Dengan federasi identitas, pengguna Anda mendapatkan akses sekali klik ke aplikasi Amazon Quick mereka menggunakan kredensi identitas yang ada. Anda juga memiliki manfaat keamanan dari otentikasi identitas oleh penyedia identitas Anda. Anda dapat mengontrol pengguna mana yang memiliki akses ke Amazon Quick menggunakan penyedia identitas yang ada.
**Topics**
+ [Memulai sign-on dari penyedia identitas (iDP)](federated-identities-idp-to-sp.md)
+ [Menyiapkan federasi iDP menggunakan IAM dan Amazon Quick](external-identity-providers-setting-up-saml.md)
+ [Memulai sign-on dari Quick](federated-identities-sp-to-idp.md)
+ [Menyiapkan federasi yang diprakarsai penyedia layanan dengan edisi Quick Enterprise](setup-quicksight-to-idp.md)
+ [Mengkonfigurasi sinkronisasi email untuk pengguna federasi di Quick](jit-email-syncing.md)
+ [Tutorial: Federasi identitas Amazon Quick dan IAM](tutorial-okta-quicksight.md)
# Memulai sign-on dari penyedia identitas (iDP)
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Dalam skenario ini, pengguna Anda memulai proses masuk dari portal penyedia identitas. Setelah pengguna diautentikasi, mereka masuk ke Amazon Quick. Setelah Pemeriksaan cepat bahwa mereka diotorisasi, pengguna Anda dapat mengakses Cepat.
Dimulai dengan pengguna masuk ke iDP, otentikasi mengalir melalui langkah-langkah berikut:
1. Pengguna menelusuri `https://applications.example.com` dan masuk ke iDP. Pada titik ini, pengguna tidak masuk ke penyedia layanan.
1. Layanan federasi dan IDP mengautentikasi pengguna:
1. Layanan federasi meminta otentikasi dari toko identitas organisasi.
1. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.
1. Ketika otentikasi berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.
1. Pengguna membuka Amazon Quick:
1. Browser pengguna memposting pernyataan SAMP ke titik akhir SAMP AWS Masuk (). `https://signin.aws.amazon.com/saml`
1. AWS Masuk menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan meneruskan token otentikasi ke layanan Amazon Quick.
1. Amazon Quick menerima token otentikasi dari AWS dan menyajikan Amazon Quick kepada pengguna.
Dari sudut pandang pengguna, prosesnya terjadi secara transparan. Pengguna memulai di portal internal organisasi Anda dan mendarat di portal aplikasi Amazon Quick, tanpa harus menyediakan AWS kredensi apa pun.
Dalam diagram berikut, Anda dapat menemukan alur otentikasi antara Amazon Quick dan penyedia identitas pihak ketiga (iDP). Dalam contoh ini, administrator telah menyiapkan halaman masuk untuk mengakses Amazon Quick, yang disebut`applications.example.com`. Saat pengguna masuk, halaman login memposting permintaan ke layanan federasi yang sesuai dengan SAMP 2.0. Pengguna akhir memulai otentikasi dari halaman masuk iDP.
![\[Diagram SAMP Cepat. Diagram berisi dua kotak. Yang pertama menggambarkan proses otentikasi di dalam perusahaan. Yang kedua menjelaskan otentikasi di dalamnya AWS. Prosesnya dijelaskan dalam teks berikut tabel.\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/SAML-Flow-Diagram.png)
Untuk informasi dari beberapa penyedia umum, lihat dokumentasi pihak ketiga berikut:
+ CA - [Mengaktifkan Pengikatan Posting HTTP SAMP 2.0](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta - [Merencanakan penyebaran SAMP](https://developer.okta.com/docs/concepts/saml/)
+ Ping - [Integrasi Amazon](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
Gunakan topik berikut untuk memahami penggunaan federasi yang ada dengan AWS:
+ [Federasi identitas AWS di](https://aws.amazon.com/identity/federation/) situs AWS web
+ [Menyediakan akses ke pengguna yang diautentikasi secara eksternal (federasi identitas) di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) *IAM*
+ [Mengaktifkan pengguna federasi SAMP 2.0 untuk mengakses Konsol AWS Manajemen di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) *Pengguna IAM*
# Menyiapkan federasi iDP menggunakan IAM dan Amazon Quick
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Anda dapat menggunakan peran AWS Identity and Access Management (IAM) dan URL status relai untuk mengonfigurasi penyedia identitas (iDP) yang sesuai dengan SAMP 2.0. Peran tersebut memberi pengguna izin untuk mengakses Amazon Quick. Status relai adalah portal tempat pengguna diteruskan, setelah otentikasi berhasil oleh. AWS
**Topics**
+ [Prasyarat](#external-identity-providers-setting-up-prerequisites)
+ [Langkah 1: Buat penyedia SAMP di AWS](#external-identity-providers-create-saml-provider)
+ [Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda](#external-identity-providers-grantperms)
+ [Langkah 3: Konfigurasikan SAMP iDP](#external-identity-providers-config-idp)
+ [Langkah 4: Buat pernyataan untuk respon otentikasi SAMP](#external-identity-providers-create-assertions)
+ [Langkah 5: Konfigurasikan status relai federasi Anda](#external-identity-providers-relay-state)
## Prasyarat
Sebelum mengonfigurasi koneksi SAMP 2.0 Anda, lakukan hal berikut:
+ Konfigurasikan iDP Anda untuk membangun hubungan kepercayaan dengan AWS:
+ Di dalam jaringan organisasi Anda, konfigurasikan penyimpanan identitas Anda, seperti Windows Active Directory, untuk bekerja dengan IDP berbasis SAMP. Berbasis SAMP IdPs termasuk Layanan Federasi Direktori Aktif, Shibboleth, dan sebagainya.
+ Menggunakan IDP Anda, buat dokumen metadata yang menjelaskan organisasi Anda sebagai penyedia identitas.
+ Siapkan otentikasi SAMP 2.0, menggunakan langkah yang sama seperti untuk. Konsol Manajemen AWS Saat proses ini selesai, Anda dapat mengonfigurasi status relai agar sesuai dengan status relai Quick. Untuk informasi selengkapnya, lihat [Mengonfigurasi status relai federasi Anda](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Buat akun Amazon Quick dan catat nama yang akan digunakan saat Anda mengonfigurasi kebijakan IAM dan IDP. Untuk informasi selengkapnya tentang cara membuat akun Amazon Quick, lihat [Mendaftar untuk berlangganan Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
Setelah Anda membuat setup untuk federasi ke Konsol Manajemen AWS seperti yang diuraikan dalam tutorial, Anda dapat mengedit status relay yang disediakan dalam tutorial. Anda melakukannya dengan status relai Amazon Quick, dijelaskan pada langkah 5 berikut.
Untuk informasi selengkapnya, lihat sumber daya berikut:
+ [Mengintegrasikan Penyedia Solusi SAMP Pihak Ketiga dengan AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) Panduan Pengguna *IAM*.
+ [Memecahkan masalah federasi SAMP 2.0 dengan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), juga di Panduan Pengguna *IAM*.
+ [Menyiapkan kepercayaan antara ADFS dan AWS dan menggunakan kredensil Direktori Aktif untuk terhubung ke Amazon Athena dengan driver ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) — Artikel panduan ini sangat membantu, meskipun Anda tidak perlu mengatur Athena untuk menggunakan Amazon Quick.
## Langkah 1: Buat penyedia SAMP di AWS
Penyedia identitas SAMP Anda mendefinisikan IDP organisasi Anda. AWS Ia melakukannya dengan menggunakan dokumen metadata yang sebelumnya Anda buat menggunakan IDP Anda.
**Untuk membuat penyedia SAMP di AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Buat penyedia SAMP baru, yang merupakan entitas di IAM yang menyimpan informasi tentang penyedia identitas organisasi Anda. Untuk informasi selengkapnya, lihat [Membuat SAML Identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) di *Panduan Pengguna IAM*.
1. Sebagai bagian dari proses ini, unggah dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda yang disebutkan di bagian sebelumnya.
## Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda
Selanjutnya, buat peran IAM yang membangun hubungan kepercayaan antara IAM dan IDP organisasi Anda. Peran ini mengidentifikasi IDP Anda sebagai prinsipal (entitas tepercaya) untuk tujuan federasi. Peran ini juga menentukan pengguna mana yang diautentikasi oleh IDP organisasi Anda yang diizinkan untuk mengakses Amazon Quick. *Untuk informasi selengkapnya tentang membuat peran untuk IDP SAMP, [lihat Membuat Peran untuk Federasi SAMP 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) di Panduan Pengguna IAM.*
Setelah membuat peran, Anda dapat membatasi peran agar memiliki izin hanya untuk Amazon Quick dengan melampirkan kebijakan sebaris ke peran tersebut. Contoh dokumen kebijakan berikut menyediakan akses ke Amazon Quick. Kebijakan ini memungkinkan pengguna mengakses Amazon Quick dan memungkinkan mereka membuat akun penulis dan akun pembaca.
**catatan**
Dalam contoh berikut, ganti ** dengan Akun AWS ID 12 digit Anda (tanpa tanda hubung '‐').
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Jika Anda ingin memberikan akses ke Amazon Quick dan juga kemampuan untuk membuat admin, penulis (pengguna standar), dan pembaca Amazon Cepat, Anda dapat menggunakan contoh kebijakan berikut.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Anda dapat melihat detail akun di Konsol Manajemen AWS.
Setelah menyiapkan kebijakan atau kebijakan SAMP dan IAM, Anda tidak perlu mengundang pengguna secara manual. Pertama kali pengguna membuka Amazon Quick, mereka disediakan secara otomatis, menggunakan izin tingkat tertinggi dalam kebijakan. Misalnya, jika mereka memiliki izin untuk keduanya `quicksight:CreateUser` dan`quicksight:CreateReader`, mereka disediakan sebagai penulis. Jika mereka juga memiliki izin`quicksight:CreateAdmin`, mereka disediakan sebagai admin. Setiap tingkat izin mencakup kemampuan untuk membuat pengguna tingkat yang sama dan di bawahnya. Misalnya, seorang penulis dapat menambahkan penulis atau pembaca lain.
Pengguna yang diundang secara manual dibuat dalam peran yang diberikan oleh orang yang mengundang mereka. Mereka tidak perlu memiliki kebijakan yang memberi mereka izin.
## Langkah 3: Konfigurasikan SAMP iDP
Setelah Anda membuat peran IAM, perbarui IDP SAMP Anda AWS sebagai penyedia layanan. Untuk melakukannya, instal `saml-metadata.xml` file yang ditemukan di [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
Untuk memperbarui metadata iDP, lihat petunjuk yang diberikan oleh iDP Anda. Beberapa penyedia memberi Anda opsi untuk mengetik URL, setelah itu IDP mendapatkan dan menginstal file untuk Anda. Lainnya mengharuskan Anda mengunduh file dari URL lalu menyediakannya sebagai file lokal.
Untuk informasi selengkapnya, lihat dokumentasi IDP Anda.
## Langkah 4: Buat pernyataan untuk respon otentikasi SAMP
Selanjutnya, konfigurasikan informasi yang dilewati IDP sebagai atribut SAMP AWS sebagai bagian dari respons otentikasi. *Untuk informasi selengkapnya, lihat [Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) di Panduan Pengguna IAM.*
## Langkah 5: Konfigurasikan status relai federasi Anda
Terakhir, konfigurasikan status relai federasi Anda untuk menunjuk ke URL status relai Cepat Amazon. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke Amazon Quick, didefinisikan sebagai status relai dalam respons otentikasi SAMP.
URL status relai untuk Amazon Quick adalah sebagai berikut.
```
https://quicksight.aws.amazon.com
```
# Memulai sign-on dari Quick
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Dalam skenario ini, pengguna Anda memulai proses masuk dari portal aplikasi Amazon Quick tanpa masuk ke penyedia identitas. Dalam hal ini, pengguna memiliki akun federasi yang dikelola oleh iDP pihak ketiga. Pengguna mungkin memiliki akun pengguna di Quick. Cepat mengirimkan permintaan otentikasi ke IDP. Setelah pengguna diautentikasi, Cepat terbuka.
Dimulai dengan pengguna masuk ke Quick, otentikasi mengalir melalui langkah-langkah berikut:
1. Pengguna membuka Cepat. Pada titik ini, pengguna tidak masuk ke iDP.
1. Pengguna mencoba masuk ke Amazon Quick.
1. Amazon Quick mengalihkan input pengguna ke layanan federasi dan meminta otentikasi.
1. Layanan federasi dan IDP mengautentikasi pengguna:
1. Layanan federasi meminta otentikasi dari toko identitas organisasi.
1. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.
1. Ketika otentikasi berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.
1. Browser pengguna memposting pernyataan SAMP ke titik akhir SAMP AWS Masuk (). `https://signin.aws.amazon.com/saml`
1. AWS Masuk menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan meneruskan token otentikasi ke layanan Amazon Quick.
1. Amazon Quick menerima token otentikasi dari AWS dan menyajikan Amazon Quick kepada pengguna.
Dari sudut pandang pengguna, prosesnya terjadi secara transparan. Pengguna mulai di portal aplikasi Amazon Quick. Amazon Quick menegosiasikan otentikasi dengan layanan federasi organisasi Anda dan. AWS Amazon Quick terbuka, tanpa pengguna perlu menyediakan kredensil tambahan apa pun.
# Menyiapkan federasi yang diprakarsai penyedia layanan dengan edisi Quick Enterprise
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Setelah selesai mengonfigurasi penyedia identitas dengan AWS Identity and Access Management (IAM), Anda dapat mengatur masuk yang dimulai oleh penyedia layanan melalui Amazon Quick Enterprise Edition. Agar federasi IAM yang dimulai dengan cepat berfungsi, Anda perlu mengotorisasi Quick untuk mengirim permintaan otentikasi ke IDP Anda. Administrator Cepat dapat mengonfigurasi ini dengan menambahkan informasi berikut yang disediakan oleh iDP:
+ URL iDP — Pengalihan cepat pengguna ke URL ini untuk otentikasi.
+ Parameter status relai — Parameter ini menyampaikan status sesi browser saat dialihkan untuk otentikasi. IdP mengarahkan pengguna kembali ke keadaan semula setelah otentikasi. Status disediakan sebagai URL.
Tabel berikut menunjukkan URL otentikasi standar dan parameter status relay untuk mengarahkan pengguna ke URL Cepat yang Anda berikan.
| Penyedia identitas | Parameter | URL Autentikasi |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Akun Google | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick mendukung koneksi ke satu IDP per. Akun AWS Halaman konfigurasi di Amazon Quick memberi Anda pengujian URLs berdasarkan entri Anda, sehingga Anda dapat menguji pengaturan sebelum mengaktifkan fitur. Untuk membuat proses lebih mulus, Amazon Quick menyediakan parameter (`enable-sso=0`) untuk mematikan sementara federasi IAM yang dimulai Amazon Quick, jika Anda perlu menonaktifkannya sementara.
## Untuk mengatur Amazon Quick sebagai penyedia layanan yang dapat memulai federasi IAM untuk IDP yang ada
1. Pastikan Anda sudah menyiapkan federasi IAM di IDP Anda, di IAM, dan Amazon Quick. Untuk menguji pengaturan ini, periksa apakah Anda dapat berbagi dasbor dengan orang lain di domain perusahaan Anda.
1. Buka Amazon Quick, dan pilih **Kelola Amazon Cepat** dari menu profil Anda di kanan atas.
Untuk melakukan prosedur ini, Anda harus menjadi administrator Amazon Quick. Jika tidak, Anda tidak dapat melihat **Kelola Amazon Cepat** di bawah menu profil Anda.
1. Pilih **Single sign-on (IAM federation) dari panel** navigasi.
1. Untuk **Konfigurasi**, URL **iDP, masukkan URL** yang disediakan IDP Anda untuk mengautentikasi pengguna.
1. Untuk **URL iDP**, masukkan parameter yang disediakan iDP Anda ke status relai, misalnya. `RelayState` Nama sebenarnya dari parameter disediakan oleh IDP Anda.
1. Uji masuk:
+ Untuk menguji masuk dengan penyedia identitas Anda, gunakan URL khusus yang disediakan dalam **Pengujian yang dimulai dengan IDP Anda**. Anda harus tiba di halaman awal untuk Amazon Quick, misalnya https://quicksight.aws.amazon.com/sn/ mulai.
+ Untuk menguji masuk dengan Amazon Quick terlebih dahulu, gunakan URL khusus yang disediakan **di Uji end-to-end pengalaman**. `enable-sso`Parameter ditambahkan ke URL. Jika`enable-sso=1`, federasi IAM mencoba untuk mengautentikasi.
1. Pilih **Simpan** untuk menjaga pengaturan Anda.
## Untuk mengaktifkan IDP federasi IAM yang diprakarsai oleh penyedia layanan
1. Pastikan pengaturan federasi IAM Anda dikonfigurasi dan diuji. Jika Anda tidak yakin tentang konfigurasi, uji koneksi dengan menggunakan URLs dari prosedur sebelumnya.
1. Buka Amazon Quick, dan pilih **Kelola Amazon Cepat** dari menu profil Anda.
1. Pilih **Single sign-on (IAM federation) dari panel** navigasi.
1. Untuk **Status**, pilih **ON**.
1. Verifikasi bahwa itu berfungsi dengan memutuskan sambungan dari IDP Anda dan membuka Amazon Quick.
## Untuk menonaktifkan penyedia layanan memulai federasi IAM
1. Buka Amazon Quick, dan pilih **Kelola Amazon Cepat** dari menu profil Anda.
1. Pilih **Single sign-on (IAM federation) dari panel** navigasi.
1. Untuk **Status**, pilih **OFF**.
# Mengkonfigurasi sinkronisasi email untuk pengguna federasi di Quick
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem dan administrator Amazon Quick |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Di Amazon Quick Enterprise edisi, sebagai administrator Anda dapat membatasi pengguna baru untuk menggunakan alamat email pribadi saat menyediakan melalui penyedia identitas mereka (iDP) langsung ke Quick. Quick kemudian menggunakan alamat email yang telah dikonfigurasi sebelumnya yang melewati iDP saat menyediakan pengguna baru ke akun Anda. Misalnya, Anda dapat membuatnya sehingga hanya alamat email yang ditetapkan perusahaan yang digunakan saat pengguna disediakan ke akun Amazon Quick Anda melalui IDP Anda.
**catatan**
Pastikan pengguna Anda berfederasi langsung ke Amazon Quick melalui IDP mereka. Berfederasi ke Konsol Manajemen AWS melalui IDP mereka dan kemudian mengklik Amazon Quick menghasilkan kesalahan dan mereka tidak akan dapat mengakses Amazon Quick.
Saat Anda mengonfigurasi sinkronisasi email untuk pengguna federasi di Amazon Quick, pengguna yang masuk ke akun Amazon Quick Anda untuk pertama kalinya telah menetapkan alamat email sebelumnya. Ini digunakan untuk mendaftarkan akun mereka. Dengan pendekatan ini, pengguna dapat mem-bypass secara manual dengan memasukkan alamat email. Selain itu, pengguna tidak dapat menggunakan alamat email yang mungkin berbeda dari alamat email yang ditentukan oleh Anda, administrator.
Amazon Quick mendukung penyediaan melalui IDP yang mendukung otentikasi SAMP atau OpenID Connect (OIDC). Untuk mengonfigurasi alamat email bagi pengguna baru saat menyediakan melalui iDP, Anda memperbarui hubungan kepercayaan untuk peran IAM yang mereka gunakan dengan atau. `AssumeRoleWithSAML` `AssumeRoleWithWebIdentity` Kemudian Anda menambahkan atribut SAMP atau token OIDC di IDP mereka. Terakhir, Anda mengaktifkan sinkronisasi email untuk pengguna federasi di Amazon Quick.
Prosedur berikut menjelaskan langkah-langkah ini secara rinci.
## Langkah 1: Perbarui hubungan kepercayaan untuk peran IAM dengan AssumeRoleWithSAML atau AssumeRoleWithWebIdentity
Anda dapat mengonfigurasi alamat email untuk digunakan pengguna saat menyediakan melalui IDP ke Amazon Quick. Untuk melakukan ini, tambahkan `sts:TagSession` tindakan ke hubungan kepercayaan untuk peran IAM yang Anda gunakan dengan `AssumeRoleWithSAML` atau`AssumeRoleWithWebIdentity`. Dengan melakukan ini, Anda dapat meneruskan `principal` tag saat pengguna mengambil peran.
Contoh berikut menggambarkan peran IAM yang diperbarui di mana IDP adalah Okta. Untuk menggunakan contoh ini, perbarui Nama Sumber Daya `Federated` Amazon (ARN) dengan ARN untuk penyedia layanan Anda. Anda dapat mengganti item berwarna merah dengan informasi khusus layanan AWS dan IDP Anda.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Langkah 2: Tambahkan atribut SAMP atau token OIDC untuk tag utama IAM di IDP Anda
Setelah Anda memperbarui hubungan kepercayaan untuk peran IAM seperti yang dijelaskan di bagian sebelumnya, tambahkan atribut SAMP atau token OIDC untuk tag IAM di iDP Anda. `Principal`
Contoh berikut menggambarkan atribut SAMP dan token OIDC. Untuk menggunakan contoh ini, ganti alamat email dengan variabel di IDP Anda yang menunjuk ke alamat email pengguna. Anda dapat mengganti item yang disorot dengan warna merah dengan informasi Anda.
+ **Atribut SAMP**: Contoh berikut menggambarkan atribut SAMP.
```
john.doe@example.com
```
**catatan**
Jika Anda menggunakan Okta sebagai IDP Anda, pastikan untuk mengaktifkan flag fitur di akun pengguna Okta Anda untuk menggunakan SAMP. Untuk informasi selengkapnya, lihat [Okta dan AWS Mitra untuk Menyederhanakan Akses Melalui Tag Sesi](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) di blog Okta.
+ **Token OIDC**: Contoh berikut menggambarkan contoh token OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Langkah 3: Aktifkan sinkronisasi email untuk pengguna federasi di Amazon Quick
Seperti dijelaskan sebelumnya, perbarui hubungan kepercayaan untuk peran IAM dan tambahkan atribut SAMP atau token OIDC untuk tag IAM di idP Anda. `Principal` Kemudian aktifkan sinkronisasi email untuk pengguna federasi di Amazon Quick seperti yang dijelaskan dalam prosedur berikut.
**Untuk mengaktifkan sinkronisasi email untuk pengguna federasi**
1. Dari halaman mana pun di Amazon Quick, pilih nama pengguna Anda di kanan atas, lalu pilih **Kelola Amazon Cepat**.
1. Pilih **Single sign-on (IAM federation)** di menu di sebelah kiri.
1. **Pada halaman **federasi IAM yang Dimulai Penyedia Layanan**, untuk **Sinkronisasi Email untuk Pengguna Federasi**, pilih ON.**
Saat sinkronisasi email untuk pengguna federasi aktif, Amazon Quick menggunakan alamat email yang Anda konfigurasikan pada langkah 1 dan 2 saat menyediakan pengguna baru ke akun Anda. Pengguna tidak dapat memasukkan alamat email mereka sendiri.
Saat sinkronisasi email untuk pengguna federasi tidak aktif, Amazon Quick meminta pengguna untuk memasukkan alamat email mereka secara manual saat menyediakan pengguna baru ke akun Anda. Mereka dapat menggunakan alamat email apa pun yang mereka inginkan.
# Tutorial: Federasi identitas Amazon Quick dan IAM
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Pemirsa yang dituju: Administrator Cepat Amazon dan pengembang Amazon Quick |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Dalam tutorial berikut, Anda dapat menemukan panduan untuk mengatur iDP Okta sebagai layanan federasi untuk Amazon Quick. Meskipun tutorial ini menunjukkan integrasi AWS Identity and Access Management (IAM) dan Okta, Anda juga dapat mereplikasi solusi ini menggunakan SAMP 2.0 pilihan Anda. IdPs
Dalam prosedur berikut, Anda membuat aplikasi di Okta iDP menggunakan pintasan AWS "Federasi Akun” mereka. Okta menjelaskan aplikasi integrasi ini sebagai berikut:
“Dengan menggabungkan akun Okta ke Amazon Web Services (AWS) Identity and Access Management (IAM), pengguna akhir mendapatkan akses masuk tunggal ke semua peran yang ditugaskan dengan kredensi Okta mereka. AWS Di masing-masing Akun AWS, administrator mengatur federasi dan mengonfigurasi AWS peran untuk mempercayai Okta. Saat pengguna masuk AWS, mereka mendapatkan pengalaman masuk tunggal Okta untuk melihat peran yang ditetapkan AWS . Mereka kemudian dapat memilih peran yang diinginkan, yang menentukan izin mereka selama sesi yang diautentikasi. Pelanggan dengan sejumlah besar AWS Akun, lihat aplikasi AWS Single Sign-On sebagai alternatif.” (https://www.okta.com/aws/)
**Untuk membuat aplikasi Okta menggunakan pintasan aplikasi "Federasi AWS Akun” Okta**
1. Masuk ke dasbor Okta Anda. Jika Anda tidak memilikinya, buat akun Okta Developer Edition gratis dengan menggunakan URL [bermerek Amazon Quick ini](https://developer.okta.com/quickstart/). Setelah Anda mengaktifkan email Anda, masuk ke Okta.
1. Di situs web Okta, pilih **<> Konsol Pengembang** di kiri atas, lalu pilih UI **Klasik**.
1. Pilih **Add Applications**, dan pilih **Add app**.
1. Masuk **aws** untuk **Pencarian**, dan pilih **Federasi AWS Akun** dari hasil pencarian.
1. Pilih **Tambah** untuk membuat instance dari aplikasi ini.
1. Untuk **label Aplikasi**, masukkan**AWS Account Federation - Amazon Quick**.
1. Pilih **Berikutnya**.
1. Untuk **SAMP 2.0**, **Status Relay Default**, masukkan**https://quicksight.aws.amazon.com**.
1. Buka menu konteks (klik kanan) untuk **metadata Penyedia Identitas**, dan pilih untuk menyimpan file. Beri nama file`metadata.xml`. Anda memerlukan file ini di prosedur selanjutnya.
Isi file terlihat mirip dengan yang berikut ini.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. **Setelah Anda menyimpan file XHTML, gulir ke bagian bawah halaman Okta, dan pilih Selesai.**
1. Biarkan jendela browser ini tetap terbuka, jika memungkinkan. Anda membutuhkannya nanti di tutorial.
Selanjutnya, Anda membuat penyedia identitas di Akun AWS.
**Untuk membuat penyedia SAMP di AWS Identity and Access Management (IAM)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Penyedia identitas, **Buat Penyedia****.
1. Masukkan setelan berikut:
+ **Jenis Penyedia** - Pilih **SAMP** dari daftar.
+ **Nama Penyedia** — Masukkan**Okta**.
+ **Dokumen Metadata** - Unggah file `manifest.xml` XMLdari prosedur sebelumnya.
1. Pilih **Langkah Berikutnya**, **Buat**.
1. Temukan iDP yang Anda buat dan pilih untuk melihat pengaturan. Perhatikan **Penyedia ARN**. Anda membutuhkan ini untuk menyelesaikan tutorial.
1. Verifikasi bahwa penyedia identitas dibuat dengan pengaturan Anda. **Di IAM, pilih **Penyedia identitas**, **Okta** (IDP yang Anda tambahkan), Unduh metadata.** File harus menjadi file yang baru saja Anda unggah.
Selanjutnya, Anda membuat peran IAM untuk mengaktifkan federasi SAMP 2.0 untuk bertindak sebagai entitas tepercaya di Anda. Akun AWS Untuk langkah ini, Anda harus memilih bagaimana Anda ingin menyediakan pengguna di Amazon Quick. Anda dapat melakukan salah satu dari yang berikut:
+ Berikan izin ke peran IAM sehingga pengunjung pertama kali menjadi pengguna Amazon Quick secara otomatis.
**Untuk membuat peran IAM untuk federasi SAMP 2.0 sebagai entitas tepercaya**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Roles** (Peran), **Create role** (Buat Peran).
1. Untuk **Pilih jenis entitas tepercaya**, pilih kartu berlabel federasi **SAMP 2.0**.
1. Untuk **penyedia SAMP**, pilih IDP yang Anda buat di prosedur sebelumnya, misalnya. `Okta`
1. Aktifkan opsi **Izinkan akses Konsol Terprogram dan AWS Manajemen**.
1. Pilih **Berikutnya: Izin**.
1. Tempelkan kebijakan berikut ke editor.
Di editor kebijakan, perbarui JSON dengan Nama Sumber Daya Amazon (ARN) penyedia Anda.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Pilih **Tinjau kebijakan**.
1. Untuk **Nama**, masukkan **QuicksightOktaFederatedPolicy**, lalu pilih **Buat kebijakan**.
1. Pilih **Buat kebijakan**, **JSON** untuk kedua kalinya.
1. Tempelkan kebijakan berikut ke editor.
Di editor kebijakan, perbarui JSON dengan Akun AWS ID Anda. Ini harus ID akun yang sama dengan yang Anda gunakan dalam kebijakan sebelumnya di penyedia ARN.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Anda dapat menghilangkan Wilayah AWS nama di ARN, seperti yang ditunjukkan berikut.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Pilih **Tinjau kebijakan**.
1. Untuk **Nama**, masukkan **QuicksightCreateReader**, lalu pilih **Buat kebijakan**.
1. Segarkan daftar kebijakan dengan memilih ikon penyegaran di sebelah kanan.
1. Untuk **Pencarian**, masukkan**QuicksightOktaFederatedPolicy**. Pilih kebijakan untuk mengaktifkannya (![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/checkbox-on.png)).
Jika Anda tidak ingin menggunakan penyediaan otomatis, Anda dapat melewati langkah berikut.
Untuk menambahkan pengguna Amazon Quick, gunakan [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Untuk menambahkan grup Amazon Quick, gunakan [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Untuk menambahkan pengguna ke grup Amazon Quick, gunakan [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Opsional) Untuk **Pencarian**, masukkan**QuicksightCreateReader**. Pilih kebijakan untuk mengaktifkannya (![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/checkbox-on.png)).
Lakukan langkah ini jika Anda ingin menyediakan pengguna Amazon Quick secara otomatis, daripada menggunakan Amazon Quick API.
`QuicksightCreateReader`Kebijakan mengaktifkan penyediaan otomatis dengan mengizinkan penggunaan tindakan. `quicksight:CreateReader` Melakukan hal ini memberikan pelanggan dasbor (tingkat pembaca) akses ke pengguna pertama kali. Administrator Amazon Quick nantinya dapat memutakhirkannya dari menu profil Cepat Amazon, **Kelola Amazon Cepat**, **Kelola pengguna**.
1. Untuk terus melampirkan kebijakan atau kebijakan IAM, pilih **Berikutnya: Tag**.
1. Pilih **Berikutnya: Tinjauan**.
1. Untuk **nama Peran**, masukkan**QuicksightOktaFederatedRole**, dan pilih **Buat peran**.
1. Verifikasi bahwa Anda berhasil menyelesaikan ini dengan mengambil langkah-langkah berikut:
1. Kembali ke halaman utama konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Anda dapat menggunakan tombol **Kembali** browser Anda.
1. Pilih **Peran**.
1. Untuk **Pencarian**, masukkan Okta. Pilih **QuicksightOktaFederatedRole**dari hasil pencarian.
1. Pada halaman **Ringkasan** kebijakan, periksa tab **Izin**. Verifikasi bahwa peran tersebut memiliki kebijakan atau kebijakan yang Anda lampirkan padanya. Seharusnya ada`QuicksightOktaFederatedPolicy`. Jika Anda memilih untuk menambahkan kemampuan untuk membuat pengguna, itu juga harus memiliki`QuicksightCreateReader`.
1. Gunakan ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/caret-right-filled.png) ikon untuk membuka setiap kebijakan. Verifikasi bahwa teks cocok dengan apa yang ditampilkan dalam prosedur ini. Periksa kembali apakah Anda menambahkan nomor Anda sendiri sebagai pengganti contoh Akun AWS nomor akun 111111111111.
1. Pada tab **Hubungan kepercayaan**, verifikasi bahwa bidang **Entitas tepercaya** berisi ARN untuk penyedia identitas. **Anda dapat memeriksa ulang ARN di konsol IAM dengan **membuka penyedia Identity**, Okta.**
**Untuk membuat kunci akses untuk Okta**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Tambahkan kebijakan yang memungkinkan Okta menampilkan daftar peran IAM ke pengguna. Untuk melakukan ini, pilih **Kebijakan**, **Buat kebijakan**.
1. Pilih **JSON**, lalu masukkan kebijakan berikut.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Pilih **Tinjau Kebijakan**.
1. Untuk **Nama**, masukkan **OktaListRolesPolicy**. Kemudian pilih **Buat kebijakan**.
1. Tambahkan pengguna sehingga Anda dapat memberikan Okta dengan kunci akses.
Di panel navigasi, pilih **Pengguna**, **Tambahkan Pengguna**.
1. Gunakan pengaturan berikut:
+ Untuk **Nama pengguna**, masukkan `OktaSSOUser`.
+ Untuk **tipe Access**, aktifkan **akses Programmatic**.
1. Pilih **Berikutnya: Izin**.
1. Pilih **Lampirkan kebijakan yang sudah ada secara langsung**.
1. Untuk **Pencarian**, masukkan**OktaListRolesPolicy**, dan pilih **OktaListRolesPolicy**dari hasil pencarian.
1. Pilih **Selanjutnya: Tags**, lalu pilih **Selanjutnya: Tinjau**.
1. Pilih **Create user** (Buat pengguna). Sekarang Anda bisa mendapatkan kunci akses.
1. Unduh file kunci dengan memilih **Unduh.csv.** File tersebut berisi ID kunci akses yang sama dan kunci akses rahasia yang ditampilkan di layar ini. Namun, karena AWS tidak menampilkan informasi ini untuk kedua kalinya, pastikan untuk mengunduh file.
1. Verifikasi bahwa Anda menyelesaikan langkah ini dengan benar dengan melakukan hal berikut:
1. Buka konsol IAM, dan pilih **Pengguna**. Cari **Okta SSOUser**, dan buka dengan memilih nama pengguna dari hasil pencarian.
1. Pada tab **Izin**, verifikasi bahwa **OktaListRolesPolicy**terlampir.
1. Gunakan ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/images/caret-right-filled.png) ikon untuk membuka kebijakan. Verifikasi bahwa teks cocok dengan apa yang ditampilkan dalam prosedur ini.
1. Pada tab **Security credentials**, Anda dapat memeriksa kunci akses, meskipun Anda sudah mengunduhnya. Anda dapat kembali ke tab ini untuk membuat kunci akses saat Anda membutuhkan yang baru.
Dalam prosedur berikut, Anda kembali ke Okta untuk memberikan kunci akses. Kunci akses berfungsi dengan pengaturan keamanan baru Anda untuk memungkinkan AWS dan Okta iDP untuk bekerja sama.
**Untuk menyelesaikan konfigurasi aplikasi Okta dengan pengaturan AWS**
1. Kembali ke dasbor Okta Anda. Jika diminta untuk melakukannya, masuk. Jika konsol pengembang tidak lagi terbuka, pilih **Admin** untuk membukanya kembali.
1. Jika Anda harus membuka kembali Okta, Anda dapat kembali ke bagian ini dengan mengikuti langkah-langkah berikut:
1. Masuk ke Okta. Pilih **Aplikasi**.
1. Pilih **Federasi AWS Akun - Amazon Quick** —aplikasi yang Anda buat di awal tutorial ini.
1. Pilih tab **Masuk**, antara **Umum** dan **Seluler**.
1. Gulir ke **Pengaturan Masuk Tingkat Lanjut**.
1. Untuk **Penyedia Identitas ARN (Diperlukan hanya untuk federasi IAM SAMP)**, masukkan penyedia ARN dari prosedur sebelumnya, misalnya:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Pilih **Selesai** atau **Simpan**. Nama tombol bervariasi tergantung apakah Anda membuat atau mengedit aplikasi.
1. Pilih tab **Penyediaan**, dan di bagian bawah tab, pilih **Konfigurasi Integrasi API**.
1. **Aktifkan Aktifkan integrasi API** untuk menampilkan pengaturan.
1. Untuk **Kunci Akses** dan **Kunci Rahasia**, berikan kunci akses dan kunci rahasia yang Anda unduh sebelumnya ke file bernama **OktaSSOUser**`_credentials.csv`.
1. Pilih **Test API Credentials**. Lihat di atas pengaturan **Aktifkan integrasi API** untuk pesan yang mengonfirmasi bahwa **Federasi AWS Akun berhasil diverifikasi**.
1. Pilih **Simpan**.
1. Pastikan To **App** disorot di sebelah kiri, dan pilih **Edit** di kanan.
1. Untuk **Buat Pengguna**, aktifkan opsi **Aktifkan**.
1. Pilih **Simpan**.
1. **Pada tab **Penugasan**, dekat **Penyediaan** dan **Impor**, pilih Tetapkan.**
1. Lakukan satu atau beberapa hal berikut untuk mengaktifkan akses federasi:
+ Untuk bekerja dengan pengguna individu, pilih **Tetapkan ke Orang**.
+ Untuk bekerja dengan grup IAM, pilih **Tetapkan ke** Grup. Anda dapat memilih grup IAM tertentu atau **Semua orang (Semua pengguna di organisasi Anda)**.
1. Untuk setiap pengguna atau grup IAM, lakukan hal berikut:
1. Pilih **Tetapkan**, **Peran**.
1. Pilih **QuicksightOktaFederatedRole**dari daftar peran IAM.
1. Untuk **Peran Pengguna SAMP**, aktifkan **QuicksightOktaFederatedRole**.
1. Pilih **Simpan dan Kembali**, lalu pilih **Selesai**.
1. Pastikan Anda menyelesaikan langkah ini dengan benar dengan memilih filter **Orang** atau **Grup** di sebelah kiri, dan memeriksa pengguna atau grup yang Anda masukkan. Jika Anda tidak dapat menyelesaikan proses ini karena peran yang Anda buat tidak muncul dalam daftar, kembali ke prosedur sebelumnya untuk memverifikasi pengaturan.
**Untuk masuk ke Amazon Quick menggunakan Okta (iDP ke login penyedia layanan)**
1. Jika Anda menggunakan akun administrator Okta, beralihlah ke mode pengguna.
1. Masuk ke dasbor Aplikasi Okta Anda dengan pengguna yang telah diberikan akses federasi. Anda akan melihat aplikasi baru dengan label Anda, misalnya **Federasi AWS Akun - Amazon Quick**.
1. Pilih ikon aplikasi untuk meluncurkan **Federasi AWS Akun - Amazon Quick**.
Anda sekarang dapat mengelola identitas menggunakan Okta dan menggunakan akses federasi dengan Quick.
Prosedur berikut adalah bagian opsional dari tutorial ini. Jika Anda mengikuti langkah-langkahnya, Anda mengizinkan Amazon Quick untuk meneruskan permintaan otorisasi ke IDP atas nama pengguna Anda. Dengan menggunakan metode ini, pengguna dapat masuk ke Amazon Quick tanpa perlu masuk menggunakan halaman iDP terlebih dahulu.
**(Opsional) Untuk mengatur Amazon Quick untuk mengirim permintaan otentikasi ke Okta**
1. Buka Amazon Quick, dan pilih **Kelola Amazon Cepat** dari menu profil Anda.
1. Pilih **Single sign-on (IAM federation) dari panel** navigasi.
1. Untuk **Konfigurasi**, URL **iDP, masukkan URL** yang disediakan IDP Anda untuk mengautentikasi pengguna, misalnya https://dev - .okta. *1-----0* com/home/amazon\$1aws/*0oabababababaGQei5d5/282*. Anda dapat menemukannya di halaman aplikasi Okta Anda, di tab **Umum**, di Tautan **Sematkan**.
1. Untuk **URL iDP, masukkan**. `RelayState`
1. Lakukan salah satu tindakan berikut:
+ Untuk menguji masuk dengan penyedia identitas Anda terlebih dahulu, gunakan URL kustom yang disediakan dalam **Pengujian dimulai dengan IDP Anda**. Anda harus tiba di halaman awal untuk Amazon Quick, misalnya https://quicksight.aws.amazon.com/sn/ mulai.
+ Untuk menguji masuk dengan Amazon Quick terlebih dahulu, gunakan URL khusus yang disediakan **di Uji end-to-end pengalaman**. `enable-sso`Parameter ditambahkan ke URL. Jika`enable-sso=1`, federasi IAM mencoba untuk mengautentikasi. Jika`enable-sso=0`, Amazon Quick tidak mengirim permintaan otentikasi, dan Anda masuk ke Amazon Quick seperti sebelumnya.
1. Untuk **Status**, pilih **ON**.
1. Pilih **Simpan** untuk menjaga pengaturan Anda.
Anda dapat membuat tautan dalam ke dasbor Amazon Quick untuk memungkinkan pengguna menggunakan federasi IAM untuk terhubung langsung ke dasbor tertentu. Untuk melakukan ini, Anda menambahkan bendera status relai dan URL dasbor ke URL masuk tunggal Okta, seperti yang dijelaskan berikut.
**Untuk membuat deep link ke dasbor Amazon Quick untuk single sign-on**
1. Temukan URL single sign-on (IAM federation) aplikasi Okta di `metadata.xml` file yang Anda unduh di awal tutorial. Anda dapat menemukan URL di dekat bagian bawah file, dalam elemen bernama`md:SingleSignOnService`. Atribut diberi nama `Location` dan nilai berakhir dengan`/sso/saml`, seperti yang ditunjukkan pada contoh berikut.
```
```
1. Ambil nilai URL federasi IAM dan tambahkan `?RelayState=` diikuti dengan URL dasbor Amazon Quick Anda. `RelayState`Parameter menyampaikan status (URL) tempat pengguna berada saat dialihkan ke URL otentikasi.
1. Ke federasi IAM baru dengan status relai ditambahkan, tambahkan URL dasbor Amazon Quick Anda. URL yang dihasilkan harus menyerupai berikut ini.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Jika tautan yang Anda buat tidak terbuka, periksa apakah Anda menggunakan URL federasi IAM terbaru dari`metadata.xml`. Periksa juga apakah nama pengguna yang Anda gunakan untuk masuk tidak ditetapkan di lebih dari satu aplikasi Okta federasi IAM.
# Menggunakan Active Directory dengan Amazon Quick Enterprise edisi
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Amazon Quick Enterprise edition mendukung [AWS Directory Service untuk Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) dan [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html).
Untuk membuat direktori baru untuk menjadi manajer identitas Anda untuk Quick, gunakan AWS Directory Service for Microsoft Active Directory, juga dikenal sebagai AWS Managed Microsoft AD. Ini adalah host Active Directory di AWS Cloud yang menawarkan sebagian besar fungsionalitas Active Directory yang sama. Saat ini, Anda dapat terhubung ke Active Directory di AWS Wilayah mana pun yang didukung oleh Amazon Quick, kecuali untuk Asia Pasifik (Singapura). Saat Anda membuat direktori, Anda menggunakannya dengan virtual private cloud (VPC). Untuk informasi selengkapnya, lihat [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html).
Jika Anda memiliki direktori yang ada yang ingin Anda gunakan untuk Quick, Anda dapat menggunakan Active Directory Connector. Layanan ini mengalihkan permintaan direktori ke Direktori Aktif Anda—di tempat lain Wilayah AWS atau di tempat—tanpa menyimpan informasi apa pun di cloud.
Untuk panduan tentang membuat dan mengelola direktori dengan AWS Managed Microsoft AD, lihat [Menggunakan AWS Microsoft AD yang Dikelola dengan Cepat?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) di pusat AWS pengetahuan.
Saat Anda menggunakan AWS Directory Service untuk meluncurkan direktori, AWS buat unit organisasi (OU) dengan nama yang sama dengan domain Anda. AWS juga membuat akun administratif dengan hak administratif yang didelegasikan untuk OU. Anda dapat membuat akun, grup, dan kebijakan dalam OU dengan menggunakan pengguna dan grup Active Directory. Untuk informasi selengkapnya, lihat [Praktik Terbaik untuk Microsoft AD yang AWS Dikelola](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) di *Panduan Administrasi Layanan Direktori.*
Setelah Anda membuat direktori Anda, Anda menggunakannya dengan Quick dengan membuat grup untuk pengguna. Amazon Quick memiliki enam peran pengguna tertentu yang dapat ditetapkan, termasuk versi Pro yang menyediakan akses ke kemampuan tingkat lanjut:
+ **Admin cepat** - Admin dapat mengubah pengaturan akun, mengelola akun. Admin juga dapat membeli langganan pengguna Amazon Quick tambahan atau kapasitas [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), atau membatalkan langganan Amazon Quick untuk Anda. Akun AWS Pengguna Admin Pro memiliki kemampuan tambahan termasuk membuat konten menggunakan bahasa alami, membangun basis pengetahuan, mengonfigurasi tindakan, dan mengakses alur kerja otomatisasi tingkat lanjut.
+ **Penulis cepat - Penulis** Amazon Quick dapat membuat sumber data, kumpulan data, analisis, dan dasbor. Mereka dapat berbagi analisis dan dasbor dengan pengguna Amazon Quick lainnya. Pengguna Author Pro juga dapat membuat konten menggunakan bahasa alami, membangun basis pengetahuan, mengonfigurasi tindakan, dan mengakses kemampuan otomatisasi tingkat lanjut.
+ **Pembaca cepat** — Pembaca dapat melihat dan berinteraksi dengan dasbor yang dibuat oleh orang lain. Pengguna Reader Pro memiliki akses ke fitur-fitur canggih termasuk agen obrolan AI, ruang kolaboratif, alur, dan ekstensi.
Anda dapat menambah atau memperbaiki akses dengan menerapkan kebijakan IAM. Misalnya, Anda dapat menggunakan kebijakan IAM untuk memungkinkan pengguna berlangganan sendiri.
Saat berlangganan edisi Amazon Quick Enterprise dan memilih Active Directory sebagai penyedia identitas, Anda dapat mengaitkan grup iklan Anda dengan Amazon Quick. Anda juga dapat menambahkan atau mengubah grup iklan Anda nanti.
**Topics**
+ [Integrasi direktori dengan edisi Quick Enterprise](#directory-integration)
## Integrasi direktori dengan edisi Quick Enterprise
| |
| --- |
| Berlaku untuk: Enterprise Edition |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Quick Enterprise mendukung opsi berikut:
+ AWS Directory Service
+ AWS Directory Service dengan AD Connector
+ Direktori Aktif lokal dengan federasi IAM atau AD Connector
+ Federasi IAM menggunakan AWS IAM Identity Center atau layanan federasi pihak ketiga lainnya
Jika Anda ingin menggunakan federasi IAM dengan Active Directory lokal, Anda menerapkan AWS Directory Service sebagai Active Directory terpisah dengan hubungan kepercayaan ke Active Directory lokal.
Jika Anda ingin menghindari penggunaan hubungan kepercayaan, Anda dapat menerapkan domain mandiri untuk otentikasi di dalamnya. AWS Kemudian Anda dapat membuat pengguna dan grup di Active Directory. Anda kemudian akan memetakannya ke pengguna dan grup di Quick. Dalam contoh ini, pengguna mengautentikasi menggunakan kredensil login Active Directory mereka. Untuk membuat akses ke Cepat transparan bagi pengguna Anda, gunakan federasi IAM dalam skenario ini.
# Menggunakan otentikasi multi-faktor (MFA) dengan Amazon Quick
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
**penting**
Amazon Quick merekomendasikan agar Anda mengintegrasikan langganan Cepat baru dengan Pusat Identitas IAM untuk manajemen identitas. Panduan pengguna federasi identitas IAM ini disediakan sebagai referensi untuk konfigurasi akun yang ada. Untuk informasi selengkapnya tentang mengintegrasikan akun Cepat dengan Pusat Identitas IAM, lihat [Mengonfigurasi akun Cepat dengan Pusat Identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**catatan**
Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick.
Ada beberapa cara Anda dapat menggunakan otentikasi multi-faktor (MFA) dengan Quick. Anda dapat menggunakannya dengan AWS Identity and Access Management (IAM). Anda dapat menggunakannya dengan AD Connector atau [AWS Directory Service](https://aws.amazon.com/directoryservice/) untuk Microsoft Active Directory, juga dikenal sebagai AWS Microsoft Active Directory atau AWS Managed Microsoft Active Directory. Dan jika Anda menggunakan penyedia identitas eksternal (iDP), AWS tidak perlu memiliki informasi apa pun tentang MFA karena itu adalah bagian dari otentikasi yang ditangani oleh iDP.
Untuk informasi selengkapnya, lihat berikut ini:
+ [Menggunakan otentikasi multi-faktor (MFA) AWS di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Aktifkan Autentikasi Multi-Faktor untuk AWS Microsoft AD yang Dikelola](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html) dalam Panduan Administrasi AWS Directory Service
+ [Aktifkan Otentikasi Multi-Faktor untuk AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) di Panduan Administrasi AWS Directory Service
Jika Anda seorang pengembang, lihat berikut ini:
+ [https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/)
+ [Mengkonfigurasi akses API yang dilindungi MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) di Panduan Pengguna IAM
# Mengizinkan domain Amazon Cepat
Jika pengguna akhir Anda masuk ke Amazon Quick menggunakan AWS root (tidak disarankan), AWS Identity and Access Management (IAM), Direktori Aktif perusahaan, atau kredenal Cepat asli, pastikan untuk mengizinkan daftar domain berikut dalam jaringan organisasi Anda.
| Jenis pengguna | Domain atau domain untuk daftar izin |
| --- | --- |
| Pengguna yang masuk langsung melalui pengguna Amazon Quick dan Active Directory | `signin.aws` dan `awsapps.com` |
| AWS pengguna root | `signin.aws.amazon.com` dan `amazon.com` |
| Pengguna IAM: | `signin.aws.amazon.com` |
**penting**
Kami sangat menyarankan agar Anda tidak menggunakan pengguna AWS root untuk tugas sehari-hari Anda, bahkan yang administratif. Sebagai gantinya, patuhi praktik terbaik dalam menggunakan pengguna root saja untuk membuat pengguna IAM pertama Anda. Kemudian, kunci kredensial pengguna akar dengan aman dan gunakan kredensial itu untuk melakukan beberapa tugas manajemen akun dan layanan saja. Untuk informasi selengkapnya, lihat [pengguna root AWS akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) di *Panduan Pengguna IAM*.