Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan IAM
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon Quick. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Pengantar konsep IAM](security_iam_concepts.md)
+ [Menggunakan Cepat dengan IAM](security_iam_service-with-iam.md)
+ [Melewati peran IAM ke Quick](security-create-iam-role.md)
+ [Contoh kebijakan IAM untuk Quick](iam-policy-examples.md)
+ [Menyediakan pengguna untuk Amazon Quick](provisioning-users.md)
+ [Pemecahan masalah Identitas dan akses cepat](security_iam_troubleshoot.md)
# Pengantar konsep IAM
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator untuk lebih aman mengontrol akses ke AWS sumber daya. Administrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Amazon Quick. IAM adalah layanan AWS yang dapat Anda gunakan tanpa dikenakan biaya tambahan.
IAM digunakan dengan Amazon Quick dalam beberapa cara, termasuk yang berikut:
+ Jika perusahaan Anda menggunakan IAM untuk manajemen identitas mereka, orang mungkin memiliki nama pengguna dan kata sandi IAM yang mereka gunakan untuk masuk ke Amazon Quick.
+ Jika ingin pengguna Amazon Quick dibuat secara otomatis saat masuk pertama kali, Anda dapat menggunakan IAM untuk membuat kebijakan bagi pengguna yang telah diotorisasi sebelumnya untuk menggunakan Amazon Quick.
+ Jika Anda ingin membuat akses khusus untuk grup pengguna Amazon Quick tertentu atau ke sumber daya tertentu, Anda dapat menggunakan kebijakan IAM untuk melakukannya.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
## Audiens
Gunakan yang berikut ini untuk membantu memahami konteks informasi yang diberikan di bagian ini, dan bagaimana hal itu berlaku untuk peran Anda. Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda tergantung pada pekerjaan yang Anda lakukan di Amazon Quick.
**Pengguna layanan** — Dalam beberapa kasus, Anda dapat menggunakan Amazon Quick sebagai Penulis atau Pembaca untuk berinteraksi dengan data, analisis, dan dasbor, spasi, dan agen melalui Amazon Quick dengan menggunakan antarmuka browser. Dalam kasus ini, bagian ini hanya menyediakan informasi latar belakang untuk Anda. Anda tidak berinteraksi langsung dengan layanan IAM, kecuali jika Anda menggunakan IAM untuk masuk ke Amazon Quick.
**Administrator Cepat Amazon** - Jika Anda bertanggung jawab atas sumber daya Amazon Quick di perusahaan Anda, Anda mungkin memiliki akses penuh ke Amazon Quick. Tugas Anda adalah menentukan fitur dan sumber daya Amazon Quick mana yang harus diakses anggota tim Anda. Jika Anda memiliki persyaratan khusus yang tidak dapat diselesaikan dengan menggunakan panel admin Amazon Quick, Anda dapat bekerja dengan administrator untuk membuat kebijakan izin bagi pengguna Amazon Quick Anda. Untuk mempelajari lebih lanjut tentang IAM, baca halaman ini untuk memahami konsep dasar IAM. Untuk mempelajari selengkapnya tentang cara perusahaan Anda dapat menggunakan IAM dengan Amazon Quick, lihat [Menggunakan Amazon Quick with IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html).
**Administrator** - Jika Anda seorang administrator sistem, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses ke Amazon Quick. Untuk melihat contoh kebijakan berbasis identitas Cepat Amazon yang dapat Anda gunakan di IAM, lihat kebijakan [berbasis identitas IAM](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) untuk Amazon Quick.
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Akun AWS pengguna root](#security_iam_authentication-rootuser)
+ [Pengguna dan grup IAM](#security_iam_authentication-iamuser)
+ [Peran IAM](#security_iam_authentication-iamrole)
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Menggunakan Cepat dengan IAM
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Quick, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Quick. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Quick dan AWS layanan lainnya dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Kebijakan Cepat Amazon (berbasis identitas)](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan Amazon Quick (berbasis sumber daya)](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag Cepat Amazon](#security_iam_service-with-iam-tags)
+ [Peran IAM Cepat Amazon](#security_iam_service-with-iam-roles)
## Kebijakan Cepat Amazon (berbasis identitas)
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Amazon Quick mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
Anda dapat menggunakan kredensi AWS root atau kredensi pengguna IAM untuk membuat akun Amazon Quick. AWS kredensi root dan administrator sudah memiliki semua izin yang diperlukan untuk mengelola akses cepat Amazon ke sumber daya. AWS
Namun, kami menyarankan Anda melindungi kredensi root Anda, dan sebagai gantinya menggunakan kredenal pengguna IAM. Untuk melakukan ini, Anda dapat membuat kebijakan dan melampirkannya ke pengguna IAM dan peran yang ingin Anda gunakan untuk Amazon Quick. Kebijakan harus menyertakan pernyataan yang sesuai untuk tugas administratif Amazon Quick yang perlu Anda lakukan, seperti yang dijelaskan di bagian berikut.
**penting**
Perhatikan hal-hal berikut saat bekerja dengan kebijakan Cepat dan IAM:
Hindari memodifikasi kebijakan yang dibuat oleh Quick secara langsung. Ketika Anda memodifikasinya sendiri, Quick tidak dapat mengeditnya. Ketidakmampuan ini dapat menyebabkan masalah dengan kebijakan. Untuk memperbaiki masalah ini, hapus kebijakan yang telah diubah sebelumnya.
Jika Anda mendapatkan kesalahan pada izin saat mencoba membuat akun Cepat Amazon, lihat [Tindakan yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) di *Panduan Pengguna IAM*.
Dalam beberapa kasus, Anda mungkin memiliki akun Amazon Quick yang tidak dapat Anda akses bahkan dari akun root (misalnya, jika Anda secara tidak sengaja menghapus layanan direktorinya). Dalam hal ini, Anda dapat menghapus akun Amazon Quick lama Anda, lalu membuatnya kembali. Untuk informasi selengkapnya, lihat [Menghapus langganan Amazon Quick dan menutup akun](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [Tindakan](#security_iam_service-with-iam-id-based-policies-actions)
+ [Sumber daya](#security_iam_service-with-iam-id-based-policies-resources)
+ [Kunci syarat](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Contoh](#security_iam_service-with-iam-id-based-policies-examples)
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Amazon Cepat gunakan awalan berikut sebelum tindakan:`quicksight:`. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon EC2 dengan operasi API `RunInstances` Amazon EC2, Anda menyertakan tindakan `ec2:RunInstances` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Amazon Quick mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Create`, sertakan tindakan berikut:
```
"Action": "quicksight:Create*"
```
Amazon Quick menyediakan sejumlah tindakan AWS Identity and Access Management (IAM). Semua tindakan Amazon Quick diawali dengan`quicksight:`, seperti`quicksight:Subscribe`. Untuk informasi tentang menggunakan tindakan Cepat Amazon dalam kebijakan IAM, lihat [contoh kebijakan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
Untuk melihat up-to-date daftar tindakan Cepat Amazon terbanyak, lihat [Tindakan yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) di *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Berikut ini adalah contoh kebijakan. Ini berarti bahwa penelepon dengan kebijakan ini terlampir, dapat menjalankan `CreateGroupMembership` operasi pada grup mana pun, asalkan nama pengguna yang mereka tambahkan ke grup tidak. `user1`
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
Beberapa tindakan Amazon Quick, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Beberapa tindakan API melibatkan beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
```
Untuk melihat daftar jenis sumber daya Amazon Cepat dan Nama Sumber Daya Amazon (ARNs), lihat [Sumber Daya yang Ditentukan oleh Amazon Cepat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) di *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions).
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Amazon Quick tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Cepat Amazon, lihat [Kebijakan Cepat Amazon (](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)berbasis identitas).
## Kebijakan Amazon Quick (berbasis sumber daya)
Amazon Quick tidak mendukung kebijakan berbasis sumber daya. Namun, Anda dapat menggunakan konsol Amazon Quick untuk mengonfigurasi akses ke AWS sumber daya lain di Anda Akun AWS.
## Otorisasi berdasarkan tag Cepat Amazon
Amazon Quick tidak mendukung sumber daya penandaan atau mengontrol akses berdasarkan tag.
## Peran IAM Cepat Amazon
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu. Anda dapat menggunakan peran IAM untuk mengelompokkan izin bersama agar lebih mudah mengelola akses pengguna ke tindakan Cepat Amazon.
Amazon Quick tidak mendukung fitur peran berikut:
+ Peran terkait layanan.
+ Peran layanan.
+ Kredensi sementara (penggunaan langsung): Namun, Amazon Quick menggunakan kredenal sementara untuk memungkinkan pengguna mengambil peran IAM untuk mengakses dasbor yang disematkan. Untuk informasi selengkapnya, lihat [Analitik tertanam untuk Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html).
Untuk informasi selengkapnya tentang cara Amazon Quick menggunakan peran IAM, lihat [Menggunakan Amazon Quick dengan contoh kebijakan IAM](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [dan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
# Melewati peran IAM ke Quick
| |
| --- |
| Berlaku untuk: Enterprise Edition |
Saat pengguna IAM Anda mendaftar ke Quick, mereka dapat memilih untuk menggunakan peran Amazon Quick-managed (ini adalah peran default). Atau mereka dapat meneruskan peran IAM yang ada ke Amazon Quick.
Gunakan bagian di bawah ini untuk meneruskan peran IAM yang ada ke Amazon Quick
**Topics**
+ [Prasyarat](#security-create-iam-role-prerequisites)
+ [Melampirkan kebijakan tambahan](#security-create-iam-role-athena-s3)
+ [Menggunakan peran IAM yang ada di Quick](#security-create-iam-role-use)
## Prasyarat
Agar pengguna dapat meneruskan peran IAM ke Amazon Quick, administrator Anda harus menyelesaikan tugas-tugas berikut:
+ **Buat peran IAM**. Untuk informasi selengkapnya tentang membuat peran IAM, lihat [Membuat peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) di Panduan Pengguna *IAM*.
+ **Lampirkan kebijakan kepercayaan ke peran IAM Anda yang memungkinkan Amazon Quick untuk mengambil peran tersebut**. Gunakan contoh berikut untuk membuat kebijakan kepercayaan untuk peran tersebut. Contoh kebijakan kepercayaan berikut memungkinkan prinsipal Cepat untuk mengambil peran IAM yang dilampirkan.
Untuk informasi selengkapnya tentang membuat kebijakan kepercayaan IAM dan melampirkannya ke peran, lihat [Memodifikasi Peran (Konsol) di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html) Pengguna *IAM*.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **Tetapkan izin IAM berikut ke administrator Anda (pengguna atau peran IAM**):
+ `quicksight:UpdateResourcePermissions`— Ini memberi pengguna IAM yang merupakan administrator Amazon Quick izin untuk memperbarui izin tingkat sumber daya di Amazon Quick. Untuk informasi selengkapnya tentang jenis sumber daya yang ditentukan oleh Amazon Quick[, lihat Tindakan, sumber daya, dan kunci kondisi untuk Cepat](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) di *Panduan Pengguna IAM*.
+ `iam:PassRole`— Ini memberi pengguna izin untuk meneruskan peran ke Amazon Quick. Untuk informasi selengkapnya, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
+ `iam:ListRoles`— (Opsional) Ini memberi pengguna izin untuk melihat daftar peran yang ada di Amazon Quick. Jika izin ini tidak diberikan, mereka dapat menggunakan ARN untuk menggunakan peran IAM yang ada.
Berikut ini adalah contoh kebijakan izin IAM yang memungkinkan mengelola izin tingkat sumber daya, mencantumkan peran IAM, dan meneruskan peran IAM di Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Untuk lebih banyak contoh kebijakan IAM yang dapat Anda gunakan dengan Amazon Quick, lihat [contoh kebijakan IAM untuk Amazon](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) Quick.
*Untuk informasi selengkapnya tentang menetapkan kebijakan izin kepada pengguna atau grup pengguna, lihat [Mengubah izin untuk pengguna IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).*
## Melampirkan kebijakan tambahan
Jika Anda menggunakan AWS layanan lain, seperti Amazon Athena atau Amazon S3, Anda dapat membuat kebijakan izin yang memberikan izin Amazon Quick untuk melakukan tindakan tertentu. Anda kemudian dapat melampirkan kebijakan ke peran IAM yang kemudian Anda berikan ke Amazon Quick. Berikut ini adalah contoh cara mengatur dan melampirkan kebijakan izin tambahan ke peran IAM Anda.
Untuk contoh kebijakan terkelola untuk Amazon Quick di Athena, lihat [Kebijakan AWSQuicksight AthenaAccess Terkelola](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) di Panduan Pengguna *Amazon Athena*. Pengguna IAM dapat mengakses peran ini di Amazon Quick menggunakan `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess` ARN berikut:.
Berikut ini adalah contoh kebijakan izin untuk Amazon Quick di Amazon S3. Untuk informasi selengkapnya tentang menggunakan IAM dengan Amazon S3, [lihat Manajemen identitas dan akses di Amazon S3 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) *S3*.
Untuk informasi tentang cara membuat akses lintas akun dari Amazon Quick ke bucket Amazon S3 di akun lain, [lihat Bagaimana cara mengatur akses lintas akun dari Quick ke bucket Amazon S3 di akun lain?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/) di pusat AWS pengetahuan.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Menggunakan peran IAM yang ada di Quick
Jika Anda administrator Amazon Quick dan memiliki izin untuk memperbarui sumber daya Amazon Quick dan meneruskan peran IAM, Anda dapat menggunakan peran IAM yang ada di Amazon Quick. Untuk mempelajari lebih lanjut tentang prasyarat untuk meneruskan peran IAM di Amazon Quick, lihat Prasyarat yang diuraikan dalam [daftar](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq) sebelumnya.
Gunakan prosedur berikut untuk mempelajari cara meneruskan peran IAM di Amazon Quick.
**Untuk menggunakan peran IAM yang ada di Amazon Quick**
1. Di Amazon Quick, pilih nama akun Anda di bilah navigasi di kanan atas dan pilih **Kelola QuickSight**.
1. Pada halaman **Kelola Amazon Cepat** yang terbuka, pilih **Keamanan & Izin** di menu di sebelah kiri.
1. Di halaman **Keamanan & Izin** yang terbuka, di bawah **Amazon Akses cepat ke AWS layanan**, pilih **Kelola**.
1. Untuk **peran IAM**, pilih **Gunakan peran yang ada**, lalu lakukan salah satu hal berikut:
+ Pilih peran yang ingin Anda gunakan dari daftar.
+ Atau, jika Anda tidak melihat daftar peran IAM yang ada, Anda dapat memasukkan ARN IAM untuk peran dalam format berikut:. `arn:aws:iam::account-id:role/path/role-name`
1. Pilih **Simpan**.
# Contoh kebijakan IAM untuk Quick
Bagian ini memberikan contoh kebijakan IAM yang dapat Anda gunakan dengan Quick.
## Kebijakan berbasis identitas IAM untuk Quick
Bagian ini menunjukkan contoh kebijakan berbasis identitas yang akan digunakan dengan Quick.
**Topics**
+ [Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick IAM](#security_iam_conosole-administration)
### Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick IAM
Contoh berikut menunjukkan izin IAM yang diperlukan untuk tindakan administrasi konsol Amazon Quick IAM.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk dasbor Cepat:
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan berbagi dasbor dan penyematan untuk dasbor tertentu.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: ruang nama
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick membuat atau menghapus ruang nama.
**Membuat ruang nama**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**Menghapus ruang nama**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: izin khusus
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick atau pengembang mengelola izin khusus.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
Contoh berikut menunjukkan cara lain untuk memberikan izin yang sama seperti yang ditunjukkan pada contoh sebelumnya.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menyesuaikan templat laporan email
Contoh berikut menunjukkan kebijakan yang memungkinkan melihat, memperbarui, dan membuat templat laporan email di Amazon Quick, serta mendapatkan atribut verifikasi untuk identitas Amazon Simple Email Service. Kebijakan ini memungkinkan administrator Amazon Quick untuk membuat dan memperbarui templat laporan email kustom, dan untuk mengonfirmasi bahwa alamat email khusus yang ingin mereka kirimi laporan email adalah identitas terverifikasi di SES.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: buat akun Enterprise dengan pengguna terkelola Amazon Quick
Contoh berikut menunjukkan kebijakan yang memungkinkan admin Amazon Quick membuat akun Amazon Quick edisi Enterprise dengan pengguna terkelola Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: membuat pengguna
Contoh berikut menunjukkan kebijakan yang memungkinkan pembuatan pengguna Amazon Quick saja. Untuk`quicksight:CreateReader`,`quicksight:CreateUser`, dan`quicksight:CreateAdmin`, Anda dapat membatasi izin untuk**"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**. Untuk semua izin lain yang dijelaskan dalam panduan ini, gunakan**"Resource": "\$1"**. Sumber daya yang Anda tentukan membatasi ruang lingkup izin ke sumber daya yang ditentukan.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: membuat dan mengelola grup
Contoh berikut menunjukkan kebijakan yang memungkinkan administrator dan pengembang Amazon Quick membuat dan mengelola grup.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Standar
Contoh berikut untuk Amazon Quick Standard edition menunjukkan kebijakan yang memungkinkan berlangganan dan membuat penulis dan pembaca. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
Contoh berikut untuk edisi Amazon Quick Enterprise menunjukkan kebijakan yang memungkinkan pengguna Amazon Quick untuk berlangganan Amazon Quick, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini juga memungkinkan pengguna untuk berlangganan peran Amazon Quick Pro yang memberikan akses ke Amazon Q dalam kemampuan BI Generatif Cepat. Untuk informasi selengkapnya tentang peran Pro di Amazon Quick, lihat [Memulai BI Generatif](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini tidak memberikan izin untuk membuat peran Pro di Amazon Quick. Untuk membuat kebijakan yang memberikan izin untuk berlangganan peran Pro di Amazon Quick, lihat [kebijakan berbasis identitas IAM untuk Amazon Quick: Semua akses untuk edisi Enterprise dengan IAM Identity](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro) Center (peran Pro).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: semua akses untuk edisi Enterprise dengan Active Directory
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang menggunakan Active Directory untuk manajemen identitas. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: grup direktori aktif
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan manajemen grup Active Directory untuk akun edisi Amazon Quick Enterprise.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen aset admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen aset admin.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen kunci admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen kunci admin.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"kms:ListAliases"`Izin `"quicksight:ListKMSKeysForUser"` dan diperlukan untuk mengakses kunci yang dikelola pelanggan dari konsol Amazon Quick. `"quicksight:ListKMSKeysForUser"`dan tidak `"kms:ListAliases"` diharuskan menggunakan manajemen kunci Amazon Quick APIs.
Untuk menentukan kunci mana yang Anda ingin pengguna dapat mengakses, tambahkan kunci yang Anda ingin pengguna akses ke `UpdateKeyRegistration` kondisi dengan kunci `quicksight:KmsKeyArns` kondisi. ARNs Pengguna hanya dapat mengakses kunci yang ditentukan dalam`UpdateKeyRegistration`. Untuk informasi selengkapnya tentang kunci kondisi yang didukung untuk Amazon Quick, lihat [Kunci kondisi untuk Amazon Quick](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
Contoh di bawah ini memberikan `Describe` izin untuk semua CMKs yang terdaftar ke akun Amazon Quick dan `Update` izin untuk spesifik CMKs yang terdaftar ke akun Amazon Quick.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS sumber daya Cepat: kebijakan pelingkupan dalam edisi Enterprise
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan pengaturan akses default ke AWS sumber daya dan kebijakan pelingkupan untuk izin ke sumber daya. AWS
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Menyediakan pengguna untuk Amazon Quick
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem dan administrator Amazon Quick |
## Menyediakan sendiri administrator Amazon Quick
Administrator Amazon Quick adalah pengguna yang juga dapat mengelola fitur Amazon Quick seperti pengaturan akun dan akun. Mereka juga dapat membeli langganan pengguna Amazon Quick tambahan, membeli [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), dan membatalkan langganan Amazon Quick untuk Anda Akun AWS.
Anda dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi pengguna kemampuan untuk menambahkan diri mereka sebagai administrator Amazon Quick. Pengguna yang telah diberikan kemampuan ini hanya dapat menambahkan diri mereka sebagai administrator dan tidak dapat menggunakan kebijakan ini untuk menambahkan orang lain. Akun mereka menjadi aktif dan dapat ditagih saat pertama kali mereka membuka Amazon Quick. Untuk mengatur penyediaan mandiri, berikan izin kepada pengguna ini untuk menggunakan tindakan. `quicksight:CreateAdmin`
Atau, Anda dapat menggunakan prosedur berikut untuk menggunakan konsol untuk mengatur atau membuat administrator untuk Amazon Quick.
**Untuk menjadikan pengguna administrator Amazon Quick**
1. Buat AWS pengguna:
+ Gunakan IAM untuk membuat pengguna yang Anda inginkan menjadi administrator Amazon Quick. Atau, identifikasi pengguna yang ada di IAM untuk peran administrator. Anda juga dapat menempatkan pengguna di dalam grup baru, untuk pengelolaan.
+ Berikan izin yang cukup kepada pengguna (atau grup).
1. Masuk ke Anda Konsol Manajemen AWS dengan kredensi pengguna target.
1. Buka[http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email), ketik alamat email pengguna target, dan pilih **Lanjutkan**.
Saat sukses, target pengguna sekarang menjadi administrator di Amazon Quick.
## Menyediakan sendiri penulis Amazon Quick
Penulis Amazon Quick dapat membuat sumber data, kumpulan data, analisis, dan dasbor. Mereka dapat berbagi analisis dan dasbor dengan pengguna Amazon Quick lainnya di akun Amazon Quick Anda. Namun, mereka tidak memiliki akses ke menu **Kelola Amazon Cepat**. Mereka tidak dapat mengubah pengaturan akun, mengelola akun, membeli langganan pengguna Amazon Quick tambahan atau kapasitas [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html), atau membatalkan langganan Amazon Quick untuk Anda Akun AWS. Pengguna Author Pro juga dapat membuat konten menggunakan bahasa alami, membangun basis pengetahuan, mengonfigurasi tindakan, dan mengakses kemampuan otomatisasi tingkat lanjut.
Anda dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi pengguna kemampuan membuat akun penulis Amazon Quick untuk diri mereka sendiri. Akun mereka menjadi aktif dan dapat ditagih saat pertama kali membuka Amazon Quick. Untuk mengatur penyediaan mandiri, Anda harus memberi mereka izin untuk menggunakan tindakan. `quicksight:CreateUser`
## Menyediakan sendiri pengguna hanya-baca Amazon Quick
Pengguna atau *pembaca* hanya-baca Amazon Quick dapat melihat dan memanipulasi dasbor yang dibagikan dengan mereka, tetapi mereka tidak dapat membuat perubahan apa pun atau menyimpan dasbor untuk analisis lebih lanjut. Pembaca Amazon Quick tidak dapat membuat sumber data, kumpulan data, analisis, atau visual. Mereka tidak dapat melakukan tugas administratif apa pun. Pilih peran ini untuk orang-orang yang merupakan konsumen dasbor tetapi jangan menulis analisis mereka sendiri, misalnya, eksekutif. Pengguna Reader Pro memiliki akses ke fitur-fitur canggih termasuk agen obrolan AI, ruang kolaboratif, alur, dan ekstensi.
Jika Anda menggunakan Microsoft Active Directory dengan Amazon Quick, Anda dapat mengelola izin hanya-baca dengan menggunakan grup. Jika tidak, Anda dapat mengundang pengguna secara massal untuk menggunakan Amazon Quick. Anda juga dapat menggunakan kebijakan AWS pengguna atau grup untuk memberi orang kemampuan untuk membuat akun Amazon Quick reader untuk diri mereka sendiri.
Akun pembaca menjadi aktif dan dapat ditagih saat pertama kali membuka Amazon Quick. Jika Anda memutuskan untuk meningkatkan atau menurunkan versi pengguna, penagihan untuk pengguna tersebut diprorata untuk bulan tersebut. Untuk mengatur penyediaan mandiri, Anda harus memberi mereka izin untuk menggunakan tindakan. `quicksight:CreateReader`
Pembaca yang terbiasa menyegarkan dasbor secara otomatis atau terprogram untuk kasus penggunaan yang mendekati waktu nyata harus memilih harga kapasitas. Untuk pembaca di bawah harga pengguna, setiap pembaca dibatasi untuk penggunaan manual oleh satu individu saja.
# Pemecahan masalah Identitas dan akses cepat
| |
| --- |
| Berlaku untuk: Edisi Perusahaan dan Edisi Standar |
| |
| --- |
| Audiens yang dituju: Administrator sistem |
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Quick dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon Quick](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Quick saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Amazon Quick
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang *widget* tetapi tidak memiliki `quicksight:GetWidget` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `quicksight:GetWidget`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon Quick.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon Quick. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Quick saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon Quick mendukung fitur-fitur ini, lihat[Menggunakan Cepat dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*