本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定快速
本節可協助您了解如何設定身分和存取管理,以及在設定 Amazon Quick 執行個體時控制使用者的註冊。
**注意**
如需有關如何設定 Amazon Quick 執行個體的資訊,包括建立 AWS 帳戶、註冊 Amazon Quick 訂閱,以及登入 Amazon Quick,請參閱[設定和登入 Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/setting-up.html)。
**Topics**
+ [使用服務控制政策來限制 Amazon Quick 註冊選項](security-scp-admin.md)
+ [Quick 中的身分和存取管理](identity.md)
+ [允許列出 Amazon Quick 網域](allowlist-domains.md)
# 使用服務控制政策來限制 Amazon Quick 註冊選項
如果您是 中的管理員 AWS Organizations,您可以使用服務控制政策 (SCPs) 來限制組織中的個人如何註冊 Amazon Quick。您可以限制他們可以註冊的 Quick 版本,以及他們可以註冊的使用者類型。
AWS Organizations 是一種使用者帳戶管理服務,可用來將多個 AWS 帳戶合併到您建立並集中管理的組織。您可以在 中使用 SCPs AWS Organizations 來管理組織中的許可。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)[和服務控制政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)。
在下列主題中,您可以了解使用 SCPs兩種方式 AWS Organizations。主題包括範例 SCP。若要進一步了解建立 SCP,請參閱《AWS Organizations 使用者指南》中的下列主題:**
+ [建立、更新和刪除服務控制政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [SCP 語法](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [使用 SCP 的策略](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [限制 Quick Edition](#security-scp-edition)
+ [限制使用者管理選項](#security-scp-user)
+ [SCP 範例](#security-scp-example)
## 限制 Quick Edition
若要限制受管帳戶可以註冊的 Quick 版本,請使用 SCP 中的 `quicksight:Edition`條件金鑰。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | Description |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Amazon Quick Standard Edition |
| | `enterprise` | Amazon Quick Enterprise Edition |
## 限制使用者管理選項
若要限制組織中的個人可用來註冊 Quick 的使用者管理選項,請使用 SCP 中的 `quicksight:DirectoryType`條件索引鍵。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | Description |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | IAM 聯合身分和 Amazon Quick 受管使用者 |
| | `iam` | 僅限 IAM 聯合身分 |
| | `microsoft_ad` | 在 上在 Microsoft Active Directory 中管理的使用者 AWS Directory Service for Microsoft Active Directory |
| | `ad_connector` | 在內部部署 Active Directory 中管理並透過 AD\$1Connector 連線至 的使用者 AWS Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | 在與 IAM Identity Center 整合的 Amazon Quick 帳戶中管理的使用者。 |
## SCP 範例
下列 Quick 範例顯示拒絕註冊 Amazon Quick Standard Edition 的服務控制政策,並阻止使用 IAM Identity Center 身分驗證進行註冊。除了先前描述的條件金鑰之外,此政策還會使用 `quicksight:Subscribe` 動作。如需用於 IAM 許可政策的 Amazon Quick-specific 金鑰清單,請參閱*《服務授權參考*》中的 [Quick 的動作、資源和條件金鑰](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
此政策生效後,組織中的個人只能註冊 Amazon Quick Enterprise Edition,而且必須使用 IAM Identity Center 以外的身分驗證方法。如果他們嘗試註冊 Amazon Quick Standard Edition 或嘗試使用 IAM Identity Center 身分驗證,則會受到限制,無法註冊並收到訊息,說明他們沒有適當的許可。
# Quick 中的身分和存取管理
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
您可以使用下列工具來識別和存取 Quick:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (僅限企業版)
+ [IAM 聯合](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (標準版和企業版)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (僅限企業版)
+ [以 SAML 為基礎的單一登入 ](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html)(標準版和企業版)
+ [多重因素驗證 (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (標準版和企業版)
**注意**
在下列區域中,Amazon Quick 帳戶只能使用 [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) 進行身分和存取管理。
`af-south-1` 非洲 (開普敦)
`ap-southeast-3` 亞太區域 (雅加達)
`ap-southeast-5` 亞太區域 (馬來西亞)
`eu-south-1` 歐洲 (米蘭)
`eu-central-2` 歐洲 (蘇黎世)
下列各節可協助您為 Quick 設定您選擇的身分管理方法。
**Topics**
+ [使用 IAM](iam.md)
+ [使用 IAM Identity Center](setting-up-sso.md)
+ [IAM 聯合身分](iam-federation.md)
+ [搭配 Amazon Quick Enterprise Edition 使用 Active Directory](aws-directory-service.md)
+ [搭配 Amazon Quick 使用多重驗證 (MFA)](using-multi-factor-authentication-mfa.md)
# 使用 IAM
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 Amazon Quick 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [IAM 概念簡介](security_iam_concepts.md)
+ [使用 Quick 搭配 IAM](security_iam_service-with-iam.md)
+ [將 IAM 角色傳遞至 Quick](security-create-iam-role.md)
+ [Quick 的 IAM 政策範例](iam-policy-examples.md)
+ [佈建 Amazon Quick 的使用者](provisioning-users.md)
+ [疑難排解快速身分和存取](security_iam_troubleshoot.md)
# IAM 概念簡介
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員更安全地控制對 AWS 資源的存取。管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 Amazon Quick 資源。IAM 是一種您可以免費使用的 AWS 服務。
IAM 會以多種方式與 Amazon Quick 搭配使用,包括下列項目:
+ 如果您的公司使用 IAM 進行身分管理,則人員可能會有用於登入 Amazon Quick 的 IAM 使用者名稱和密碼。
+ 如果您希望在第一次登入時自動建立 Amazon Quick 使用者,您可以使用 IAM 為預先授權使用 Amazon Quick 的使用者建立政策。
+ 如果您想要為特定群組的 Amazon Quick 使用者或特定資源建立特殊存取權,您可以使用 IAM 政策來完成此操作。
**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
## 目標對象
您可藉由以下內容了解本章節所提供的資訊,以及如何將該資訊應用至角色。使用方式 AWS Identity and Access Management (IAM) 會因您在 Amazon Quick 中執行的工作而有所不同。
**服務使用者** – 在某些情況下,您可以使用 Amazon Quick 做為作者或讀者,透過瀏覽器界面透過 Amazon Quick 與資料、分析和儀表板、空格和客服人員互動。在這些情況下,本章節僅為您提供背景資訊。除非您使用 IAM 登入 Amazon Quick,否則不會直接與 IAM 服務互動。
**Amazon Quick 管理員** – 如果您在公司負責 Amazon Quick 資源,您可能擁有 Amazon Quick 的完整存取權。您的任務是判斷團隊成員應存取哪些 Amazon Quick 功能和資源。如果您有無法使用 Amazon Quick 管理員面板解決的特殊需求,則可以與管理員合作,為 Amazon Quick 使用者建立許可政策。若要進一步了解 IAM,請閱讀此頁面,以了解 IAM 的基本概念。若要進一步了解貴公司如何搭配 Amazon Quick 使用 IAM,請參閱[搭配 IAM 使用 Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)。
**管理員** – 如果您是系統管理員,建議您了解如何撰寫政策以管理 Amazon Quick 存取權的詳細資訊。若要檢視您可以在 IAM 中使用的 Amazon Quick 身分型政策範例,請參閱 [Amazon Quick 的 IAM 身分型政策](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)。
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
**Topics**
+ [AWS 帳戶 根使用者](#security_iam_authentication-rootuser)
+ [IAM 使用者和群組](#security_iam_authentication-iamuser)
+ [IAM 角色](#security_iam_authentication-iamrole)
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者,以 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL,請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策套用到請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多個政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 使用 Quick 搭配 IAM
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
使用 IAM 管理 Amazon Quick 的存取權之前,您應該了解哪些 IAM 功能可與 Amazon Quick 搭配使用。若要全面了解 Amazon Quick 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon Quick 政策 (以身分為基礎)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick 政策 (以資源為基礎)](#security_iam_service-with-iam-resource-based-policies)
+ [以 Amazon Quick 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM 角色](#security_iam_service-with-iam-roles)
## Amazon Quick 政策 (以身分為基礎)
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Amazon Quick 支援特定動作、資源和條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱 *IAM 使用者指南*中的 [JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
您可以使用 AWS 根登入資料或 IAM 使用者登入資料來建立 Amazon Quick 帳戶。 AWS root 和管理員登入資料已有管理 Amazon Quick 存取 AWS 資源所需的所有必要許可。
不過,建議您保護您的根登入資料,且改用 IAM 使用者登入資料。若要這樣做,您可以建立政策,並將其連接到您計劃用於 Amazon Quick 的 IAM 使用者和角色。此政策必須包含您需要執行之 Amazon Quick 管理任務的適當陳述式,如下列各節所述。
**重要**
使用快速和 IAM 政策時,請注意下列事項:
避免直接修改 Quick 建立的政策。當您自行修改時,Quick 無法編輯它。這樣會導致政策發生問題。若要修正此問題,請刪除之前修改的政策。
如果您在嘗試建立 Amazon Quick 帳戶時遇到許可錯誤,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
在某些情況下,您可能擁有即使從根帳戶也無法存取的 Amazon Quick 帳戶 (例如,如果您意外刪除其目錄服務)。在這種情況下,您可以刪除舊的 Amazon Quick 帳戶,然後重新建立。如需詳細資訊,請參閱[刪除 Amazon Quick 訂閱和關閉帳戶](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**Topics**
+ [動作](#security_iam_service-with-iam-id-based-policies-actions)
+ [Resources](#security_iam_service-with-iam-id-based-policies-resources)
+ [條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [範例](#security_iam_service-with-iam-id-based-policies-examples)
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
Amazon Quick 中的政策動作在動作之前使用下列字首:`quicksight:`。例如,若要授予某人使用 Amazon EC2 `RunInstances` API 作業來執行 Amazon EC2 執行個體的許可,請在其政策中加入 `ec2:RunInstances` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。Amazon Quick 會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Create` 文字的所有動作,請包含以下動作:
```
"Action": "quicksight:Create*"
```
Amazon Quick 提供多種 AWS Identity and Access Management (IAM) 動作。所有 Amazon Quick 動作都以 為字首`quicksight:`,例如 `quicksight:Subscribe`。如需在 IAM 政策中使用 Amazon Quick 動作的詳細資訊,請參閱 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
若要查看 up-to-date清單,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
以下是政策的範例。這表示只要新增至群組的使用者名稱不是 `user1`,連接此政策的呼叫者就能在任何群組上呼叫 `CreateGroupMembership` 操作。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
有些 Amazon Quick 動作無法在特定資源上執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
許多 API 動作都會用到多項資源。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
```
若要查看 Amazon Quick 資源類型及其 Amazon Resource Name (ARNs) 的清單,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Quick 不提供任何服務特定的條件金鑰,但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 範例
若要檢視 Amazon Quick 身分型政策的範例,請參閱 [Amazon Quick 政策 (身分型)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)。
## Amazon Quick 政策 (以資源為基礎)
Amazon Quick 不支援以資源為基礎的政策。不過,您可以使用 Amazon Quick 主控台來設定對 中其他 AWS 資源的存取 AWS 帳戶。
## 以 Amazon Quick 標籤為基礎的授權
Amazon Quick 不支援標記資源或根據標籤控制存取。
## Amazon Quick IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。您可以使用 IAM 角色將許可分組在一起,以便更輕鬆地管理使用者對 Amazon Quick 動作的存取。
Amazon Quick 不支援下列角色功能:
+ 服務連結角色。
+ 服務角色
+ 臨時登入資料 (直接使用):不過,Amazon Quick 會使用臨時登入資料,允許使用者擔任 IAM 角色來存取內嵌儀表板。如需詳細資訊,請參閱 [Amazon Quick 的內嵌分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)。
如需 Amazon Quick 如何使用 IAM 角色的詳細資訊,請參閱[使用 Amazon Quick 搭配 IAM ](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)和 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
# 將 IAM 角色傳遞至 Quick
| |
| --- |
| 適用於:企業版 |
當您的 IAM 使用者註冊 Quick 時,可以選擇使用 Amazon Quick 受管角色 (這是預設角色)。或者,他們可以將現有的 IAM 角色傳遞給 Amazon Quick。
使用以下區段將現有的 IAM 角色傳遞至 Amazon Quick
**Topics**
+ [先決條件](#security-create-iam-role-prerequisites)
+ [連接其他政策](#security-create-iam-role-athena-s3)
+ [在 Quick 中使用現有的 IAM 角色](#security-create-iam-role-use)
## 先決條件
若要讓使用者將 IAM 角色傳遞至 Amazon Quick,您的管理員需要完成下列任務:
+ **建立 IAM 角色。**如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。**
+ **將信任政策連接至您的 IAM 角色,以允許 Amazon Quick 擔任該角色**。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Quick 主體擔任其連接的 IAM 角色。
如需有關建立 IAM 信任政策及將其連接至 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[修改角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **將以下 IAM 許可指派給您的管理員 (IAM 使用者或角色)**:
+ `quicksight:UpdateResourcePermissions` – 這會授予身為 Amazon Quick 管理員的 IAM 使用者在 Amazon Quick 中更新資源層級許可的許可。如需 Amazon Quick 定義之資源類型的詳細資訊,請參閱《*IAM 使用者指南*》中的 [Quick 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)。
+ `iam:PassRole` – 這會授予使用者將角色傳遞至 Amazon Quick 的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
+ `iam:ListRoles` – (選用) 這會授予使用者在 Amazon Quick 中查看現有角色清單的許可。如果未提供此許可,他們可以使用 ARN 來使用現有的 IAM 角色。
以下是 IAM 許可政策範例,允許管理資源層級許可、列出 IAM 角色,以及在 Quick 中傳遞 IAM 角色。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
如需可與 Amazon Quick 搭配使用的 IAM 政策範例,請參閱 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
如需有關將許可指派給使用者或使用者群組的詳細資訊,請參閱《IAM 使用者指南》中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。**
## 連接其他政策
如果您使用的是其他服務 AWS ,例如 Amazon Athena 或 Amazon S3,您可以建立授予 Amazon Quick 執行特定動作許可的許可政策。然後,您可以將政策連接至稍後傳遞給 Amazon Quick 的 IAM 角色。以下是如何設定其他許可政策並將其他許可政策連接到 IAM 角色的範例。
如需 Athena 中 Amazon Quick 的範例受管政策,請參閱《Amazon Athena 使用者指南》中的 [AWSQuicksightAthenaAccess 受管政策](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)。 *Amazon Athena * IAM 使用者可以使用下列 ARN 在 Amazon Quick 中存取此角色:`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`。
以下是 Amazon S3 中 Amazon Quick 的許可政策範例。如需有關搭配使用 IAM 和 Amazon S3 的詳細資訊,請參閱《Amazon S3 使用者指南》中的 [Amazon S3 中的身分和存取管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)。**
如需有關如何從 Amazon Quick 建立對另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權的資訊,請參閱 AWS 知識中心中的[如何設定從 Quick 到另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## 在 Quick 中使用現有的 IAM 角色
如果您是 Amazon Quick 管理員,並具有更新 Amazon Quick 資源和傳遞 IAM 角色的許可,則可以在 Amazon Quick 中使用現有的 IAM 角色。若要進一步了解在 Amazon Quick 中傳遞 IAM 角色的先決條件,請參閱先前清單中概述[的先決條件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。
使用下列程序來了解如何在 Amazon Quick 中傳遞 IAM 角色。
**在 Amazon Quick 中使用現有的 IAM 角色**
1. 在 Amazon Quick 中,在右上角的導覽列中選擇您的帳戶名稱,然後選擇**管理 QuickSight**。
1. 在開啟的**管理 Amazon Quick** 頁面上,選擇左側選單中的**安全與許可**。
1. 在開啟**的安全與許可**頁面中,在 **Amazon Quick 存取 AWS 服務**下,選擇**管理**。
1. 對於 **IAM 角色**,選擇**使用現有角色**,然後執行下列其中一項:
+ 從清單中選擇要使用的角色。
+ 或者,如果您沒有看到現有 IAM 角色的清單,您可使用下列格式輸入該角色的 IAM ARN:`arn:aws:iam::account-id:role/path/role-name`。
1. 選擇**儲存**。
# Quick 的 IAM 政策範例
本節提供可與 Quick 搭配使用的 IAM 政策範例。
## 適用於 Quick 的 IAM 身分型政策
本節顯示與 Quick 搭配使用的身分型政策範例。
**Topics**
+ [Amazon Quick IAM 主控台管理的 IAM 身分型政策](#security_iam_conosole-administration)
### Amazon Quick IAM 主控台管理的 IAM 身分型政策
下列範例顯示 Amazon Quick IAM 主控台管理動作所需的 IAM 許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: 儀表板的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許為特定儀表板啟用儀表板共用和內嵌功能。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 命名空間的 IAM 身分型政策
下列範例顯示允許 Amazon Quick 管理員建立或刪除命名空間的 IAM 政策。
**正在建立命名空間**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**刪除命名空間**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## 快速的 IAM 身分型政策:自訂許可
下列範例顯示允許 Amazon Quick 管理員或開發人員管理自訂許可的 IAM 政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
下列範例顯示授予與上一範例中所示相同許可的另一種方法。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## 快速的 IAM 身分型政策:自訂電子郵件報告範本
下列範例顯示的政策允許在 Amazon Quick 中檢視、更新和建立電子郵件報告範本,以及取得 Amazon Simple Email Service 身分的驗證屬性。此政策允許 Amazon Quick 管理員建立和更新自訂電子郵件報告範本,並確認他們想要傳送電子郵件報告的任何自訂電子郵件地址是 SES 中的已驗證身分。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick 的 IAM 身分型政策:使用 Amazon Quick 受管使用者建立企業帳戶
下列範例顯示允許 Amazon Quick 管理員使用 Amazon Quick 受管使用者建立 Enterprise Edition Amazon Quick 帳戶的政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Quick 的 IAM 身分型政策:建立使用者
下列範例顯示僅允許建立 Amazon Quick 使用者的政策。如果是 `quicksight:CreateReader`、`quicksight:CreateUser` 和 `quicksight:CreateAdmin`,您能將許可限制在 **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**。對於本指南中敘述的所有其他許可,請使用 **"Resource": "\$1"**。您指定的資源會限制特定資源的許可範圍。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Quick 的 IAM 身分型政策:建立和管理群組
下列範例顯示允許 Amazon Quick 管理員和開發人員建立和管理群組的政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## 適用於 Quick:Standard Edition 的所有存取的 IAM 身分型政策
下列 Amazon Quick Standard 版本範例顯示允許訂閱和建立作者和讀者的政策。此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:使用 IAM Identity Center (Pro 角色) 進行 Enterprise Edition 的所有存取
下列 Amazon Quick Enterprise Edition 範例顯示的政策允許 Amazon Quick 使用者在與 IAM Identity Center 整合的 Amazon Quick 帳戶中訂閱 Amazon Quick、建立使用者和管理 Active Directory。
此政策也允許使用者訂閱授予 Amazon Q in Quick Generative BI 功能存取權的 Amazon Quick Pro 角色。如需 Amazon Quick 中 Pro 角色的詳細資訊,請參閱[開始使用生成式 BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)。
此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:使用 IAM Identity Center 進行 Enterprise Edition 的所有存取
下列 Amazon Quick Enterprise 版本範例顯示允許在與 IAM Identity Center 整合的 Amazon Quick 帳戶中訂閱、建立使用者和管理 Active Directory 的政策。
此政策不會授予在 Amazon Quick 中建立 Pro 角色的許可。若要建立授予 Amazon Quick 中 Pro 角色訂閱許可的政策,請參閱 [Amazon Quick 的 IAM 身分型政策:使用 IAM Identity Center (Pro 角色) 的企業版所有存取權](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)。
此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:具備 Active Directory 之 Enterprise Edition 的所有存取權
下列 Amazon Quick Enterprise Edition 範例顯示允許在使用 Active Directory 進行身分管理的 Amazon Quick 帳戶中訂閱、建立使用者和管理 Active Directory 的政策。此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory 群組的 IAM 身分型政策
下列範例顯示允許 Amazon Quick Enterprise Edition 帳戶的 Active Directory 群組管理的 IAM 政策。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## 適用於 Quick:使用管理員資產管理主控台的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許存取管理員資產管理主控台。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## 適用於 Quick:使用管理員金鑰管理主控台的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許存取管理員金鑰管理主控台。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
從 Amazon Quick 主控台存取客戶受管金鑰需要 `"quicksight:ListKMSKeysForUser"`和 `"kms:ListAliases"`許可。使用 Amazon Quick 金鑰管理 APIs `"kms:ListAliases"` 不需要 `"quicksight:ListKMSKeysForUser"`和 。
若要指定希望使用者能夠存取的金鑰,請將您希望使用者存取的金鑰 ARN 新增至 `UpdateKeyRegistration` 條件,並使用 `quicksight:KmsKeyArns` 條件索引鍵。使用者僅能存取 `UpdateKeyRegistration` 中指定的金鑰。如需 Amazon Quick 支援的條件金鑰的詳細資訊,請參閱 [Amazon Quick 的條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)。
以下範例會授予註冊到 Amazon Quick 帳戶的所有 CMKs 的`Describe`許可,以及註冊到 Amazon Quick 帳戶的特定 CMKs 的`Update`許可。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS 資源 快速:企業版中的範圍政策
下列 Amazon Quick Enterprise Edition 範例顯示允許設定 AWS 資源預設存取權的政策,以及限定 AWS 資源許可的政策範圍。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# 佈建 Amazon Quick 的使用者
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
## 自行佈建 Amazon Quick 管理員
Amazon Quick 管理員是也可以管理 Amazon Quick 功能的使用者,例如帳戶設定和帳戶。他們也可以為您的 購買額外的 Amazon Quick 使用者訂閱、購買 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html),以及取消 Amazon Quick 的訂閱 AWS 帳戶。
您可以使用 AWS 使用者或群組政策,讓使用者能夠將自己新增為 Amazon Quick 的管理員。已授予此功能的使用者只能將自己新增為管理員,而且無法使用此政策來新增其他管理員。他們的帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。若要設定自行佈建,請提供這些使用者使用 `quicksight:CreateAdmin` 動作的許可。
或者,您可以使用下列程序,使用 主控台來設定或建立 Amazon Quick 的管理員。
**讓使用者成為 Amazon Quick 管理員**
1. 建立 AWS 使用者:
+ 使用 IAM 建立您想要成為 Amazon Quick 管理員的使用者。或者,識別 IAM 中管理員角色的現有使用者。為了方便管理,您也可以將使用者放在新群組內。
+ 授予使用者 (或群組) 足夠許可。
1. AWS 管理主控台 使用目標使用者的登入資料登入您的 。
1. 移至 [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email)、輸入目標使用者的電子郵件地址,然後選擇 **Continue (繼續)**。
成功時,目標使用者現在是 Amazon Quick 中的管理員。
## 自行佈建 Amazon Quick 作者
Amazon Quick 作者可以建立資料來源、資料集、分析和儀表板。他們可以與您 Amazon Quick 帳戶中的其他 Amazon Quick 使用者共用分析和儀表板。不過,他們無法存取**管理 Amazon Quick **功能表。他們無法變更帳戶設定、管理帳戶、購買其他 Amazon Quick 使用者訂閱或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,或取消您的 Amazon Quick 訂閱 AWS 帳戶。Author Pro 使用者可以另外使用自然語言建立內容、建置知識庫、設定動作,以及存取進階自動化功能。
您可以使用 AWS 使用者或群組政策,讓使用者能夠自行建立 Amazon Quick 作者帳戶。他們的帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。您需要提供他們 `quicksight:CreateUser` 動作的許可,才能設定自行佈建。
## 自行佈建 Amazon Quick 唯讀使用者
Amazon Quick 唯讀使用者或*讀者*可以檢視和操作與其共用的儀表板,但無法進行任何變更或儲存儀表板以供進一步分析。Amazon Quick 讀取器無法建立資料來源、資料集、分析或視覺效果。他們無法執行任何管理任務。為屬於儀表板消費者,但不會自行編寫分析的人員 (例如主管) 選擇此角色。Reader Pro 使用者可以存取進階功能,包括 AI 聊天客服人員、協作空間、流程和延伸。
如果您將 Microsoft Active Directory 與 Amazon Quick 搭配使用,則可以使用 群組來管理唯讀許可。否則,您可以大量邀請使用者使用 Amazon Quick。您也可以使用 AWS 使用者或群組政策,讓人員自行建立 Amazon Quick 讀取器帳戶。
讀取器帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。如果您決定升級或降級使用者,則該使用者在當月是按比例計費。您需要提供他們 `quicksight:CreateReader` 動作的許可,才能設定自行佈建。
習慣自動或以程式設計方式重新整理儀表板以實現近乎即時的使用案例的讀者,必須選擇容量定價。針對使用者定價下的讀者,每個讀者僅限一個人手動使用。
# 疑難排解快速身分和存取
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
使用以下資訊來協助您診斷和修正使用 Amazon Quick 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在 Amazon Quick 中執行動作](#security_iam_troubleshoot-no-permissions)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole)
+ [我想要允許 AWS 帳戶外的人員存取我的 Amazon Quick 資源](#security_iam_troubleshoot-cross-account-access)
## 我無權在 Amazon Quick 中執行動作
如果 AWS 管理主控台 告知您無權執行 動作,則必須聯絡您的管理員尋求協助。
以下範例錯誤會在 `mateojackson` IAM 使用者嘗試使用主控台檢視 *widget* 的詳細資訊,但卻沒有 `quicksight:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `my-example-widget` 動作存取 `quicksight:GetWidget` 資源。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給 Amazon Quick。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在 Amazon Quick 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 AWS 帳戶外的人員存取我的 Amazon Quick 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 Amazon Quick 是否支援這些功能,請參閱 [使用 Quick 搭配 IAM](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 中提供存取權給](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* 使用者。
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用 IAM Identity Center
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
Amazon Quick Enterprise Edition 會使用 Microsoft Active Directory 整合現有目錄,或使用安全性聲明標記語言 (SAML) 整合單一登入 (IAM Identity Center)。您可以使用 AWS Identity and Access Management (IAM) 進一步增強安全性,或用於內嵌儀表板等自訂選項。
在 Quick Standard 版中,您可以完全在 Quick 中管理使用者。如果您想要,也可整合 IAM 中的現有使用者、群組和角色。
您可以使用下列工具來識別和存取 Amazon Quick:
+ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) (僅限企業版)
+ [IAM 聯合](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (標準版和企業版)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (僅限企業版)
+ [以 SAML 為基礎的單一登入 ](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html)(標準版和企業版)
+ [多重因素驗證 (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (標準版和企業版)
**注意**
在下列區域中,Amazon Quick 帳戶只能使用 [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) 進行身分和存取管理。
`af-south-1` 非洲 (開普敦)
`ap-southeast-3` 亞太區域 (雅加達)
`ap-southeast-5` 亞太區域 (馬來西亞)
`eu-south-1` 歐洲 (米蘭)
`eu-central-2` 歐洲 (蘇黎世)
IAM Identity Center 可協助您安全地建立或連線您的人力資源身分,並管理其跨 AWS 帳戶和應用程式的存取權。
將 Amazon Quick 帳戶與 IAM Identity Center 整合之前,請在帳戶中 AWS 設定 IAM Identity Center。如果您尚未在 AWS 組織中設定 IAM Identity Center,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
如果您想要使用 IAM Identity Center 設定外部身分提供者,則請參閱[支援的身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html),以檢視受支援身分提供者清單的設定步驟。
**Topics**
+ [使用 IAM Identity Center 設定 Amazon Quick 帳戶](#sec-identity-management-identity-center)
## 使用 IAM Identity Center 設定 Amazon Quick 帳戶
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
IAM Identity Center 可協助您安全地建立或設定現有的人力資源身分,並管理其跨 AWS 帳戶和應用程式的存取權。對於任何大小和類型的組織,IAM Identity Center 是建議在 上 AWS 進行人力資源身分驗證和授權的方法。若要進一步了解 IAM Identity Center,請參閱 [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/)。
設定 Amazon Quick 和 IAM Identity Center,讓您可以使用 IAM Identity Center 設定的身分來源註冊新的 Amazon Quick 帳戶。使用 IAM Identity Center,您可以將外部身分提供者設定為身分來源。如果您不想搭配 Amazon Quick 使用第三方身分提供者,也可以使用 IAM Identity Center 做為身分存放區。建立帳戶之後,就無法再變更身分方法。
當您將 Amazon Quick 帳戶與 IAM Identity Center 整合時,Amazon Quick 帳戶管理員可以建立新的 Amazon Quick 帳戶,自動提供身分提供者的群組。這可簡化 Amazon Quick 中的大規模資產共用。
對 Amazon Quick 管理主控台某些區段的存取受到 IAM 許可的限制。下表摘要說明您可以根據您選擇的存取類型在 Amazon Quick 中執行的管理員動作。
若要進一步了解如何使用 IAM Identity Center 註冊 Amazon Quick 帳戶,請參閱[註冊 Amazon Quick 訂閱](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。
| 管理員動作 | IAM 許可 | Amazon Quick 管理員角色許可 |
| --- | --- | --- |
| **管理資產** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 |
| **安全和許可** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 |
| **管理 VPC 連線** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 |
| **KMS 金鑰** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 |
| **帳戶設定** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 |
| **帳戶自訂** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 |
| **管理使用者** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 (IAM Identity Center 使用者) | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 (Amazon Quick 和 IAM 使用者) |
| **您的訂閱** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 |
| **行動設定** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 |
| **域和內嵌** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 |
| **SPICE 容量** | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/success_icon.svg) 是 |
與 IAM Identity Center 整合的 Amazon Quick 帳戶不支援 Amazon Quick 行動應用程式。
### 考量事項
下列動作會永久移除 Amazon Quick 使用者登入 Amazon Quick 的能力。Amazon Quick 不建議 Amazon Quick 使用者執行這些動作。
+ 在 IAM Identity Center 主控台中停用或刪除 Amazon Quick 應用程式。如果您想要刪除 Amazon Quick 帳戶,請參閱[關閉 Amazon Quick 帳戶](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
+ 將包含 IAM Identity Center 組態的 Amazon Quick 帳戶遷移至不包含 Amazon Quick 帳戶所設定之 IAM Identity Center 執行個體 AWS 的組織。
+ 刪除已設定為 Amazon Quick 帳戶的 IAM Identity Center 執行個體。
+ 編輯 IAM Identity Center 應用程式屬性,例如**需要指派**屬性。
# IAM 聯合身分
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
**重要**
Amazon Quick 建議您將新的 Amazon Quick 訂閱與 IAM Identity Center 整合,以進行身分管理。此 IAM 聯合身分使用者指南提供做為現有帳戶組態的參考。如需整合 Amazon Quick 帳戶與 IAM Identity Center 的詳細資訊,請參閱[使用 IAM Identity Center 設定 Amazon Quick 帳戶](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)。
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
Amazon Quick 在標準版和企業版中都支援聯合身分。當您使用聯合身分使用者時,您可以使用企業身分提供者 (IdP) 管理使用者,並使用 AWS Identity and Access Management (IAM) 在使用者登入 Quick 時驗證使用者。您可以使用支援安全性聲明標記語言 2.0 (SAML 2.0) 的第三方身分提供者,為您的 Amazon Quick 使用者提供入門流程。此類身分提供者包括 Microsoft Active Directory Federation Services、Okta 和 Ping One Federation Server。透過聯合身分,您的使用者即可使用現有的身分憑證,一鍵存取其 Amazon Quick 應用程式。您也可以具備身分提供者對於身分驗證所展現的安全優勢。您可以使用現有的身分提供者,控制哪些使用者可以存取 Amazon Quick。
**Topics**
+ [從身分提供者 (IdP) 啟動登入](federated-identities-idp-to-sp.md)
+ [使用 IAM 和 Amazon Quick 設定 IdP 聯合](external-identity-providers-setting-up-saml.md)
+ [從 Quick 啟動登入](federated-identities-sp-to-idp.md)
+ [使用 Quick Enterprise Edition 設定服務供應商啟動的聯合](setup-quicksight-to-idp.md)
+ [在 Quick 中為聯合身分使用者設定電子郵件同步](jit-email-syncing.md)
+ [教學課程:Amazon Quick 和 IAM 聯合身分](tutorial-okta-quicksight.md)
# 從身分提供者 (IdP) 啟動登入
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
在這種情況下,您的使用者會從身分提供者的入口網站啟動登入程序。驗證使用者之後,他們會登入 Amazon Quick。快速檢查他們是否獲得授權後,您的使用者可以存取快速。
從使用者登入 IdP 開始,身分驗證即會完成下列步驟:
1. 使用者瀏覽 `https://applications.example.com` 並登入 IdP。此時,使用者尚未登入服務提供者。
1. 聯合服務和 IdP 會對使用者進行身分驗證:
1. 聯合服務要求組織的身分存放區提供身分驗證。
1. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。
1. 身分驗證成功後,聯合服務會將 SAML 聲明發布至使用者的瀏覽器。
1. 使用者開啟 Amazon Quick:
1. 使用者的瀏覽器會將 SAML 聲明發布到 AWS 登入 SAML 端點 (`https://signin.aws.amazon.com/saml`)。
1. AWS 登入會接收 SAML 請求、處理請求、驗證使用者,並將身分驗證字符轉送至 Amazon Quick 服務。
1. Amazon Quick 接受來自 的身分驗證字符 AWS ,並向使用者呈現 Amazon Quick。
從使用者的觀點來看,此程序是以透明的方式進行。使用者從組織的內部入口網站開始,並登陸 Amazon Quick 應用程式入口網站,而不必提供任何 AWS 登入資料。
在下圖中,您可以找到 Amazon Quick 和第三方身分提供者 (IdP) 之間的身分驗證流程。在此範例中,管理員已設定登入頁面來存取 Amazon Quick,稱為 `applications.example.com`。當使用者登入時,登入頁面會向符合 SAML 2.0 的聯合服務發布請求。最終使用者從 IdP 的登入頁面啟動身分驗證。
![\[快速 SAML 圖表。下圖包含兩個方塊。第一個描述企業內的身分驗證程序。第二個描述 AWS內的身分驗證。資料表之後的文字描述該程序。\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/SAML-Flow-Diagram.png)
如需一些常見提供者的資訊,請參閱下列第三方文件:
+ CA – [啟用 SAML 2.0 HTTP POST 繫結](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta – [規劃 SAML 部署](https://developer.okta.com/docs/concepts/saml/)
+ Ping – [Amazon 整合](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
使用以下主題來了解搭配 使用現有聯合 AWS:
+ AWS 網站上的 [中的聯合身分 AWS](https://aws.amazon.com/identity/federation/)
+ 《IAM 使用者指南》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)**
+ 《IAM 使用者指南》中的[使 SAML 2.0 聯合身分使用者能夠存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)**
# 使用 IAM 和 Amazon Quick 設定 IdP 聯合
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定符合 SAML 2.0 的身分提供者 (IdP)。角色會授予使用者存取 Amazon Quick 的許可。轉送狀態是 AWS成功驗證身分後將使用者轉送到其中的入口網站。
**Topics**
+ [先決條件](#external-identity-providers-setting-up-prerequisites)
+ [步驟 1:在 中建立 SAML 供應商 AWS](#external-identity-providers-create-saml-provider)
+ [步驟 2: AWS 為您的聯合身分使用者在 中設定許可](#external-identity-providers-grantperms)
+ [步驟 3:設定 SAML IdP](#external-identity-providers-config-idp)
+ [步驟 4:為 SAML 身分驗證回應建立聲明](#external-identity-providers-create-assertions)
+ [步驟 5:設定聯合的轉送狀態](#external-identity-providers-relay-state)
## 先決條件
設定 SAML 2.0 連線之前,請執行下列動作:
+ 設定您的 IdP 與 AWS 建立信任關係:
+ 在組織的網路內,設定身分存放區 (例如,Windows Active Directory) 用於以 SAML 為基礎的 IdP。以 SAML 為基礎的 IdP 包含 Active Directory Federation Services、Shibboleth 等等。
+ 使用 IdP 產生一個中繼資料文件,該文件將您的組織描述為身分提供商。
+ 使用 AWS 管理主控台的相同步驟,設定 SAML 2.0 的身分驗證。當此程序完成時,您可以設定轉送狀態以符合 Quick 的轉送狀態。如需詳細資訊,請參閱[設定聯合的轉送狀態](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)。
+ 建立 Amazon Quick 帳戶,並記下設定 IAM 政策和 IdP 時要使用的名稱。如需建立 Amazon Quick 帳戶的詳細資訊,請參閱[註冊 Amazon Quick 訂閱](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。
如教學課程 AWS 管理主控台 所述建立與 聯合的設定後,您可以編輯教學課程中提供的轉送狀態。您可以使用 Amazon Quick 的轉送狀態來執行此操作,如以下步驟 5 所述。
如需詳細資訊,請參閱下列資源:
+ *IAM User Guide* 中的 [Integrating Third-Party SAML Solution Providers with AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。
+ [使用 進行 SAML 2.0 聯合的故障診斷 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html),也請參閱《*IAM 使用者指南*》中的 。
+ [設定 ADFS 與 之間的信任 AWS ,以及使用 Active Directory 登入資料透過 ODBC 驅動程式連線至 Amazon Athena ](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) – 雖然您不需要設定 Athena 才能使用 Amazon Quick,但此演練文章很有幫助。
## 步驟 1:在 中建立 SAML 供應商 AWS
您的 SAML 身分提供者會定義組織的 IdP AWS。這會使用您先前使用 IdP 產生的中繼資料文件進行定義。
**在 中建立 SAML 供應商 AWS**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 建立新的 SAML 提供者,該提供者是 IAM 中包含您組織之身分提供者的相關資訊之實體。如需詳細資訊,請參閱《IAM 使用者指南》**中的[建立 SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
1. 在此過程中,上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。
## 步驟 2: AWS 為您的聯合身分使用者在 中設定許可
接著,建立 IAM 角色,以便建立 IAM 和組織的 IdP 之間的信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。此角色也會定義允許哪些由組織 IdP 驗證的使用者存取 Amazon Quick。如需有關建立用於 SAML IdP 的角色的詳細資訊,請參閱《IAM 使用者指南》中的[為 SAML 2.0 聯合身分建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)。**
建立角色之後,您可以透過將內嵌政策連接至角色,將角色限制為只有 Amazon Quick 的許可。下列範例政策文件提供 Amazon Quick 的存取權。此政策允許使用者存取 Amazon Quick,並允許他們建立作者帳戶和讀者帳戶。
**注意**
在下列範例中,將 ** 取代為 12 位數的 AWS 帳戶 ID (不含連字號 '‐')。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
如果您想要提供 Amazon Quick 的存取權,以及建立 Amazon Quick 管理員、作者 (標準使用者) 和讀者的功能,您可以使用下列政策範例。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
您可以在 中檢視帳戶詳細資訊 AWS 管理主控台。
在您設定一項或多項 SAML 和 IAM 政策之後,您不需要手動邀請使用者。使用者第一次開啟 Amazon Quick 時,會使用政策中的最高層級許可自動佈建。例如,如果使用者有 `quicksight:CreateUser` 和 `quicksight:CreateReader` 的許可,則系統會將這些使用者佈建為作者。如果使用者也有 `quicksight:CreateAdmin` 的許可,則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如,作者可以新增其他作者或讀者。
在邀請使用者的人員所指派的角色中,會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。
## 步驟 3:設定 SAML IdP
建立 IAM 角色之後,請將您的 SAML IdP 更新 AWS 為服務提供者。為此,請安裝在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 找到的 `saml-metadata.xml` 檔案。
若要更新 IdP 中繼資料,請參閱 IdP 提供的指示。部分提供者為您提供了輸入該 URL 的選項,此後,IdP 將為您取得並安裝該檔案。另一些提供者則要求您從該 URL 處下載檔案,然後將其做為本機檔案提供。
如需詳細資訊,請參閱 IdP 文件。
## 步驟 4:為 SAML 身分驗證回應建立聲明
接著,設定 IdP 做為 SAML 屬性傳遞至 的資訊 AWS ,做為身分驗證回應的一部分。如需詳細資訊,請參閱《IAM 使用者指南》中的的[為身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。**
## 步驟 5:設定聯合的轉送狀態
最後,設定聯合的轉送狀態,以指向 Amazon Quick 轉送狀態 URL。身分驗證成功後 AWS,會將使用者導向 Amazon Quick,定義為 SAML 身分驗證回應中的轉送狀態。
Amazon Quick 的轉送狀態 URL 如下所示。
```
https://quicksight.aws.amazon.com
```
# 從 Quick 啟動登入
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
在此案例中,您的使用者會從 Amazon Quick 應用程式入口網站啟動登入程序,而不會登入身分提供者。在此情況下,使用者擁有由第三方 IdP 管理的聯合帳戶。使用者在 Quick 上可能有使用者帳戶。Quick 會將身分驗證請求傳送至 IdP。驗證使用者後,會開啟 Quick。
從使用者登入快速開始,身分驗證會執行下列步驟:
1. 使用者會開啟快速。此時,使用者尚未登入 IdP。
1. 使用者嘗試登入 Amazon Quick。
1. Amazon Quick 會將使用者的輸入重新導向至聯合服務,並請求身分驗證。
1. 聯合服務和 IdP 會對使用者進行身分驗證:
1. 聯合服務要求組織的身分存放區提供身分驗證。
1. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。
1. 身分驗證成功後,聯合服務會將 SAML 聲明發布至使用者的瀏覽器。
1. 使用者的瀏覽器會將 SAML 聲明發布到 AWS 登入 SAML 端點 (`https://signin.aws.amazon.com/saml`)。
1. AWS 登入會接收 SAML 請求、處理請求、驗證使用者,並將身分驗證字符轉送至 Amazon Quick 服務。
1. Amazon Quick 接受來自 的身分驗證字符 AWS ,並向使用者呈現 Amazon Quick。
從使用者的觀點來看,此程序是以透明的方式進行。使用者從 Amazon Quick 應用程式入口網站開始。Amazon Quick 會與您組織的聯合服務和 交涉身分驗證 AWS。Amazon Quick 會開啟,使用者不需要提供任何額外的登入資料。
# 使用 Quick Enterprise Edition 設定服務供應商啟動的聯合
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
使用 AWS Identity and Access Management (IAM) 設定身分提供者完成後,您可以透過 Amazon Quick Enterprise Edition 設定服務供應商起始的登入。若要讓快速啟動的 IAM 聯合運作,您需要授權 Quick 將身分驗證請求傳送至您的 IdP。快速管理員可以透過新增 IdP 提供的下列資訊來設定此項目:
+ IdP URL – 快速將使用者重新導向至此 URL 以進行身分驗證。
+ 轉送狀態參數 – 此參數會轉送瀏覽器工作階段在重新導向以進行身分驗證時所處的狀態。IdP 會在進行身分驗證後將使用者重新導向回原始狀態。狀態以 URL 形式提供。
下表顯示將使用者重新導向至您提供的快速 URL 的標準身分驗證 URL 和轉送狀態參數。
| 身分提供者 | 參數 | 身分驗證 URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Google 帳戶 | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick 支援每個 連線至一個 IdP AWS 帳戶。Amazon Quick 中的組態頁面會根據您的項目為您提供測試 URLs,因此您可以在開啟功能之前測試設定。為了讓程序更順暢,Amazon Quick 提供參數 (`enable-sso=0`) 來暫時關閉 Amazon Quick 啟動的 IAM 聯合,以防您需要暫時停用。
## 將 Amazon Quick 設定為可以為現有 IdP 啟動 IAM 聯合的服務提供者
1. 請確定您已在 IdP、IAM 和 Amazon Quick 中設定 IAM 聯合。若要測試此設定,請檢查您是否可以與公司域中的其他人共用儀表板。
1. 開啟 Amazon Quick,然後從右上角的設定檔功能表中選擇**管理 Amazon Quick**。
若要執行此程序,您必須是 Amazon Quick 管理員。如果不是,則無法在設定檔選單下看到**管理 Amazon Quick**。
1. 從導覽窗格中,選擇**單一登入 (IAM 聯合)**。
1. 針對**組態**、**IdP URL**,輸入您的 IdP 提供用於對使用者進行身分驗證的 URL。
1. 針對 **IdP URL**,輸入 IdP 提供給轉送狀態的參數,例如 `RelayState`。參數的實際名稱由您的 IdP 提供。
1. 測試登錄:
+ 若要測試使用您的身分提供者登入,請使用**從您的 IdP 開始測試**中提供的自訂 URL。您應該到達 Amazon Quick 的開始頁面,例如 https://quicksight.aws.amazon.com/sn/start。
+ 若要先使用 Amazon Quick 測試登入,請使用**測試end-to-end體驗**中提供的自訂 URL。`enable-sso` 參數會附加至 URL。如果是 `enable-sso=1`,IAM 聯合會嘗試進行身分驗證。
1. 選擇**儲存**保留設定。
## 啟用服務提供者啟動的 IAM 聯合 IdP
1. 確定您的 IAM 聯合設定已設定和測試。如果您不確定組態,請使用先前程序的 URL 來測試連線。
1. 開啟 Amazon Quick,然後從設定檔功能表中選擇**管理 Amazon Quick**。
1. 從導覽窗格中,選擇**單一登入 (IAM 聯合)**。
1. 在**狀態**中,選擇**開啟**。
1. 中斷與 IdP 的連線並開啟 Amazon Quick,以確認運作正常。
## 停用服務提供者啟動的 IAM 聯合
1. 開啟 Amazon Quick,然後從設定檔功能表中選擇**管理 Amazon Quick**。
1. 從導覽窗格中,選擇**單一登入 (IAM 聯合)**。
1. 在**狀態**中,選擇**關閉**。
# 在 Quick 中為聯合身分使用者設定電子郵件同步
| |
| --- |
| 適用於:企業版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
在 Amazon Quick Enterprise 版中,身為管理員,您可以在透過身分提供者 (IdP) 直接佈建至 Quick 時,限制新使用者使用個人電子郵件地址。然後,在將新使用者佈建至您的帳戶時,快速使用透過 IdP 傳遞的預先設定電子郵件地址。例如,您可以讓它在使用者透過 IdP 佈建到您的 Amazon Quick 帳戶時,只使用公司指派的電子郵件地址。
**注意**
確保您的使用者透過其 IdP 直接聯合到 Amazon Quick。 AWS 管理主控台 透過其 IdP 聯合到 ,然後按一下 Amazon Quick 會導致錯誤,而且他們將無法存取 Amazon Quick。
當您在 Amazon Quick 中為聯合身分使用者設定電子郵件同步時,第一次登入 Amazon Quick 帳戶的使用者會有預先指派的電子郵件地址。這些可用於註冊他們的帳戶。使用這種方法,使用者可以透過輸入電子郵件地址手動繞過。此外,使用者無法使用可能與您 (系統管理員) 指定的電子郵件地址不同的電子郵件地址。
Amazon Quick 支援透過支援 SAML 或 OpenID Connect (OIDC) 身分驗證的 IdP 進行佈建。若要在透過 IdP 佈建時為新使用者設定電子郵件地址,您可以將其使用的 IAM 角色的信任關係更新為 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity`。然後,您可以在其 IdP 中新增 SAML 屬性或 OIDC 字符。最後,您可以在 Amazon Quick 中為聯合身分使用者開啟電子郵件同步。
下列程序詳細說明了這些步驟。
## 步驟 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任關係
您可以為使用者設定電子郵件地址,以便在透過 IdP 佈建至 Amazon Quick 時使用。若要這樣做,請將 `sts:TagSession` 動作新增至與 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 搭配使用之 IAM 角色的信任關係。透過這樣做,您可以在使用者擔任該角色時傳遞 `principal` 標籤。
下列範例說明了更新的 IAM 角色,其中 IdP 為 Okta。若要使用此範例,請使用服務提供者的 ARN 更新 `Federated` Amazon Resource Name (ARN)。您可以使用 AWS 和 IdP 服務特定資訊取代紅色的項目。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## 步驟 2:在 IdP 中為 IAM 主體標籤新增 SAML 屬性或 OIDC 字符
如前一節所述更新 IAM 角色的信任關係後,請在 IdP 中為 IAM `Principal` 標籤新增 SAML 屬性或 OIDC 字符。
下列範例說明了 SAML 屬性和 OIDC 字符。若要使用這些範例,請將電子郵件地址取代為 IdP 中指向使用者電子郵件地址的變數。您可以使用您的資訊取代以紅色反白顯示的項目。
+ **SAML 屬性**:下列範例說明了 SAML 屬性。
```
john.doe@example.com
```
**注意**
如果您使用 Okta 做為 IdP,請務必在您的 Okta 使用者帳戶中開啟功能標記,以使用 SAML。如需詳細資訊,請參閱 [Okta 部落格上的 Okta 和 AWS 合作夥伴透過工作階段標籤簡化存取](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)。
+ **OIDC 字符**:下列範例說明了 OIDC 字符範例。
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## 步驟 3:在 Amazon Quick 中開啟聯合身分使用者的電子郵件同步
如前所述,更新 IAM 角色的信任關係,並為 IdP 中的 IAM `Principal` 標籤新增 SAML 屬性或 OIDC 字符。然後在 Amazon Quick 中為聯合身分使用者開啟電子郵件同步,如下列程序所述。
**為聯合身分使用者開啟電子郵件同步**
1. 從 Amazon Quick 中的任何頁面,選擇右上角的使用者名稱,然後選擇**管理 Amazon Quick**。
1. 在左側選單中,選擇**單一登入 (IAM 聯合)**。
1. 在**服務提供者啟動的 IAM 聯合**頁面上,針對**聯合身分使用者的電子郵件同步**,選擇**開啟**。
當聯合身分使用者的電子郵件同步開啟時,Amazon Quick 會在將新使用者佈建至您的帳戶時,使用您在步驟 1 和 2 中設定的電子郵件地址。使用者無法輸入其自己的電子郵件地址。
當聯合身分使用者的電子郵件同步關閉時,Amazon Quick 會在將新使用者佈建至您的帳戶時,要求使用者手動輸入其電子郵件地址。他們可以使用任何想要的電子郵件地址。
# 教學課程:Amazon Quick 和 IAM 聯合身分
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:Amazon Quick Administrators 和 Amazon Quick Developer |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
在以下教學課程中,您可以找到將 IdP Okta 設定為 Amazon Quick 聯合服務的逐步解說。雖然本教學課程會顯示 AWS Identity and Access Management (IAM) 和 Okta 的整合,但您也可以使用您選擇的 SAML 2.0 IdP 複寫此解決方案。
在下列程序中,您可以使用其「AWS 帳戶聯合」捷徑在 Okta IdP 中建立應用程式。Okta 對此整合應用程式的描述如下所示:
「透過將 Okta 與 Amazon Web Services (AWS) Identity and Access Management (IAM) 帳戶聯合,最終使用者可以使用其 Okta 登入資料,取得其所有指派 AWS 角色的單一登入存取權。在每個 中 AWS 帳戶,管理員會設定聯合並設定 AWS 角色來信任 Okta。當使用者登入時 AWS,他們會獲得 Okta 單一登入體驗,以查看其指派 AWS 的角色。然後,他們可以選擇所需的角色,該角色會在其已經身分驗證的工作階段期間定義他們的許可。擁有大量 AWS 帳戶的客戶,請查看 AWS 單一登入應用程式作為替代方案。」 (https://www.okta.com/aws/)
**使用 Okta 的「AWS 帳戶聯合」應用程式捷徑建立 Okta 應用程式**
1. 登入您的 Okta 儀表板。如果您沒有免費 Okta Developer Edition 帳戶,請使用[此 Amazon Quick 品牌 URL](https://developer.okta.com/quickstart/) 建立免費 Okta Developer Edition 帳戶。啟用電子郵件後,請登入 Okta。
1. 在 Okta 網站上,選擇左上角的 **<> 開發人員主控台**,然後選擇**傳統 UI**。
1. 選擇**新增應用程式**,然後選擇**新增應用程式**。
1. 在**搜尋**中輸入 **aws**,然後從搜尋結果中選擇 **AWS 帳戶聯合**。
1. 選擇**新增**,以建立此應用程式的執行個體。
1. 針對**應用程式名稱**,輸入 **AWS Account Federation - Amazon Quick**。
1. 選擇**下一步**。
1. 針對 **SAML 2.0**,**預設轉送狀態**,輸入 **https://quicksight.aws.amazon.com**。
1. 開啟**身分提供者中繼資料**的內容 (按一下右鍵) 選單,然後選擇以儲存檔案。將檔案命名為 `metadata.xml`。您在下一個程序中需要用到該檔案。
檔案的內容類似如下。
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. 儲存 XML 檔案後,向下捲動到 Okta 頁面底部,然後選擇**完成**。
1. 如果可能,請保持此瀏覽器視窗開啟。在本教學課程中稍後會需要用到它。
接下來,在 AWS 帳戶中建立身分提供者。
**在 AWS Identity and Access Management (IAM) 中建立 SAML 供應商**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**身分提供者**、**建立供應商**。
1. 輸入以下設定:
+ **提供者類型** – 從清單中選擇 **SAML**。
+ **提供者名稱** – 輸入 **Okta**。
+ **中繼資料文件** – 上傳來自先前程序的 XML 檔案 `manifest.xml`。
1. 選擇**下一步**、**建立**。
1. 找到您建立的 IdP,然後選擇它以檢視設定。記下**提供者 ARN**。您需要用它來完成本教學課程。
1. 確認身分提供者是使用您的設定建立的。在 IAM 中,選擇**身分提供者**、**Okta** (您新增的 IdP)、**下載中繼資料**。該檔案應該是您最近上傳的檔案。
接著,您可以建立 IAM 角色,讓 SAML 2.0 聯合成為您 中信任的實體。 AWS 帳戶在此步驟中,您需要選擇在 Amazon Quick 中佈建使用者的方式。您可以執行下列任一作業:
+ 將許可授予 IAM 角色,讓第一次訪客自動成為 Amazon Quick 使用者。
**將 SAML 2.0 聯合的 IAM 角色建立為信任的實體**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**角色** 、**建立角色**。
1. 在**選取信任的實體類型**中,選擇標記為 **SAML 2.0 聯合**的卡片。
1. 針對 **SAML 提供者**,選取您在先前程序中建立的 IdP,例如 `Okta`。
1. 啟用**允許程式設計和 AWS 管理主控台存取**選項。
1. 選擇**下一步:許可**。
1. 將以下政策貼到編輯器。
在政策編輯器中,使用提供商的 Amazon Resource Name (ARN) 更新 JSON。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. 選擇**檢閱政策**。
1. 在 **Name (名稱)** 中輸入 **QuicksightOktaFederatedPolicy**,然後選擇 **Create policy (建立政策)**。
1. 再次選擇**建立政策**、**JSON**。
1. 將以下政策貼到編輯器。
在政策編輯器中,使用您的 AWS 帳戶 ID 更新 JSON。該帳戶 ID 應與您在提供者 ARN 的先前政策中使用的相同。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
您可以省略 ARN 中的 AWS 區域 名稱,如下所示。
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. 選擇**檢閱政策**。
1. 在 **Name (名稱)** 中輸入 **QuicksightCreateReader**,然後選擇 **Create policy (建立政策)**。
1. 選擇右側的重新整理圖示,以重新整理政策清單。
1. 針對**搜尋**,輸入 **QuicksightOktaFederatedPolicy**。選擇要啟用的政策 (![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/checkbox-on.png))。
如果您不想使用自動佈建,則可略過下列步驟。
若要新增 Amazon Quick 使用者,請使用 [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)。若要新增 Amazon Quick 群組,請使用 [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html)。若要將使用者新增至 Amazon Quick 群組,請使用 [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html)。
1. (選用) 針對**搜尋**,請輸入 **QuicksightCreateReader**。選擇要啟用的政策 (![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/checkbox-on.png))。
如果您想要自動佈建 Amazon Quick 使用者,而不是使用 Amazon Quick API,請執行此步驟。
`QuicksightCreateReader` 政策會允許使用 `quicksight:CreateReader` 動作來啟動自動佈建。這樣做可將儀表板訂閱用戶 (讀者層級) 存取權授予第一次使用者。Amazon Quick 管理員稍後可以從 Amazon Quick 設定檔功能表、**管理 Amazon Quick**、**管理使用者**進行升級。
1. 若要繼續連接一個或多個 IAM 政策,請選擇**下一步:標籤**。
1. 選擇下**一步:檢閱**。
1. 針對**角色名稱**,輸入 **QuicksightOktaFederatedRole**,然後選擇**建立角色**。
1. 請執行下列步驟,確認您已成功完成此操作:
1. 返回 IAM 主控台的主頁面:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您可以使用瀏覽器的**返回**按鈕。
1. 選擇**角色**。
1. 針對**搜尋**,請輸入 Okta。從搜尋結果中選擇 **QuicksightOktaFederatedRole**。
1. 在政策的**摘要**頁面上,檢查**許可**標籤。確認該角色具有您連接的一個或多個政策。它應該有 `QuicksightOktaFederatedPolicy`。如果您選擇新增建立使用者的功能,其亦也應具有 `QuicksightCreateReader`。
1. 使用 ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/caret-right-filled.png) 圖示,開啟每個政策。確認文字符合此程序中顯示的內容。再次確認您已新增自己的 AWS 帳戶 號碼,以取代範例帳戶號碼 111111111111。
1. 在**信任關係**標籤上,確認**信任的實體**欄位包含身分提供者的 ARN。您可以開啟**身分提供者**、**Okta**,在 IAM 主控台中再次檢查 ARN。
**為 Okta 建立存取金鑰**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 新增允許 Okta 向使用者顯示 IAM 角色清單的政策。若要執行此操作,請選擇**政策**、**建立政策**。
1. 選擇 **JSON**,然後輸入下列政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. 選擇**檢閱政策**。
1. 對於**名稱**,輸入 **OktaListRolesPolicy**。然後選擇 **Create policy** (建立政策)。
1. 新增使用者,以便您可向 Okta 提供存取金鑰。
在導覽窗格中,選擇**使用者**、**新增使用者**。
1. 請使用下列設定:
+ 在 **User name** (使用者名稱) 中輸入 `OktaSSOUser`。
+ 針對**存取類型**,啟用**以程式設計方式存取**。
1. 選擇 **Next: Permissions (下一步:許可)**。
1. 選擇**直接連接現有政策**。
1. 針對**搜尋**,輸入 **OktaListRolesPolicy**,然後從搜尋結果中選擇 **OktaListRolesPolicy**。
1. 選擇 **Next: Tags** (下一步:標籤),然後選擇 **Next: Review** (下一步:檢閱)。
1. 選擇 **Create user** (建立使用者)。現在,您可以取得存取金鑰。
1. 選擇 **Download .csv**,下載金鑰檔案。該檔案包含的存取金鑰 ID 和私密存取金鑰與此畫面上顯示的相同。不過,因為 AWS 不會再次顯示此資訊,請務必下載 檔案。
1. 請執行下列動作,確認您已正確完成此步驟:
1. 開啟 IAM 主控台,然後選擇**使用者**。搜尋 **Oktassouser**,並透過從搜尋結果中選擇使用者名稱來將其開啟。
1. 在**許可**標籤上,確認已連接 **OktaListRolesPolicy**。
1. 使用 ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/caret-right-filled.png) 圖示,開啟政策。確認文字符合此程序中顯示的內容。
1. 在**安全憑證**標籤上,您可以檢查存取金鑰,儘管您已下載。當您需要新的存取金鑰時,您可以返回此標籤建立一個。
在下列程序中,您會返回 Okta 以提供存取金鑰。存取金鑰會與您的新安全設定搭配使用,以允許 AWS 和 Okta IdP 一起運作。
**使用設定完成 AWS 設定 Okta 應用程式**
1. 返回您的 Okta 儀表板。如果要求這樣做,請登入。如果開發人員主控台不再開啟,請選擇**管理員**以將其重新開啟。
1. 如果您必須重新開啟 Okta,則可以按照下列步驟返回本章節:
1. 登入 Okta。選擇 **Applications (應用程式)**。
1. 選擇**AWS 帳戶聯合 - Amazon Quick** - 您在本教學課程開始時建立的應用程式。
1. 在**一般**和**行動**之間,選擇**登入**標籤。
1. 捲動至**進階登入設定**。
1. 針對**身分提供者 ARN (僅 SAML IAM 聯合需要)**,請輸入來自先前程序的提供者 ARN,例如:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. 選擇**完成**或**儲存**。按鈕的名稱會因您是否建立或編輯應用程式而異。
1. 選擇**佈建**標籤,然後在標籤的下方選擇**設定 API 整合**。
1. 開啟**啟用 API 整合**,以顯示設定。
1. 針對**存取金鑰**和**機密金鑰**,請提供您先前下載到名為 **OktaSSOUser**`_credentials.csv` 的檔案中的存取金鑰和機密金鑰。
1. 選擇**測試 API 憑證**。查看**啟用 API 整合**設定上方的訊息,確認 **AWS 帳戶聯合已成功驗證**。
1. 選擇**儲存**。
1. 確定在左側反白顯示**到應用程序**,然後選擇右側的**編輯**。
1. 針對**建立使用者**,開啟**啟用**選項。
1. 選擇**儲存**。
1. 在**指派**標籤的**佈建**和**匯入**附近,選擇**指派**。
1. 執行以下一或多項動作,以啟用聯合存取:
+ 若要與個別使用者合作,請選擇**指派給人員**。
+ 若要與 IAM 群組合作,請選擇**指派給群組**。您可以選擇特定的 IAM 群組或**每個人 (組織中的所有使用者)**。
1. 針對每個 IAM 使用者或群組,執行下列動作:
1. 選擇**指派**、**角色**。
1. 從 IAM 角色清單中,選取 **QuicksightOktaFederatedRole**。
1. 針對 **SAML 使用者角色**,啟用 **QuicksightOktaFederatedRole**。
1. 選擇**儲存並返回**,然後選擇**完成**。
1. 選擇左側的**人員**或**群組**篩選條件,然後檢查您輸入的使用者或群組,以確認您已正確完成此步驟。如果因為您建立的角色未出現在清單中而無法完成此程序,請返回先前程序,以確認設定。
**使用 Okta 登入 Amazon Quick (IdP 到服務提供者登入)**
1. 如果您使用的是 Okta 管理員帳戶,請切換到使用者模式。
1. 使用已授予聯合存取的使用者登入您的 Okta 應用程式儀表板。您應該會看到具有標籤的新應用程式,例如**AWS 帳戶聯合 - Amazon Quick**。
1. 選擇應用程式圖示以啟動**AWS 帳戶聯合 - Amazon Quick**。
您現在可以使用 Okta 管理身分,並使用聯合存取搭配 Quick。
下列步驟是本教學課程的選用部分。如果您遵循其步驟,您即授權 Amazon Quick 代表使用者將授權請求轉送至 IdP。使用此方法,使用者可以登入 Amazon Quick,無需先使用 IdP 頁面登入。
**(選用) 設定 Amazon Quick 將身分驗證請求傳送至 Okta**
1. 開啟 Amazon Quick,然後從設定檔功能表中選擇**管理 Amazon Quick**。
1. 從導覽窗格中,選擇**單一登入 (IAM 聯合)**。
1. 針對**組態**、**IdP 網址**,請輸入您的 IdP 提供用來對使用者進行身分驗證的 URL,例如 https://dev-*1-----0*.okta.com/home/amazon\$1aws/*0oabababababaGQei5d5/282*。您可以在 Okta 應用程式頁面的**一般**標籤上的**內嵌連結**中找到此選項。
1. 針對 **IdP URL**,請輸入 `RelayState`。
1. 執行以下任意一項:
+ 若要先測試使用您的身分提供者登入,請使用**從您的 IdP 開始測試**中提供的自訂 URL。您應該到達 Amazon Quick 的開始頁面,例如 https://quicksight.aws.amazon.com/sn/start。
+ 若要先使用 Amazon Quick 測試登入,請使用**測試end-to-end體驗**中提供的自訂 URL。`enable-sso` 參數會附加至 URL。如果是 `enable-sso=1`,IAM 聯合會嘗試進行身分驗證。如果為 `enable-sso=0`,Amazon Quick 不會傳送身分驗證請求,而您會像以前一樣登入 Amazon Quick。
1. 在**狀態**中,選擇**開啟**。
1. 選擇**儲存**保留設定。
您可以建立 Amazon Quick 儀表板的深層連結,以允許使用者使用 IAM 聯合直接連線至特定儀表板。若要這樣做,您可以將轉送狀態標記和儀表板 URL 附加至 Okta 單一登入 URL,如下所述。
**若要為單一登入建立 Amazon Quick 儀表板的深層連結**
1. 在您於教學課程開始時下載的 `metadata.xml` 檔案中,找出 Okta 應用程式的單一登入 (IAM 聯合) URL。您可以在名為 `md:SingleSignOnService` 的元素中找到檔案底部附近的 URL。屬性名為 `Location`,而值以 `/sso/saml` 結尾,如下列範例所示。
```
```
1. 取得 IAM 聯合 URL 的值,然後`?RelayState=`附加 Amazon Quick 儀表板的 URL。`RelayState` 參數會轉送使用者重新導向至身分驗證 URL 時所處的狀態 (URL)。
1. 在新增轉送狀態的新 IAM 聯合中,附加 Amazon Quick 儀表板的 URL。產生的 URL 應該類似下列內容。
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. 如果您建立的連結未開啟,請檢查您是否使用 `metadata.xml` 中的最新 IAM 聯合 URL。另外,請檢查您用於登錄的使用者名稱是否未在多個 IAM 聯合 Okta 應用程式中指派。
# 搭配 Amazon Quick Enterprise Edition 使用 Active Directory
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
Amazon Quick Enterprise Edition 同時支援 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) 和 [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。
若要建立新的目錄做為 Quick 的身分管理器,請使用 AWS Directory Service for Microsoft Active Directory,也稱為 AWS Managed Microsoft AD。這是託管在 AWS 雲端中的 Active Directory,其所提供的大部分功能皆與 Active Directory 相同。目前,您可以在 Amazon Quick 支援的任何 AWS 區域中連線至 Active Directory,亞太區域 (新加坡) 除外。當您建立目錄時,可搭配 Virtual Private Cloud (VPC) 一起使用。如需詳細資訊,請參閱 [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html)。
如果您有要用於 Quick 的現有目錄,您可以使用 Active Directory Connector。此服務會將目錄請求重新導向至另一個 AWS 區域 或內部部署的 Active Directory,而無需快取雲端中的任何資訊。
如需使用 建立和管理目錄的逐步解說 AWS Managed Microsoft AD,請參閱 AWS 知識中心中的[使用 AWS Managed Microsoft AD 搭配 Quick?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/)。
當您使用 AWS Directory Service 啟動目錄時, AWS 會建立與網域同名的組織單位 (OU)。 AWS 也會建立具有 OU 委派管理權限的管理帳戶。您可以藉由 Active Directory 使用者和群組,在該 OU 內建立帳戶、群組和政策。如需詳細資訊,請參閱《 Directory Service 管理指南》中的 [AWS Managed Microsoft AD 最佳實務](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html)。 **
建立目錄之後,您可以透過為使用者建立群組,將其與 Quick 搭配使用。Amazon Quick 有六個可指派的特定使用者角色,包括提供進階功能存取權的 Pro 版本:
+ **快速管理員 – **管理員可以變更帳戶設定、管理帳戶。管理員也可以為您的 購買額外的 Amazon Quick 使用者訂閱或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,或取消 Amazon Quick 的訂閱 AWS 帳戶。Admin Pro 使用者有其他功能,包括使用自然語言建立內容、建置知識庫、設定動作,以及存取進階自動化工作流程。
+ **快速作者** – Amazon Quick 作者可以建立資料來源、資料集、分析和儀表板。他們可以與其他 Amazon Quick 使用者共用分析和儀表板。Author Pro 使用者可以另外使用自然語言建立內容、建置知識庫、設定動作,以及存取進階自動化功能。
+ **快速讀取器** – 讀取器可以檢視由其他人建立的儀表板,並與之互動。Reader Pro 使用者可以存取進階功能,包括 AI 聊天客服人員、協作空間、流程和延伸。
您可以套用 IAM 政策來新增或調整存取權。例如,您可以透過 IAM 政策允許使用者自行訂閱。
當您訂閱 Amazon Quick Enterprise 版並選擇 Active Directory 做為身分提供者時,您可以將 AD 群組與 Amazon Quick 建立關聯。您也可以稍後再新增或變更 AD 群組。
**Topics**
+ [目錄與 Quick Enterprise Edition 整合](#directory-integration)
## 目錄與 Quick Enterprise Edition 整合
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
Quick Enterprise 支援下列選項:
+ AWS 目錄服務
+ AWS 具有 AD Connector 的 Directory Service
+ 搭配使用內部部署 Active Directory 與 IAM 聯合或 AD Connector
+ 使用 AWS IAM Identity Center 或其他第三方聯合服務的 IAM 聯合
如果您想要搭配內部部署 Active Directory 使用 IAM 聯合,您可以將 AWS Directory Service 實作為與內部部署 Active Directory 具有信任關係的個別 Active Directory。
若您想避免使用信任關係,則可在 AWS內部署用於身分驗證的獨立域。然後,您就可以在該 Active Directory 中建立使用者或群組。然後,您將它們映射到 Quick 中的使用者和群組。在此範例中,使用者會使用其 Active Directory 登入憑證進行身分驗證。若要讓您的使用者快速透明化存取,請在此案例中使用 IAM 聯合。
# 搭配 Amazon Quick 使用多重驗證 (MFA)
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
**重要**
Amazon Quick 建議您將新的 Quick 訂閱與 IAM Identity Center 整合,以進行身分管理。此 IAM 聯合身分使用者指南提供做為現有帳戶組態的參考。如需將快速帳戶與 IAM Identity Center 整合的詳細資訊,請參閱[使用 IAM Identity Center 設定快速帳戶](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)。
**注意**
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。
您可以透過多種方式搭配 Quick 使用多重要素驗證 (MFA)。您可以搭配 AWS Identity and Access Management (IAM) 使用它。您可以搭配 AD Connector 或 [AWS Directory Service](https://aws.amazon.com/directoryservice/) for Microsoft Active Directory 使用,也稱為 AWS Microsoft Active Directory 或 AWS Managed Microsoft Active Directory。如果您使用外部身分提供者 (IdP), AWS 則不需要有任何 MFA 的相關資訊,因為這是 IdP 所處理身分驗證的一部分。
如需詳細資訊,請參閱下列內容:
+ 《IAM 使用者指南》中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ 《 AWS Directory Service 管理指南》中的[啟用 AWS Managed Microsoft AD 的多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html)
+ 《 AWS Directory Service 管理指南》中的[為 AD Connector 啟用多重要素驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)
如果您是開發人員,請參閱下列內容:
+ [如何使用 MFA 權杖,透過 知識中心的 AWS CLI 驗證對 AWS 資源的存取](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/) [AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ 《IAM 使用者指南》中的[設定 MFA 保護的 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)
# 允許列出 Amazon Quick 網域
如果您的最終使用者使用 AWS 根 (不建議)、 AWS Identity and Access Management (IAM)、公司 Active Directory 或原生 Quick 登入資料登入 Amazon Quick,請務必允許列出組織網路中的下列網域。
| 使用者類型 | 列入允許名單的域 |
| --- | --- |
| 直接透過 Amazon Quick 和 Active Directory 使用者登入的使用者 | `signin.aws` 和 `awsapps.com` |
| AWS 根使用者 | `signin.aws.amazon.com` 和 `amazon.com` |
| IAM 使用者 | `signin.aws.amazon.com` |
**重要**
強烈建議您不要將 AWS 根使用者用於日常任務,即使是管理任務。反之,請遵循僅以根使用者建立您第一個 IAM 使用者的最佳實務。接著請妥善鎖定根使用者登入資料,只用來執行少數的帳戶與服務管理作業。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)一節。