1단계: 권한 설정
중요
Amazon QuickSight는 분석 기능을 포함하기 위한 새로운 API, 즉 GenerateEmbedUrlForAnonymousUser와(과) GenerateEmbedUrlForRegisteredUser을(를) 제공합니다.
여전히 GetDashboardEmbedUrl 및 GetSessionEmbedUrl API를 사용하여 대시보드와 QuickSight 콘솔을 내장할 수 있지만, 여기에는 최신 임베딩 기능이 포함되어 있지 않습니다. 최신 임베딩 환경에 대한 자세한 내용은 애플리케이션에 QuickSight 분석 임베딩을(를) 참조하세요.
다음 단원에서 백엔드 애플리케이션 또는 웹 서버의 권한을 설정하는 방법을 알아봅니다. 이 작업을 수행하려면 IAM에 대한 관리자 액세스 권한이 있어야 합니다.
QuickSight에 액세스하는 각 사용자는 Amazon QuickSight의 콘솔 세션 액세스 및 권한을 부여하는 역할을 맡습니다. 이렇게 하려면 AWS 계정에서 IAM 역할을 생성합니다. IAM 정책을 역할과 연결하여 역할을 수행하는 사용자에게 권한을 제공합니다. quicksight:RegisterUser 권한을 추가하여 읽기 사용자가 읽기 전용으로만 QuickSight에 액세스하고, 다른 데이터 또는 생성 기능에는 액세스할 수 없도록 합니다. 또한 IAM 역할은 콘솔 세션 URL을 검색할 수 있는 권한을 제공해야 합니다. 이를 위해 quicksight:GetSessionEmbedUrl을(를) 추가합니다.
다음 샘플 정책은 IdentityType=IAM을(를) 사용할 수 있는 권한을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetSessionEmbedUrl", "Resource": "*", "Effect": "Allow" } ] }
다음 샘플 정책은 콘솔 세션 URL을 검색할 수 있는 권한을 제공합니다. 임베디드 세션에 액세스하기 전에 사용자를 생성 중이면 quicksight:RegisterUser 없이 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetSessionEmbedUrl" ], "Resource": "*" } ] }
QUICKSIGHT을(를) identityType(으)로 사용하고 사용자의 Amazon 리소스 이름(ARN)을 제공하는 경우, 정책에서 quicksight:GetAuthCode 작업을 허용해야 합니다. 다음 샘플 정책은 이러한 권한을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetSessionEmbedUrl", "quicksight:GetAuthCode" ], "Resource": "*" } ] }
방금 생성한 역할에 액세스하려면 애플리케이션의 IAM 자격 증명에 신뢰 정책이 연결되어 있어야 합니다. 즉, 사용자가 애플리케이션에 액세스하면 애플리케이션이 사용자를 대신하여 역할을 수임하고 QuickSight에서 사용자를 프로비저닝할 수 있습니다. 다음 예에서는 이전의 샘플 정책을 리소스로 사용하는 embedding_quicksight_console_session_role 역할을 보여줍니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_console_session_role" } }
OpenID Connect 또는 SAML 인증의 신뢰 정책에 대한 자세한 내용은 IAM 사용 설명서의 다음 단원을 참조하십시오.
