Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMesempi di policy per Amazon QuickSight
Questa sezione fornisce esempi di IAM politiche che puoi utilizzare con Amazon QuickSight.
IAMpolitiche basate sull'identità per Amazon QuickSight
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Amazon. QuickSight
Argomenti
- IAMpolitiche basate sull'identità per l'amministrazione della console QuickSight IAM
- IAMpolitiche basate sull'identità per Amazon: dashboard QuickSight
- IAMpolitiche basate sull'identità per Amazon: namespace QuickSight
- IAMpolitiche basate sull'identità per Amazon QuickSight: autorizzazioni personalizzate
- IAMpolitiche basate sull'identità per Amazon QuickSight: personalizzazione dei modelli di report e-mail
- IAMpolitiche basate sull'identità per Amazon QuickSight: creazione di utenti
- IAMpolitiche basate sull'identità per Amazon QuickSight: creazione e gestione di gruppi
- IAMpolitiche basate sull'identità per Amazon QuickSight: accesso completo per l'edizione Standard
- IAMpolitiche basate sull'identità per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
- IAMpolitiche basate sull'identità per Amazon QuickSight: All access for Enterprise edition con Identity Center IAM
- IAMpolitiche basate sull'identità per Amazon QuickSight: accesso completo per l'edizione Enterprise con Active Directory
- IAMpolitiche basate sull'identità per Amazon QuickSight: gruppi di active directory
- IAMpolitiche basate sull'identità per Amazon QuickSight: utilizzo della console di gestione delle risorse di amministrazione
- IAMpolitiche basate sull'identità per Amazon QuickSight: utilizzo della console di gestione delle chiavi di amministrazione
- AWS risorse Amazon QuickSight: politiche di analisi nell'edizione Enterprise
IAMpolitiche basate sull'identità per l'amministrazione della console QuickSight IAM
L'esempio seguente mostra le IAM autorizzazioni necessarie per QuickSight IAM le azioni di amministrazione della console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
IAMpolitiche basate sull'identità per Amazon: dashboard QuickSight
L'esempio seguente mostra una IAM politica che consente la condivisione e l'incorporamento di dashboard specifiche.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
IAMpolitiche basate sull'identità per Amazon: namespace QuickSight
Gli esempi seguenti mostrano le IAM politiche che consentono a un QuickSight amministratore di creare o eliminare namespace.
Creazione degli spazi dei nomi
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminazione degli spazi dei nomi
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: autorizzazioni personalizzate
L'esempio seguente mostra una IAM politica che consente a un QuickSight amministratore o uno sviluppatore di gestire autorizzazioni personalizzate.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in QuickSight, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa politica consente a un QuickSight amministratore di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail sia un'identità verificataSES.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: creazione di utenti
L'esempio seguente mostra una politica che consente di creare solo QuickSight utenti Amazon. Per quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, è possibile limitare le autorizzazioni a "Resource":
"arn:aws:quicksight::. Per tutte le altre autorizzazioni descritte in questa guida, utilizza <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: creazione e gestione di gruppi
L'esempio seguente mostra una politica che consente QuickSight agli amministratori e agli sviluppatori di creare e gestire gruppi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: accesso completo per l'edizione Standard
L'esempio seguente per l'edizione Amazon QuickSight Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente a un QuickSight utente di iscriversi QuickSight, creare utenti e gestire Active Directory in un QuickSight account integrato con IAM Identity Center.
Questa policy consente inoltre agli utenti di sottoscrivere ruoli QuickSight Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di BI QuickSight generativa. Per ulteriori informazioni sui ruoli Pro in Amazon QuickSight, consultaInizia a usare la BI generativa.
Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim" ], "Resource": [ "*" ] } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: All access for Enterprise edition con Identity Center IAM
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un QuickSight account integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in. QuickSight Per creare una politica che conceda il permesso di sottoscrivere ruoli Pro in QuickSight, vedi. IAMpolitiche basate sull'identità per Amazon QuickSight: All access for Enterprise edition con IAM Identity Center (ruoli Pro)
Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un QuickSight account che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente il permesso di annullare l'iscrizione ad Amazon. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: gruppi di active directory
L'esempio seguente mostra una IAM policy che consente la gestione di gruppi Active Directory per un account Amazon QuickSight Enterprise edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
IAMpolitiche basate sull'identità per Amazon QuickSight: utilizzo della console di gestione delle risorse di amministrazione
L'esempio seguente mostra una IAM politica che consente l'accesso alla console di gestione delle risorse di amministrazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
IAMpolitiche basate sull'identità per Amazon QuickSight: utilizzo della console di gestione delle chiavi di amministrazione
L'esempio seguente mostra una IAM politica che consente l'accesso alla console di gestione delle chiavi di amministrazione.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Le "kms:ListAliases" autorizzazioni "quicksight:ListKMSKeysForUser" e sono necessarie per accedere alle chiavi gestite dal cliente dalla QuickSight console. "quicksight:ListKMSKeysForUser"e non "kms:ListAliases" sono necessari per utilizzare la gestione APIs delle QuickSight chiavi.
Per specificare a quali chiavi vuoi che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla UpdateKeyRegistration condizione con la chiave di quicksight:KmsKeyArns condizione. Gli utenti possono accedere solo alle chiavi specificate inUpdateKeyRegistration. Per ulteriori informazioni sulle chiavi di condizione supportate per QuickSight, consulta Condition keys for Amazon QuickSight.
L'esempio seguente concede Describe le autorizzazioni per tutto ciò CMKs che è registrato in un QuickSight account e le Update autorizzazioni per determinati elementi CMKs registrati nell'account. QuickSight
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS risorse Amazon QuickSight: politiche di analisi nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon QuickSight Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
