步骤 1:设置权限 - Amazon QuickSight

步骤 1:设置权限

重要

Amazon QuickSight 推出了用于嵌入分析的新 API:GenerateEmbedUrlForAnonymousUserGenerateEmbedUrlForRegisteredUser

您仍然可以使用 GetDashboardEmbedUrlGetSessionEmbedUrl API 来嵌入控制面板和 QuickSight 控制台,但其不包含最新的嵌入功能。有关最新的嵌入体验,请参阅 将 QuickSight 分析嵌入到您的应用程序中

 适用于:企业版 
   目标受众:Amazon QuickSight 开发人员 

在下节中,您可以了解如何设置后端应用程序或 Web 服务器的权限。该任务需要具有 IAM 的管理访问权限。

访问控制面板的每个用户代入一个角色,以便为其授予 Amazon QuickSight 访问权限和控制面板权限。要实现该目的,请在您的 AWS 账户中创建一个 IAM 角色。将一个 IAM policy 与该角色相关联,以便为担任该角色的任何用户提供权限。

以下示例策略提供了可用于 IdentityType=ANONYMOUS 的这些权限。要使这种方法发挥作用,您的 AWS 账户上还需要会话包或会话容量定价。否则,当用户尝试访问控制面板时,会返回 UnsupportedPricingPlanException 错误。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "quicksight:GetDashboardEmbedUrl",
              "quickSight:GetAnonymousUserEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

您应用程序的 IAM 身份必须具有关联的信任策略,才允许访问您刚创建的角色。这意味着,在用户访问您的应用程序时,您的应用程序可以代表用户代入该角色打开控制面板。以下示例显示了一个名为 QuickSightEmbeddingAnonymousPolicy 的角色,该角色将前面的示例策略作为其资源。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::11112222333:role/QuickSightEmbeddingAnonymousPolicy"
    }
}

有关信任策略的更多信息,请参阅《IAM 用户指南》中的 IAM 临时安全凭证