本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 IAM
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权(有权*限)使用 Amazon Quick 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [IAM 概念简介](security_iam_concepts.md)
+ [在 IAM 中使用快速](security_iam_service-with-iam.md)
+ [将 IAM 角色传递给 Quick](security-create-iam-role.md)
+ [Quick 的 IAM 策略示例](iam-policy-examples.md)
+ [为 Amazon Quick 配置用户](provisioning-users.md)
+ [故障排除快速识别和访问](security_iam_troubleshoot.md)
# IAM 概念简介
AWS Identity and Access Management (IAM) 是一项 AWS 服务,可帮助管理员更安全地控制对 AWS 资源的访问。管理员控制谁可以*通过身份验证*(登录)和*授权*(拥有权限)使用 Amazon Quick 资源。IAM 是一项可以免费使用的 AWS 服务。
IAM 可通过多种方式与 Amazon Quick 配合使用,包括:
+ 如果您的公司使用 IAM 进行身份管理,则人们可能拥有用于登录 Amazon Quick 的 IAM 用户名和密码。
+ 如果您希望在首次登录时自动创建 Amazon Quick 用户,则可以使用 IAM 为预先授权使用 Amazon Quick 的用户创建策略。
+ 如果您想为特定的 Amazon Quick 用户群体或特定资源创建专门访问权限,则可以使用 IAM 策略来实现此目的。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
## 受众
使用以下内容有助于了解此部分中提供的信息上下文,并了解如何应用于您的角色。根据您在 Amazon Quick 中所做的工作,您的使用方式 AWS Identity and Access Management (IAM) 会有所不同。
**服务用户** — 在某些情况下,您可以使用 Amazon Quick 作为作者或读者,通过浏览器界面通过 Amazon Quick 与数据、分析、控制面板、空间和代理进行交互。在这些情况下,本部分仅为您提供背景信息。除非您使用 IAM 登录 Amazon Quick,否则您不会直接与 IAM 服务进行交互。
**Amazon Quick 管理员** — 如果你负责公司的 Amazon Quick 资源,那么你可能拥有对 Amazon Quick 的完全访问权限。您的工作是确定您的团队成员应该访问哪些 Amazon Quick 功能和资源。如果您有无法通过 Amazon Quick 管理面板解决的特殊要求,则可以与管理员合作,为您的 Amazon Quick 用户创建权限策略。要了解有关 IAM 的更多信息,请阅读此页以了解 IAM 的基本概念。要详细了解贵公司如何将 IAM 与 Amazon Quick 配合使用,请参阅将 Amaz [on Quick 与 IAM 配合使用](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)。
**管理员**-如果您是系统管理员,则可能需要详细了解如何编写策略来管理 Amazon Quick 的访问权限。要查看您可以在 IAM 中使用的 Amazon Quick 基于身份的策略示例,请参阅适用于 Amazon Quick [的 IAM 基于身份的策略](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)。
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
**Topics**
+ [AWS 账户 root 用户](#security_iam_authentication-rootuser)
+ [IAM 用户和群组](#security_iam_authentication-iamuser)
+ [IAM 角色](#security_iam_authentication-iamrole)
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 在 IAM 中使用快速
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
在使用 IAM 管理对 Amazon Quick 的访问权限之前,您应该了解哪些可用于 Amazon Quick 的 IAM 功能。要全面了解 Amazon Quick 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon 快速政策(基于身份)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick 政策(基于资源)](#security_iam_service-with-iam-resource-based-policies)
+ [基于亚马逊快速标签的授权](#security_iam_service-with-iam-tags)
+ [Amazon 快速 IAM 角色](#security_iam_service-with-iam-roles)
## Amazon 快速政策(基于身份)
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Quick 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
您可以使用 AWS 根证书或 IAM 用户证书创建 Amazon Quick 账户。 AWS root 和管理员凭证已经拥有管理 Amazon Quick AWS 资源访问权限所需的所有权限。
不过,我们强烈建议您保护根凭证,因此请使用 IAM 用户凭证。为此,您可以创建策略并将其附加到您计划用于 Amazon Quick 的 IAM 用户和角色。该策略必须包括您需要执行的 Amazon Quick 管理任务的相应声明,如以下各节所述。
**重要**
在使用 Quick 和 IAM 策略时,请注意以下几点:
避免直接修改由 Quick 创建的策略。当你自己修改它时,Quick 无法对其进行编辑。无法编辑可能会导致策略出现问题。要修复此问题,请删除之前修改过的策略。
如果您在尝试创建 Amazon Quick 账户时遇到权限错误,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
在某些情况下,您可能有一个 Amazon Quick 账户,即使是根账户也无法访问该账户(例如,如果您不小心删除了其目录服务)。在这种情况下,您可以删除旧的 Amazon Quick 账户,然后重新创建该账户。有关更多信息,请参阅[删除您的 Amazon Quick 订阅并关闭账户](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**Topics**
+ [操作](#security_iam_service-with-iam-id-based-policies-actions)
+ [资源](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [示例](#security_iam_service-with-iam-id-based-policies-examples)
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon Quick 中的策略操作在操作前使用以下前缀:`quicksight:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Quick 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Create` 开头的所有操作,包括以下操作:
```
"Action": "quicksight:Create*"
```
Amazon Quick 提供了许多 AWS Identity and Access Management (IAM) 操作。所有 Amazon Quick 操作都带有前缀`quicksight:`,例如。`quicksight:Subscribe`有关在 IAM 策略中使用 Amazon Quick 操作的信息,请参阅 A [mazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
要查看最多的亚马逊快速操作 up-to-date列表,请参阅 IA *M 用户指南*中的 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下面是一个示例策略。这意味着只要添加到组中的用户名不是 `user1`,附加该策略的调用方就能够在任意组上调用 `CreateGroupMembership` 操作。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
某些 Amazon Quick 操作(例如用于创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (\$1)。
```
"Resource": "*"
```
一些 API 操作涉及多种资源。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Amazon Quick 资源类型及其亚马逊资源名称 (ARNs) 的列表,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 A [mazon Quick 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Quick 不提供任何特定于服务的条件密钥,但它支持使用一些全局条件密钥。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 Amazon Quick 基于身份的策略示例,请参阅[亚马逊快速政策(基于身份)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)。
## Amazon Quick 政策(基于资源)
Amazon Quick 不支持基于资源的策略。但是,您可以使用 Amazon Quick 控制台来配置对您中其他 AWS 资源的访问权限 AWS 账户。
## 基于亚马逊快速标签的授权
Amazon Quick 不支持为资源添加标签或根据标签控制访问权限。
## Amazon 快速 IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。您可以使用 IAM 角色将权限组合在一起,以便更轻松地管理用户对 Amazon Quick 操作的访问权限。
Amazon Quick 不支持以下角色功能:
+ 服务相关角色。
+ 服务角色。
+ 临时证书(直接使用):但是,Amazon Quick 使用临时证书允许用户担任 IAM 角色来访问嵌入式控制面板。有关更多信息,请参阅适用于 [Amazon Quick 的嵌入式分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)。
有关 Amazon Quick 如何使用 IAM 角色的更多信息,请参阅将 A [mazon Quick 与 IAM 配合使用和 A](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) [mazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
# 将 IAM 角色传递给 Quick
| |
| --- |
| 适用于:企业版 |
当您的 IAM 用户注册 Quick 时,他们可以选择使用 Amazon Quick 托管角色(这是默认角色)。或者他们可以将现有的 IAM 角色传递给 Amazon Quick。
使用以下部分将现有 IAM 角色传递给 Amazon Quick
**Topics**
+ [先决条件](#security-create-iam-role-prerequisites)
+ [附加其他策略](#security-create-iam-role-athena-s3)
+ [在 Quick 中使用现有的 IAM 角色](#security-create-iam-role-use)
## 先决条件
为了让您的用户将 IAM 角色传递给 Amazon Quick,您的管理员需要完成以下任务:
+ **创建一个 IAM 角色。**有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ **为您的 IAM 角色附加信任策略,允许 Amazon Quick 代入该角色**。使用以下示例为角色创建信任策略。以下示例信任策略允许 Quick 委托人代入其所关联的 IAM 角色。
有关创建 IAM 信任策略并将其附加到角色的详细信息,请参阅《IAM 用户指南》**中的[修改角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **向您的管理员(IAM 用户或角色)分配以下 IAM 权限**:
+ `quicksight:UpdateResourcePermissions`— 这会向身为 Amazon Quick 管理员的 IAM 用户授予在 Amazon Quick 中更新资源级权限的权限。有关 Amazon Quick 定义的资源类型的更多信息,请参阅 *IAM 用户指南*中的 [Quick 的操作、资源和条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)。
+ `iam:PassRole`— 这授予用户将角色传递给 Amazon Quick 的权限。有关更多信息,请参阅 *IAM 用户指南中的授予用户*[向 AWS 服务传递角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
+ `iam:ListRoles`—(可选)这授予用户查看 Amazon Quick 中现有角色列表的权限。如果未提供此权限,则他们可以通过 ARN 来使用现有 IAM 角色。
以下是 IAM 权限策略示例,该策略允许在 Quick 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
有关您可以与 Amazon Quick 一起使用的 IAM 策略的更多示例,请参阅 [Amazon Quick 的 IAM 策略示例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
有关为用户或用户组分配权限策略的详细信息,请参阅《IAM 用户指南》**中的[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
## 附加其他策略
如果您使用的是其他 AWS 服务,例如 Amazon Athena 或 Amazon S3,则可以创建权限策略,授予 Amazon Quick 执行特定操作的权限。然后,您可以将该策略附加到稍后传递给 Amazon Quick 的 IAM 角色。以下是如何设置其他权限策略并将其附加到您的 IAM 角色的示例。
有关 Athena 中 Amazon Quick 的托管策略示例,[AWSQuicksightAthenaAccess 请参阅《亚马逊 *A* thena 用户指南》中的托管](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)策略。IAM 用户可以使用以下 ARN 在 Amazon Quick 中访问此角色:。`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`
以下是 Amazon S3 中 Amazon Quick 的权限策略示例。有关在 Amazon S3 中使用 IAM 的更多信息,请参阅《Amazon S3 用户指南》**中的 [Amazon S3 中的身份和访问管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)。
有关如何创建从 Amazon Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限的信息,请参阅[如何设置从 Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)? 在 AWS 知识中心中。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## 在 Quick 中使用现有的 IAM 角色
如果您是 Amazon Quick 管理员并且有权更新 Amazon Quick 资源并传递 IAM 角色,则可以在 Amazon Quick 中使用现有 IAM 角色。要详细了解在 Amazon Quick 中传递 IAM 角色的[先决条件,请参阅前面列表中列出的先决条件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。
使用以下过程学习如何在 Amazon Quick 中传递 IAM 角色。
**在 Amazon Quick 中使用现有 IAM 角色**
1. 在 Amazon Quick 中,在右上角的导航栏中选择您的账户名称,然后选择**管理 QuickSight**。
1. 在打开的 “**管理 Amazon Quick**” 页面上,在左侧菜单中选择 “**安全和权限**”。
1. 在打开的 “**安全和权限**” 页面中,在 “**Amazon 快速访问 AWS 服务**” 下,选择 “**管理**”。
1. 对于 **IAM 角色**,选择**使用现有角色**,然后执行以下操作之一:
+ 从列表中选择要使用的角色。
+ 或者,如果您没有看到现有 IAM 角色的列表,则可以按以下格式输入角色的 IAM ARN:`arn:aws:iam::account-id:role/path/role-name`。
1. 选择**保存**。
# Quick 的 IAM 策略示例
本节提供了可以与 Quick 配合使用的 IAM 策略的示例。
## 适用于 Quick 的 IAM 基于身份的策略
本节显示了与 Quick 配合使用的基于身份的策略的示例。
**Topics**
+ [适用于 Amazon Quick IAM 控制台管理的 IAM 基于身份的策略](#security_iam_conosole-administration)
### 适用于 Amazon Quick IAM 控制台管理的 IAM 基于身份的策略
以下示例显示了 Amazon Quick IAM 控制台管理操作所需的 IAM 权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick: 仪表板的 IAM 基于身份的策略
下面是一个 IAM 策略示例,它为特定控制面板允许控制面板共享和嵌入。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## 适用于 Quick: 命名空间的 IAM 基于身份的策略
以下示例显示了允许 Amazon Quick 管理员创建或删除命名空间的 IAM 策略。
**创建命名空间**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**删除命名空间**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:自定义权限
以下示例显示了允许 Amazon Quick 管理员或开发者管理自定义权限的 IAM 策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
以下示例显示了另一种授予与上一个示例中所示相同权限的方法。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:自定义电子邮件报告模板
以下示例显示了一项策略,该策略允许在 Amazon Quick 中查看、更新和创建电子邮件报告模板,以及获取亚马逊简单电子邮件服务身份的验证属性。此政策允许 Amazon Quick 管理员创建和更新自定义电子邮件报告模板,并确认他们想要发送电子邮件报告的任何自定义电子邮件地址都是 SES 中经过验证的身份。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的政策:使用 Amazon Quick 托管用户创建企业账户
以下示例显示了一项政策,该策略允许 Amazon Quick 管理员向 Amazon Quick 托管用户创建企业版 Amazon Quick 账户。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick:创建用户的 IAM 基于身份的策略
以下示例显示的策略仅允许创建 Amazon Quick 用户。对于 `quicksight:CreateReader`、`quicksight:CreateUser` 和 `quicksight:CreateAdmin`,您可以限制 **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** 权限。有关本指南中所述的所有其他权限,请使用 **"Resource": "\$1"**。您指定的资源将权限范围限制为指定的资源。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:创建和管理群组
以下示例显示了允许 Amazon Quick 管理员和开发人员创建和管理群组的策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick:标准版的所有访问权限的 IAM 基于身份的策略
以下 Amazon Quick 标准版示例显示了一项允许订阅和创建作者和读者的政策。此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick:带有 IAM 身份中心的企业版的所有访问权限的 IAM 基于身份的策略(专业版角色)
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许 Amazon Quick 用户在与 IAM 身份中心集成的亚马逊快速账户中订阅 Amazon Quick、创建用户和管理活动目录。
该政策还允许用户订阅 Amazon Quick Pro 角色,这些角色授予在快速生成商业智能功能中访问 Amazon Q 的权限。有关 Amazon Quick 中专业角色的更多信息,请参阅[生成式 BI 入门](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)。
此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## 基于 IAM 身份的 Quick:带有 IAM 身份中心的企业版的所有访问权限的 IAM 身份策略
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许在与 IAM 身份中心集成的 Amazon Quick 账户中订阅、创建用户和管理活动目录。
此政策不授予在 Amazon Quick 中创建专业版角色的权限。要创建授予在 [Amazon Quick 中订阅专业角色权限的策略,请参阅 Amazon Quick 的基于身份的政策:带有 IAM 身份中心的企业版的所有访问权限(专业角色](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro))。
此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用活动目录的企业版的所有访问权限
以下 Amazon Quick Enterprise 版示例显示了一项策略,该策略允许在使用 Active Directory 进行身份管理的 Amazon Quick 账户中订阅、创建用户和管理 Active Directory。此示例明确拒绝用户取消订阅 Amazon Quick 的权限。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## 适用于 Quick: 活动目录组的 IAM 基于身份的策略
以下示例显示了一个 IAM 策略,该策略允许对 Amazon Quick Enterprise 版账户进行活动目录群组管理。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用管理员资产管理控制台
以下示例显示了允许访问管理员资产管理控制台的 IAM 策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## 适用于 Quick 的 IAM 基于身份的策略:使用管理员密钥管理控制台
以下示例显示了允许访问管理员密钥管理控制台的 IAM 策略。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
需要`"quicksight:ListKMSKeysForUser"`和`"kms:ListAliases"`权限才能从 Amazon Quick 控制台访问客户托管的密钥。 `"quicksight:ListKMSKeysForUser"``"kms:ListAliases"`并且不需要使用 Amazon Quick 密钥管理 APIs。
要指定您希望用户能够访问哪些密钥,请使用`UpdateKeyRegistration`条件键将您希望用户访问的密钥添加到`quicksight:KmsKeyArns`条件中。 ARNs 用户只能访问 `UpdateKeyRegistration` 中指定的密钥。有关 Amazon Quick 支持的条件键的更多信息,请参阅 Amaz [on Quick 的条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)。
以下示例为注册到Amazon Quick账户的所有`Describe` CMKs 用户授予权限,并`Update`向注册到Amazon Quick账户的特定 CMKs 用户授予权限。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS resources Quick:在企业版中确定策略的范围
以下 Amazon Quick Enterprise 版示例显示了一个策略,该策略允许设置 AWS 资源默认访问权限和 AWS 资源权限范围策略。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# 为 Amazon Quick 配置用户
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
## 自行配置 Amazon Quick 管理员
Amazon Quick 管理员是还可以管理 Amazon Quick 功能(例如账户设置和账户)的用户。他们还可以为你购买额外的 Amazon Quick 用户订阅、购买 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 以及取消对 Amazon Quick 的订阅 AWS 账户。
您可以使用 AWS 用户或群组策略让用户能够将自己添加为 Amazon Quick 的管理员。被授予此能力的用户只能将自己添加为管理员,不能使用此策略添加其他人。他们的账户在首次打开 Amazon Quick 时就会变为活跃且可计费。要设置自行预置,请向这些用户提供使用 `quicksight:CreateAdmin` 操作的权限。
或者,您可以使用以下步骤使用控制台为 Amazon Quick 设置或创建 Amazon Quick 的管理员。
**让用户成为 Amazon Quick 管理员**
1. 创建 AWS 用户:
+ 使用 IAM 创建您想成为 Amazon Quick 管理员的用户。或者,为 IAM 中的现有用户指定管理员角色。还可以将该用户放入新组,以便于管理。
+ 授予用户(或组)足够的权限。
1. 使用目标用户的凭据登录到您 AWS 管理控制台 的。
1. 转至 [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email),键入目标用户的电子邮件地址,然后选择 **Continue (继续)**。
成功后,目标用户现在成为 Amazon Quick 的管理员。
## 自行配置 Amazon Quick 作者
Amazon Quick 作者可以创建数据源、数据集、分析和控制面板。他们可以与您的 Amazon Quick 账户中的其他 Amazon Quick 用户共享分析和控制面板。但是,他们无权访问 “**管理 Amazon 快捷方式**” 菜单。他们无法更改账户设置、管理账户、购买额外的 Amazon Quick 用户订阅或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,也无法为您取消对 Amazon Quick 的订阅 AWS 账户。此外,Author Pro 用户还可以使用自然语言创建内容、构建知识库、配置操作和访问高级自动化功能。
您可以使用 AWS 用户或群组策略让用户能够为自己创建 Amazon Quick 作者账户。他们的账户在首次打开 Amazon Quick 时就会变为活跃且可计费。要设置自行预置,您需要向其提供使用 `quicksight:CreateUser` 操作的权限。
## 自行配置 Amazon Quick 只读用户
Amazon Quick 只*读用户或读者*可以查看和操作与他们共享的控制面板,但他们无法进行任何更改或保存控制面板以供进一步分析。Amazon Quick 读取器无法创建数据源、数据集、分析或视觉对象。他们无法执行任何管理任务。为作为控制面板的使用者但无法创作自己的分析的用户(如行政人员)选择此角色。Reader Pro 用户可以访问高级功能,包括 AI 聊天代理、协作空间、流程和扩展程序。
如果你使用的是带有 Amazon Quick 的 Microsoft Active Directory,则可以使用群组来管理只读权限。否则,您可以批量邀请用户使用 Amazon Quick。您还可以使用 AWS 用户或群组策略让人们能够为自己创建 Amazon Quick 阅读器账户。
读者账户在首次打开 Amazon Quick 时即变为活跃且可计费。如果您决定对用户进行升级或降级,该用户当月的账单将按比例进行计算。要设置自行预置,您需要向其提供使用 `quicksight:CreateReader` 操作的权限。
习惯于为近乎实时的用例自动刷新或以编程方式刷新控制面板的读者必须选择容量定价。对于按用户定价的读者,每位读者只能由一个人手动使用。
# 故障排除快速识别和访问
| |
| --- |
| 适用于:企业版和标准版 |
| |
| --- |
| 目标受众:系统管理员 |
使用以下信息来帮助您诊断和修复在使用 Amazon Quick 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 Amazon Quick 中执行任何操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许 AWS 账户之外的用户访问我的 Amazon Quick 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 Amazon Quick 中执行任何操作
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。
如果 `mateojackson` IAM 用户尝试使用控制台查看有关 *widget* 的详细信息,但没有 `quicksight:GetWidget` 权限,则会出现以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `quicksight:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到一条错误消息,说您无权执行该`iam:PassRole`操作,则必须更新您的政策以允许您将角色传递给 Amazon Quick。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为的 IAM 用户`marymajor`尝试使用控制台在 Amazon Quick 中执行操作时,会出现以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许 AWS 账户之外的用户访问我的 Amazon Quick 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Amazon Quick 是否支持这些功能,请参阅[在 IAM 中使用快速](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。