As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Se você for administrador em AWS Organizations, poderá usar políticas de controle de serviços (SCPs) para restringir a forma como as pessoas da sua organização podem se inscrever na Amazon QuickSight. Você pode restringir a edição da Amazon na qual QuickSight eles podem se inscrever e também o tipo de usuário para o qual eles podem se inscrever.
AWS Organizations é um serviço de gerenciamento de contas de usuário que você pode usar para consolidar várias AWS contas em uma organização que você cria e gerencia centralmente. Você pode usar SCPs in AWS Organizations para gerenciar as permissões em sua organização. Para obter mais informações, consulte O que é AWS Organizations? e políticas de controle de serviços no Guia AWS Organizations do usuário.
No tópico a seguir, você pode aprender sobre duas maneiras de restringir as opções de QuickSight inscrição da Amazon usando SCPs in AWS Organizations. O tópico inclui um exemplo de SCP. Para saber mais sobre a criação SCPs, consulte os seguintes tópicos no Guia do AWS Organizations usuário:
Restringindo a edição da Amazon QuickSight
Para restringir a edição da Amazon na QuickSight qual suas contas gerenciadas podem se inscrever, use a chave de quicksight:Edition condição em seu SCP. Os valores dessa chave estão listados e descritos na tabela a seguir.
| Nome da chave | Valor da chave | Descrição |
|---|---|---|
|
|
|
QuickSight Edição Standard |
|
|
QuickSight Edição Empresarial |
Restringir as opções de gerenciamento de usuários
Para restringir as opções de gerenciamento de usuários que as pessoas em sua organização podem usar para se inscrever na Amazon QuickSight, use a chave de quicksight:DirectoryType condição em seu SCP. Os valores dessa chave estão listados e descritos na tabela a seguir.
| Nome da chave | Valor da chave | Descrição |
|---|---|---|
|
|
|
Identidades federadas e QuickSight usuários gerenciados do IAM |
|
|
Somente identidades federadas do IAM |
|
|
|
Usuários gerenciados no Microsoft Active Directory em AWS Directory Service for Microsoft Active Directory |
|
|
|
Usuários gerenciados no Active Directory local e conectados por meio do AD_Connector ao AWS Directory Service for Microsoft Active Directory |
|
|
|
Usuários gerenciados em uma QuickSight conta integrada ao IAM Identity Center. |
Exemplo de SCP
O exemplo a seguir para a Amazon QuickSight mostra uma política de controle de serviços que nega a inscrição em uma Edição QuickSight Standard e desativa a capacidade de se inscrever usando QuickSight nossas credenciais do Active Directory. Essa política usa a ação quicksight:subscribe, além das chaves de condição descritas anteriormente. Para obter uma lista de chaves QuickSight específicas para uso nas políticas de permissão do IAM, consulte Ações, recursos e chaves de condição para a Amazon QuickSight na Referência de autorização de serviço.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}Com essa política em vigor, indivíduos em uma organização podem se inscrever somente na QuickSight Enterprise Edition. Além disso, eles só podem se inscrever usando a opção de aplicação habilitada para o Centro de Identidade do IAM. Se eles tentarem se inscrever na QuickSight Standard Edition ou usar outra forma de autenticação, eles serão impedidos de se inscrever. Eles recebem uma mensagem explicando que não têm as permissões certas para se inscrever QuickSight.
