本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 IAM
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 Amazon Quick 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [IAM 概念簡介](security_iam_concepts.md)
+ [使用 Quick 搭配 IAM](security_iam_service-with-iam.md)
+ [將 IAM 角色傳遞至 Quick](security-create-iam-role.md)
+ [Quick 的 IAM 政策範例](iam-policy-examples.md)
+ [佈建 Amazon Quick 的使用者](provisioning-users.md)
+ [疑難排解快速身分和存取](security_iam_troubleshoot.md)
# IAM 概念簡介
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員更安全地控制對 AWS 資源的存取。管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 Amazon Quick 資源。IAM 是一種您可以免費使用的 AWS 服務。
IAM 會以多種方式與 Amazon Quick 搭配使用,包括下列項目:
+ 如果您的公司使用 IAM 進行身分管理,則人員可能會有用於登入 Amazon Quick 的 IAM 使用者名稱和密碼。
+ 如果您希望在第一次登入時自動建立 Amazon Quick 使用者,您可以使用 IAM 為預先授權使用 Amazon Quick 的使用者建立政策。
+ 如果您想要為特定群組的 Amazon Quick 使用者或特定資源建立特殊存取權,您可以使用 IAM 政策來完成此操作。
**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
## 目標對象
您可藉由以下內容了解本章節所提供的資訊,以及如何將該資訊應用至角色。使用方式 AWS Identity and Access Management (IAM) 會因您在 Amazon Quick 中執行的工作而有所不同。
**服務使用者** – 在某些情況下,您可以使用 Amazon Quick 做為作者或讀者,透過瀏覽器界面透過 Amazon Quick 與資料、分析和儀表板、空格和客服人員互動。在這些情況下,本章節僅為您提供背景資訊。除非您使用 IAM 登入 Amazon Quick,否則不會直接與 IAM 服務互動。
**Amazon Quick 管理員** – 如果您在公司負責 Amazon Quick 資源,您可能擁有 Amazon Quick 的完整存取權。您的任務是判斷團隊成員應存取哪些 Amazon Quick 功能和資源。如果您有無法使用 Amazon Quick 管理員面板解決的特殊需求,則可以與管理員合作,為 Amazon Quick 使用者建立許可政策。若要進一步了解 IAM,請閱讀此頁面,以了解 IAM 的基本概念。若要進一步了解貴公司如何搭配 Amazon Quick 使用 IAM,請參閱[搭配 IAM 使用 Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)。
**管理員** – 如果您是系統管理員,建議您了解如何撰寫政策以管理 Amazon Quick 存取權的詳細資訊。若要檢視您可以在 IAM 中使用的 Amazon Quick 身分型政策範例,請參閱 [Amazon Quick 的 IAM 身分型政策](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)。
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
**Topics**
+ [AWS 帳戶 根使用者](#security_iam_authentication-rootuser)
+ [IAM 使用者和群組](#security_iam_authentication-iamuser)
+ [IAM 角色](#security_iam_authentication-iamrole)
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者,以 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL,請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策套用到請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多個政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 使用 Quick 搭配 IAM
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
使用 IAM 管理 Amazon Quick 的存取權之前,您應該了解哪些 IAM 功能可與 Amazon Quick 搭配使用。若要全面了解 Amazon Quick 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon Quick 政策 (以身分為基礎)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick 政策 (以資源為基礎)](#security_iam_service-with-iam-resource-based-policies)
+ [以 Amazon Quick 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM 角色](#security_iam_service-with-iam-roles)
## Amazon Quick 政策 (以身分為基礎)
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Amazon Quick 支援特定動作、資源和條件金鑰。若要了解您在 JSON 政策中使用的所有元素,請參閱 *IAM 使用者指南*中的 [JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
您可以使用 AWS 根登入資料或 IAM 使用者登入資料來建立 Amazon Quick 帳戶。 AWS root 和管理員登入資料已有管理 Amazon Quick 存取 AWS 資源所需的所有必要許可。
不過,建議您保護您的根登入資料,且改用 IAM 使用者登入資料。若要這樣做,您可以建立政策,並將其連接到您計劃用於 Amazon Quick 的 IAM 使用者和角色。此政策必須包含您需要執行之 Amazon Quick 管理任務的適當陳述式,如下列各節所述。
**重要**
使用快速和 IAM 政策時,請注意下列事項:
避免直接修改 Quick 建立的政策。當您自行修改時,Quick 無法編輯它。這樣會導致政策發生問題。若要修正此問題,請刪除之前修改的政策。
如果您在嘗試建立 Amazon Quick 帳戶時遇到許可錯誤,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
在某些情況下,您可能擁有即使從根帳戶也無法存取的 Amazon Quick 帳戶 (例如,如果您意外刪除其目錄服務)。在這種情況下,您可以刪除舊的 Amazon Quick 帳戶,然後重新建立。如需詳細資訊,請參閱[刪除 Amazon Quick 訂閱和關閉帳戶](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**Topics**
+ [動作](#security_iam_service-with-iam-id-based-policies-actions)
+ [Resources](#security_iam_service-with-iam-id-based-policies-resources)
+ [條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [範例](#security_iam_service-with-iam-id-based-policies-examples)
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
Amazon Quick 中的政策動作在動作之前使用下列字首:`quicksight:`。例如,若要授予某人使用 Amazon EC2 `RunInstances` API 作業來執行 Amazon EC2 執行個體的許可,請在其政策中加入 `ec2:RunInstances` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。Amazon Quick 會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Create` 文字的所有動作,請包含以下動作:
```
"Action": "quicksight:Create*"
```
Amazon Quick 提供多種 AWS Identity and Access Management (IAM) 動作。所有 Amazon Quick 動作都以 為字首`quicksight:`,例如 `quicksight:Subscribe`。如需在 IAM 政策中使用 Amazon Quick 動作的詳細資訊,請參閱 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
若要查看 up-to-date清單,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
以下是政策的範例。這表示只要新增至群組的使用者名稱不是 `user1`,連接此政策的呼叫者就能在任何群組上呼叫 `CreateGroupMembership` 操作。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
有些 Amazon Quick 動作無法在特定資源上執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
許多 API 動作都會用到多項資源。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
```
若要查看 Amazon Quick 資源類型及其 Amazon Resource Name (ARNs) 的清單,請參閱《*IAM 使用者指南*》中的 [Amazon Quick 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [Amazon Quick 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。
### 條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Quick 不提供任何服務特定的條件金鑰,但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 範例
若要檢視 Amazon Quick 身分型政策的範例,請參閱 [Amazon Quick 政策 (身分型)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)。
## Amazon Quick 政策 (以資源為基礎)
Amazon Quick 不支援以資源為基礎的政策。不過,您可以使用 Amazon Quick 主控台來設定對 中其他 AWS 資源的存取 AWS 帳戶。
## 以 Amazon Quick 標籤為基礎的授權
Amazon Quick 不支援標記資源或根據標籤控制存取。
## Amazon Quick IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。您可以使用 IAM 角色將許可分組在一起,以便更輕鬆地管理使用者對 Amazon Quick 動作的存取。
Amazon Quick 不支援下列角色功能:
+ 服務連結角色。
+ 服務角色
+ 臨時登入資料 (直接使用):不過,Amazon Quick 會使用臨時登入資料,允許使用者擔任 IAM 角色來存取內嵌儀表板。如需詳細資訊,請參閱 [Amazon Quick 的內嵌分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)。
如需 Amazon Quick 如何使用 IAM 角色的詳細資訊,請參閱[使用 Amazon Quick 搭配 IAM ](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)和 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
# 將 IAM 角色傳遞至 Quick
| |
| --- |
| 適用於:企業版 |
當您的 IAM 使用者註冊 Quick 時,可以選擇使用 Amazon Quick 受管角色 (這是預設角色)。或者,他們可以將現有的 IAM 角色傳遞給 Amazon Quick。
使用以下區段將現有的 IAM 角色傳遞至 Amazon Quick
**Topics**
+ [先決條件](#security-create-iam-role-prerequisites)
+ [連接其他政策](#security-create-iam-role-athena-s3)
+ [在 Quick 中使用現有的 IAM 角色](#security-create-iam-role-use)
## 先決條件
若要讓使用者將 IAM 角色傳遞至 Amazon Quick,您的管理員需要完成下列任務:
+ **建立 IAM 角色。**如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。**
+ **將信任政策連接至您的 IAM 角色,以允許 Amazon Quick 擔任該角色**。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Quick 主體擔任其連接的 IAM 角色。
如需有關建立 IAM 信任政策及將其連接至 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[修改角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **將以下 IAM 許可指派給您的管理員 (IAM 使用者或角色)**:
+ `quicksight:UpdateResourcePermissions` – 這會授予身為 Amazon Quick 管理員的 IAM 使用者在 Amazon Quick 中更新資源層級許可的許可。如需 Amazon Quick 定義之資源類型的詳細資訊,請參閱《*IAM 使用者指南*》中的 [Quick 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)。
+ `iam:PassRole` – 這會授予使用者將角色傳遞至 Amazon Quick 的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
+ `iam:ListRoles` – (選用) 這會授予使用者在 Amazon Quick 中查看現有角色清單的許可。如果未提供此許可,他們可以使用 ARN 來使用現有的 IAM 角色。
以下是 IAM 許可政策範例,允許管理資源層級許可、列出 IAM 角色,以及在 Quick 中傳遞 IAM 角色。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
如需可與 Amazon Quick 搭配使用的 IAM 政策範例,請參閱 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
如需有關將許可指派給使用者或使用者群組的詳細資訊,請參閱《IAM 使用者指南》中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。**
## 連接其他政策
如果您使用的是其他服務 AWS ,例如 Amazon Athena 或 Amazon S3,您可以建立授予 Amazon Quick 執行特定動作許可的許可政策。然後,您可以將政策連接至稍後傳遞給 Amazon Quick 的 IAM 角色。以下是如何設定其他許可政策並將其他許可政策連接到 IAM 角色的範例。
如需 Athena 中 Amazon Quick 的範例受管政策,請參閱《Amazon Athena 使用者指南》中的 [AWSQuicksightAthenaAccess 受管政策](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)。 *Amazon Athena * IAM 使用者可以使用下列 ARN 在 Amazon Quick 中存取此角色:`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`。
以下是 Amazon S3 中 Amazon Quick 的許可政策範例。如需有關搭配使用 IAM 和 Amazon S3 的詳細資訊,請參閱《Amazon S3 使用者指南》中的 [Amazon S3 中的身分和存取管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)。**
如需有關如何從 Amazon Quick 建立對另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權的資訊,請參閱 AWS 知識中心中的[如何設定從 Quick 到另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## 在 Quick 中使用現有的 IAM 角色
如果您是 Amazon Quick 管理員,並具有更新 Amazon Quick 資源和傳遞 IAM 角色的許可,則可以在 Amazon Quick 中使用現有的 IAM 角色。若要進一步了解在 Amazon Quick 中傳遞 IAM 角色的先決條件,請參閱先前清單中概述[的先決條件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。
使用下列程序來了解如何在 Amazon Quick 中傳遞 IAM 角色。
**在 Amazon Quick 中使用現有的 IAM 角色**
1. 在 Amazon Quick 中,在右上角的導覽列中選擇您的帳戶名稱,然後選擇**管理 QuickSight**。
1. 在開啟的**管理 Amazon Quick** 頁面上,選擇左側選單中的**安全與許可**。
1. 在開啟**的安全與許可**頁面中,在 **Amazon Quick 存取 AWS 服務**下,選擇**管理**。
1. 對於 **IAM 角色**,選擇**使用現有角色**,然後執行下列其中一項:
+ 從清單中選擇要使用的角色。
+ 或者,如果您沒有看到現有 IAM 角色的清單,您可使用下列格式輸入該角色的 IAM ARN:`arn:aws:iam::account-id:role/path/role-name`。
1. 選擇**儲存**。
# Quick 的 IAM 政策範例
本節提供可與 Quick 搭配使用的 IAM 政策範例。
## 適用於 Quick 的 IAM 身分型政策
本節顯示與 Quick 搭配使用的身分型政策範例。
**Topics**
+ [Amazon Quick IAM 主控台管理的 IAM 身分型政策](#security_iam_conosole-administration)
### Amazon Quick IAM 主控台管理的 IAM 身分型政策
下列範例顯示 Amazon Quick IAM 主控台管理動作所需的 IAM 許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: 儀表板的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許為特定儀表板啟用儀表板共用和內嵌功能。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 命名空間的 IAM 身分型政策
下列範例顯示允許 Amazon Quick 管理員建立或刪除命名空間的 IAM 政策。
**正在建立命名空間**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**刪除命名空間**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## 快速的 IAM 身分型政策:自訂許可
下列範例顯示允許 Amazon Quick 管理員或開發人員管理自訂許可的 IAM 政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
下列範例顯示授予與上一範例中所示相同許可的另一種方法。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## 快速的 IAM 身分型政策:自訂電子郵件報告範本
下列範例顯示的政策允許在 Amazon Quick 中檢視、更新和建立電子郵件報告範本,以及取得 Amazon Simple Email Service 身分的驗證屬性。此政策允許 Amazon Quick 管理員建立和更新自訂電子郵件報告範本,並確認他們想要傳送電子郵件報告的任何自訂電子郵件地址是 SES 中的已驗證身分。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick 的 IAM 身分型政策:使用 Amazon Quick 受管使用者建立企業帳戶
下列範例顯示允許 Amazon Quick 管理員使用 Amazon Quick 受管使用者建立 Enterprise Edition Amazon Quick 帳戶的政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Quick 的 IAM 身分型政策:建立使用者
下列範例顯示僅允許建立 Amazon Quick 使用者的政策。如果是 `quicksight:CreateReader`、`quicksight:CreateUser` 和 `quicksight:CreateAdmin`,您能將許可限制在 **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**。對於本指南中敘述的所有其他許可,請使用 **"Resource": "\$1"**。您指定的資源會限制特定資源的許可範圍。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Quick 的 IAM 身分型政策:建立和管理群組
下列範例顯示允許 Amazon Quick 管理員和開發人員建立和管理群組的政策。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## 適用於 Quick:Standard Edition 的所有存取的 IAM 身分型政策
下列 Amazon Quick Standard 版本範例顯示允許訂閱和建立作者和讀者的政策。此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:使用 IAM Identity Center (Pro 角色) 進行 Enterprise Edition 的所有存取
下列 Amazon Quick Enterprise Edition 範例顯示的政策允許 Amazon Quick 使用者在與 IAM Identity Center 整合的 Amazon Quick 帳戶中訂閱 Amazon Quick、建立使用者和管理 Active Directory。
此政策也允許使用者訂閱授予 Amazon Q in Quick Generative BI 功能存取權的 Amazon Quick Pro 角色。如需 Amazon Quick 中 Pro 角色的詳細資訊,請參閱[開始使用生成式 BI](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)。
此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:使用 IAM Identity Center 進行 Enterprise Edition 的所有存取
下列 Amazon Quick Enterprise 版本範例顯示允許在與 IAM Identity Center 整合的 Amazon Quick 帳戶中訂閱、建立使用者和管理 Active Directory 的政策。
此政策不會授予在 Amazon Quick 中建立 Pro 角色的許可。若要建立授予 Amazon Quick 中 Pro 角色訂閱許可的政策,請參閱 [Amazon Quick 的 IAM 身分型政策:使用 IAM Identity Center (Pro 角色) 的企業版所有存取權](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)。
此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## 適用於 Quick 的 IAM 身分型政策:具備 Active Directory 之 Enterprise Edition 的所有存取權
下列 Amazon Quick Enterprise Edition 範例顯示允許在使用 Active Directory 進行身分管理的 Amazon Quick 帳戶中訂閱、建立使用者和管理 Active Directory 的政策。此範例明確拒絕取消訂閱 Amazon Quick 的許可。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory 群組的 IAM 身分型政策
下列範例顯示允許 Amazon Quick Enterprise Edition 帳戶的 Active Directory 群組管理的 IAM 政策。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## 適用於 Quick:使用管理員資產管理主控台的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許存取管理員資產管理主控台。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## 適用於 Quick:使用管理員金鑰管理主控台的 IAM 身分型政策
下列範例所顯示的 IAM 政策允許存取管理員金鑰管理主控台。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
從 Amazon Quick 主控台存取客戶受管金鑰需要 `"quicksight:ListKMSKeysForUser"`和 `"kms:ListAliases"`許可。使用 Amazon Quick 金鑰管理 APIs `"kms:ListAliases"` 不需要 `"quicksight:ListKMSKeysForUser"`和 。
若要指定希望使用者能夠存取的金鑰,請將您希望使用者存取的金鑰 ARN 新增至 `UpdateKeyRegistration` 條件,並使用 `quicksight:KmsKeyArns` 條件索引鍵。使用者僅能存取 `UpdateKeyRegistration` 中指定的金鑰。如需 Amazon Quick 支援的條件金鑰的詳細資訊,請參閱 [Amazon Quick 的條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)。
以下範例會授予註冊到 Amazon Quick 帳戶的所有 CMKs 的`Describe`許可,以及註冊到 Amazon Quick 帳戶的特定 CMKs 的`Update`許可。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS 資源 快速:企業版中的範圍政策
下列 Amazon Quick Enterprise Edition 範例顯示允許設定 AWS 資源預設存取權的政策,以及限定 AWS 資源許可的政策範圍。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# 佈建 Amazon Quick 的使用者
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
## 自行佈建 Amazon Quick 管理員
Amazon Quick 管理員是也可以管理 Amazon Quick 功能的使用者,例如帳戶設定和帳戶。他們也可以為您的 購買額外的 Amazon Quick 使用者訂閱、購買 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html),以及取消 Amazon Quick 的訂閱 AWS 帳戶。
您可以使用 AWS 使用者或群組政策,讓使用者能夠將自己新增為 Amazon Quick 的管理員。已授予此功能的使用者只能將自己新增為管理員,而且無法使用此政策來新增其他管理員。他們的帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。若要設定自行佈建,請提供這些使用者使用 `quicksight:CreateAdmin` 動作的許可。
或者,您可以使用下列程序,使用 主控台來設定或建立 Amazon Quick 的管理員。
**讓使用者成為 Amazon Quick 管理員**
1. 建立 AWS 使用者:
+ 使用 IAM 建立您想要成為 Amazon Quick 管理員的使用者。或者,識別 IAM 中管理員角色的現有使用者。為了方便管理,您也可以將使用者放在新群組內。
+ 授予使用者 (或群組) 足夠許可。
1. AWS 管理主控台 使用目標使用者的登入資料登入您的 。
1. 移至 [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email)、輸入目標使用者的電子郵件地址,然後選擇 **Continue (繼續)**。
成功時,目標使用者現在是 Amazon Quick 中的管理員。
## 自行佈建 Amazon Quick 作者
Amazon Quick 作者可以建立資料來源、資料集、分析和儀表板。他們可以與您 Amazon Quick 帳戶中的其他 Amazon Quick 使用者共用分析和儀表板。不過,他們無法存取**管理 Amazon Quick **功能表。他們無法變更帳戶設定、管理帳戶、購買其他 Amazon Quick 使用者訂閱或 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量,或取消您的 Amazon Quick 訂閱 AWS 帳戶。Author Pro 使用者可以另外使用自然語言建立內容、建置知識庫、設定動作,以及存取進階自動化功能。
您可以使用 AWS 使用者或群組政策,讓使用者能夠自行建立 Amazon Quick 作者帳戶。他們的帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。您需要提供他們 `quicksight:CreateUser` 動作的許可,才能設定自行佈建。
## 自行佈建 Amazon Quick 唯讀使用者
Amazon Quick 唯讀使用者或*讀者*可以檢視和操作與其共用的儀表板,但無法進行任何變更或儲存儀表板以供進一步分析。Amazon Quick 讀取器無法建立資料來源、資料集、分析或視覺效果。他們無法執行任何管理任務。為屬於儀表板消費者,但不會自行編寫分析的人員 (例如主管) 選擇此角色。Reader Pro 使用者可以存取進階功能,包括 AI 聊天客服人員、協作空間、流程和延伸。
如果您將 Microsoft Active Directory 與 Amazon Quick 搭配使用,則可以使用 群組來管理唯讀許可。否則,您可以大量邀請使用者使用 Amazon Quick。您也可以使用 AWS 使用者或群組政策,讓人員自行建立 Amazon Quick 讀取器帳戶。
讀取器帳戶會在第一次開啟 Amazon Quick 時變成作用中並計費。如果您決定升級或降級使用者,則該使用者在當月是按比例計費。您需要提供他們 `quicksight:CreateReader` 動作的許可,才能設定自行佈建。
習慣自動或以程式設計方式重新整理儀表板以實現近乎即時的使用案例的讀者,必須選擇容量定價。針對使用者定價下的讀者,每個讀者僅限一個人手動使用。
# 疑難排解快速身分和存取
| |
| --- |
| 適用對象:企業版和標準版 |
| |
| --- |
| 目標對象:系統管理員 |
使用以下資訊來協助您診斷和修正使用 Amazon Quick 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在 Amazon Quick 中執行動作](#security_iam_troubleshoot-no-permissions)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole)
+ [我想要允許 AWS 帳戶外的人員存取我的 Amazon Quick 資源](#security_iam_troubleshoot-cross-account-access)
## 我無權在 Amazon Quick 中執行動作
如果 AWS 管理主控台 告知您無權執行 動作,則必須聯絡您的管理員尋求協助。
以下範例錯誤會在 `mateojackson` IAM 使用者嘗試使用主控台檢視 *widget* 的詳細資訊,但卻沒有 `quicksight:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `my-example-widget` 動作存取 `quicksight:GetWidget` 資源。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給 Amazon Quick。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在 Amazon Quick 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 AWS 帳戶外的人員存取我的 Amazon Quick 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 Amazon Quick 是否支援這些功能,請參閱 [使用 Quick 搭配 IAM](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 中提供存取權給](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* 使用者。
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。