기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon QuickSight에 대한 IAM 정책 예시
이 단원에서는 Amazon QuickSight에서 사용할 수 있는 IAM 정책의 예를 제공합니다.
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책
이 단원에서는 Amazon QuickSight에서 사용할 자격 증명 기반 정책의 예를 보여줍니다.
주제
- QuickSight IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책
- Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 대시보드
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 네임스페이스
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 사용자 지정 권한
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 이메일 보고서 템플릿 사용자 지정
- Amazon QuickSight의 IAM ID 기반 정책: QuickSight 관리형 사용자로 엔터프라이즈 계정 생성
- Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 사용자 생성
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 그룹 생성 및 관리
- Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 스탠다드 에디션에 대한 모든 액세스
- Amazon QuickSight의 IAM ID 기반 정책: IAM Identity Center를 통한 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할)
- Amazon QuickSight의 IAM 자격 증명 기반 정책: IAM ID 센터를 통한 엔터프라이즈 에디션에 대한 모든 액세스
- Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: Active Directory가 포함된 엔터프라이즈 에디션에 대한 모든 액세스
- Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: Active Directory 그룹
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 관리자 자산 관리 콘솔 사용
- Amazon QuickSight의 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용
- AWS 리소스 Amazon QuickSight: Enterprise Edition의 정책 범위 조정
QuickSight IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책
다음 예는 QuickSight IAM 콘솔 관리 작업에 필요한 IAM 권한을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 대시보드
다음 예제는 특정 대시보드에서 대시보드 공유 및 임베딩이 가능한 IAM 정책을 나타낸 것입니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 네임스페이스
다음 예는 QuickSight 관리자가 네임스페이스를 만들거나 삭제할 수 있도록 허용하는 IAM 정책을 보여줍니다.
네임스페이스 생성
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
네임스페이스 삭제
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 사용자 지정 권한
다음 예시는 QuickSight 관리자 또는 개발자가 사용자 지정 권한을 관리할 수 있도록 하는 IAM 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
다음 예시는 이전 예에서처럼 동일한 권한을 부여하는 다른 방법을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 이메일 보고서 템플릿 사용자 지정
다음 예는 QuickSight에서 이메일 보고서 템플릿을 보고, 업데이트하고, 생성할 수 있을 뿐만 아니라 Amazon Simple Email Service ID에 대한 확인 속성을 가져올 수 있는 정책을 보여줍니다. 이 정책을 통해 QuickSight 관리자는 사용자 지정 이메일 보고서 템플릿을 생성 및 업데이트하고, 이메일 보고서를 보내려는 사용자 지정 이메일 주소가 SES에서 확인된 ID인지 확인할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Amazon QuickSight의 IAM ID 기반 정책: QuickSight 관리형 사용자로 엔터프라이즈 계정 생성
다음 예제에서는 QuickSight 관리자가 QuickSight 관리형 사용자로 엔터프라이즈 에디션 QuickSight 계정을 생성할 수 있도록 허용하는 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 사용자 생성
다음 예제는 Amazon QuickSight 사용자만 생성할 수 있는 정책을 보여줍니다. quicksight:CreateReader, quicksight:CreateUser, quicksight:CreateAdmin의 경우 "Resource":
"arn:aws:quicksight::에 대한 권한을 제한할 수 있습니다. 이 안내서에 설명된 다른 모든 권한의 경우 <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*"를 사용합니다. 지정한 리소스는 권한 범위를 지정된 리소스로 제한합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 그룹 생성 및 관리
다음 예시는 QuickSight 관리자와 개발자가 그룹을 생성하고 관리할 수 있는 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 스탠다드 에디션에 대한 모든 액세스
Amazon QuickSight 스탠다드 에디션에 대한 다음 예에서는 구독, 작성자 및 독자 생성을 허용하는 정책을 보여줍니다. 이 예에서는 Amazon QuickSight의 구독 해지 권한을 명시적으로 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Amazon QuickSight의 IAM ID 기반 정책: IAM Identity Center를 통한 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할)
Amazon QuickSight 엔터프라이즈 에디션의 다음 예제에서는 IAM Identity Center와 통합된 QuickSight 계정에서 QuickSight를 구독하고, 사용자를 생성하며, Active Directory를 관리할 수 있도록 허용하는 정책을 보여줍니다.
또한 이 정책을 통해 사용자는 QuickSight 생성형 BI 기능에서 Amazon Q에 대한 액세스 권한을 부여하는 QuickSight Pro 역할을 구독할 수 있습니다. Amazon QuickSight의 Pro 역할에 대한 자세한 정보는 생성형 BI 시작하기 섹션을 참조하세요.
이 예에서는 Amazon QuickSight의 구독 해지 권한을 명시적으로 거부합니다.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: IAM ID 센터를 통한 엔터프라이즈 에디션에 대한 모든 액세스
Amazon QuickSight 엔터프라이즈 에디션의 다음 예에서는 IAM ID 센터와 통합된 QuickSight 계정에서 Active Directory를 구독하고, 사용자를 생성하고, 관리할 수 있도록 허용하는 정책을 보여줍니다.
이 정책은 QuickSight에서 Pro 역할을 생성할 수 있는 권한을 부여하지 않습니다. QuickSight에서 Pro 역할을 구독할 수 있는 권한을 부여하는 정책을 생성하려면 Amazon QuickSight의 IAM ID 기반 정책: IAM Identity Center를 통한 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할) 섹션을 참조하세요.
이 예에서는 Amazon QuickSight의 구독 해지 권한을 명시적으로 거부합니다.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: Active Directory가 포함된 엔터프라이즈 에디션에 대한 모든 액세스
Amazon QuickSight Enterprise 에디션의 다음 예에서는 ID 관리를 위해 Active Directory를 사용하는 QuickSight 계정에서 Active Directory를 구독하고, 사용자를 생성하고, 관리할 수 있도록 허용하는 정책을 보여줍니다. 이 예에서는 Amazon QuickSight의 구독 해지 권한을 명시적으로 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: Active Directory 그룹
다음 예에서는 Amazon QuickSight 엔터프라이즈 에디션 계정에 대한 Active Directory 그룹 관리를 사용하는 IAM 정책을 보여줍니다.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 관리자 자산 관리 콘솔 사용
다음 예시는 관리 자산 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Amazon QuickSight의 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용
다음 예시는 관리자 키 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
QuickSight 콘솔에서 고객 관리형 키에 액세스하려면 "quicksight:ListKMSKeysForUser" 및 "kms:ListAliases" 권한이 필요합니다. QuickSight 키 관리 API를 사용할 때는 "quicksight:ListKMSKeysForUser" 및 "kms:ListAliases" 권한이 필요하지 않습니다.
사용자가 액세스할 수 있는 키를 지정하려면 quicksight:KmsKeyArns 조건 키를 사용하여 UpdateKeyRegistration 조건에 액세스할 수 있는 키의 ARN을 추가합니다. 사용자는 UpdateKeyRegistration에 지정된 키에만 액세스할 수 있습니다. QuickSight에 지원되는 조건 키에 대한 자세한 정보는 Amazon QuickSight의 조건 키를 참조하세요.
아래 예제에서는 QuickSight 계정에 등록된 모든 CMK에 대한 Describe 권한을 부여하고 QuickSight 계정에 등록된 특정 CMK에 대한 Update 권한을 부여합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS 리소스 Amazon QuickSight: Enterprise Edition의 정책 범위 조정
Amazon QuickSight Enterprise Edition에 대한 다음 예제는 AWS 리소스에 대한 기본 액세스를 설정하고 리소스에 대한 권한에 대한 정책의 범위를 조정할 수 AWS 있는 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
