Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan IAM untuk Amazon QuickSight
Bagian ini memberikan contoh kebijakan IAM yang dapat Anda gunakan dengan Amazon QuickSight.
Kebijakan berbasis identitas IAM untuk Amazon QuickSight
Bagian ini menunjukkan contoh kebijakan berbasis identitas untuk digunakan dengan Amazon. QuickSight
Topik
- Kebijakan berbasis identitas IAM untuk administrasi konsol IAM QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon: dasbor QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon: ruang nama QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon: izin khusus QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menyesuaikan templat laporan email
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: buat akun Enterprise dengan pengguna terkelola QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon: membuat pengguna QuickSight
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: membuat dan mengelola grup
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Standar
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Enterprise dengan IAM Identity Center
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: semua akses untuk edisi Enterprise dengan Active Directory
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: grup direktori aktif
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menggunakan konsol manajemen aset admin
- Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menggunakan konsol manajemen kunci admin
- AWS sumber daya Amazon QuickSight: kebijakan pelingkupan dalam edisi Enterprise
Kebijakan berbasis identitas IAM untuk administrasi konsol IAM QuickSight
Contoh berikut menunjukkan izin IAM yang diperlukan untuk tindakan administrasi konsol QuickSight IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Amazon: dasbor QuickSight
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan berbagi dasbor dan penyematan untuk dasbor tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Kebijakan berbasis identitas IAM untuk Amazon: ruang nama QuickSight
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan QuickSight administrator membuat atau menghapus ruang nama.
Membuat ruang nama
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Menghapus ruang nama
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon: izin khusus QuickSight
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan QuickSight administrator atau pengembang mengelola izin khusus.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
Contoh berikut menunjukkan cara lain untuk memberikan izin yang sama seperti yang ditunjukkan pada contoh sebelumnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menyesuaikan templat laporan email
Contoh berikut menunjukkan kebijakan yang memungkinkan melihat, memperbarui, dan membuat templat laporan email di QuickSight, serta mendapatkan atribut verifikasi untuk identitas Amazon Simple Email Service. Kebijakan ini memungkinkan QuickSight administrator untuk membuat dan memperbarui templat laporan email kustom, dan mengonfirmasi bahwa alamat email khusus yang ingin mereka kirimi laporan email adalah identitas terverifikasi di SES.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: buat akun Enterprise dengan pengguna terkelola QuickSight
Contoh berikut menunjukkan kebijakan yang memungkinkan QuickSight admin membuat QuickSight akun edisi Enterprise dengan pengguna QuickSight terkelola.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Amazon: membuat pengguna QuickSight
Contoh berikut menunjukkan kebijakan yang memungkinkan pembuatan QuickSight pengguna Amazon saja. Untukquicksight:CreateReader,quicksight:CreateUser, danquicksight:CreateAdmin, Anda dapat membatasi izin untuk"Resource":
"arn:aws:quicksight::. Untuk semua izin lain yang dijelaskan dalam panduan ini, gunakan<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Sumber daya yang Anda tentukan membatasi ruang lingkup izin ke sumber daya yang ditentukan.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: membuat dan mengelola grup
Contoh berikut menunjukkan kebijakan yang memungkinkan QuickSight administrator dan pengembang untuk membuat dan mengelola grup.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Standar
Contoh berikut untuk Amazon QuickSight Standard edition menunjukkan kebijakan yang memungkinkan berlangganan dan membuat penulis dan pembaca. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
Contoh berikut untuk Amazon QuickSight Enterprise edition menunjukkan kebijakan yang memungkinkan QuickSight pengguna untuk berlangganan QuickSight, membuat pengguna, dan mengelola Active Directory di QuickSight akun yang terintegrasi dengan IAM Identity Center.
Kebijakan ini juga memungkinkan pengguna untuk berlangganan peran QuickSight Pro yang memberikan akses ke Amazon Q dalam kemampuan BI QuickSight Generatif. Untuk informasi selengkapnya tentang peran Pro di Amazon QuickSight, lihatMemulai dengan Generative BI.
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Enterprise dengan IAM Identity Center
Contoh berikut untuk Amazon QuickSight Enterprise edition menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di QuickSight akun yang terintegrasi dengan IAM Identity Center.
Kebijakan ini tidak memberikan izin untuk membuat peran Pro di QuickSight. Untuk membuat kebijakan yang memberikan izin untuk berlangganan peran Pro QuickSight, lihatKebijakan berbasis identitas IAM untuk Amazon QuickSight: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: semua akses untuk edisi Enterprise dengan Active Directory
Contoh berikut untuk Amazon QuickSight Enterprise edition menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di QuickSight akun yang menggunakan Active Directory untuk manajemen identitas. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: grup direktori aktif
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan manajemen grup Active Directory untuk akun edisi Amazon QuickSight Enterprise.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menggunakan konsol manajemen aset admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen aset admin.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Amazon QuickSight: menggunakan konsol manajemen kunci admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen kunci admin.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
"kms:ListAliases"Izin "quicksight:ListKMSKeysForUser" dan diperlukan untuk mengakses kunci yang dikelola pelanggan dari QuickSight konsol. "quicksight:ListKMSKeysForUser"dan tidak "kms:ListAliases" diharuskan menggunakan manajemen QuickSight kunci APIs.
Untuk menentukan kunci mana yang Anda ingin pengguna dapat mengakses, tambahkan kunci yang Anda ingin pengguna akses ke UpdateKeyRegistration kondisi dengan kunci quicksight:KmsKeyArns kondisi. ARNs Pengguna hanya dapat mengakses kunci yang ditentukan dalamUpdateKeyRegistration. Untuk informasi selengkapnya tentang kunci kondisi yang didukung QuickSight, lihat Kunci kondisi untuk Amazon QuickSight.
Contoh di bawah ini memberikan Describe izin untuk semua CMKs yang terdaftar ke QuickSight akun dan Update izin untuk spesifik CMKs yang terdaftar ke akun. QuickSight
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS sumber daya Amazon QuickSight: kebijakan pelingkupan dalam edisi Enterprise
Contoh berikut untuk edisi Amazon QuickSight Enterprise menunjukkan kebijakan yang memungkinkan menyetel akses default ke AWS sumber daya dan kebijakan pelingkupan untuk izin ke sumber daya. AWS
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
