先决条件 - Amazon QuickSight

先决条件

为了让您的用户将 IAM 角色传递给 QuickSight,您的管理员需要完成以下任务:

  • 创建一个 IAM 角色。有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色

  • 为您的 IAM 角色附加允许 QuickSight 代入该角色的信任策略。使用以下示例为角色创建信任策略。以下示例信任策略允许 Amazon QuickSight 主体代入其附加的 IAM 角色。

    有关创建 IAM 信任策略并将其附加到角色的详细信息,请参阅《IAM 用户指南》中的修改角色(控制台)

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  • 向您的管理员(IAM 用户或角色)分配以下 IAM 权限

    • quicksight:UpdateResourcePermissions – 这授予身为 QuickSight 管理员的 IAM 用户在 QuickSight 中更新资源级权限的权限。有关 QuickSight 定义的资源类型的更多信息,请参阅《IAM 用户指南》中的 Amazon QuickSight 的操作、资源和条件键

    • iam:PassRole – 这授予用户将角色传递给 QuickSight 的权限。有关更多信息,请参阅 IAM 用户指南中的向用户授予将角色传递给 AWS 服务的权限

    • iam:ListRoles –(可选)这授予用户在 QuickSight 中查看现有角色列表的权限。如果未提供此权限,则他们可以通过 ARN 来使用现有 IAM 角色。

    以下是一个 IAM 权限策略示例,该策略允许在 Amazon QuickSight 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }

    有关可与 QuickSight 配合使用的 IAM policy 的示例,请参阅 Amazon QuickSight 的 IAM policy 示例

有关为用户或用户组分配权限策略的详细信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限

在管理员完成先决条件后,您的 IAM 用户可以将 IAM 角色传递给 QuickSight。为此,他们可以在注册 QuickSight 时选择一个 IAM 角色,或在 QuickSight 的“安全和权限”页面上 switching to an IAM role。要了解如何在 QuickSight 中切换到现有 IAM 角色,请参阅以下部分。