本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 IAM 角色傳遞至 Quick
| |
| --- |
| 適用於:企業版 |
當您的 IAM 使用者註冊 Quick 時,可以選擇使用 Amazon Quick 受管角色 (這是預設角色)。或者,他們可以將現有的 IAM 角色傳遞給 Amazon Quick。
使用以下區段將現有的 IAM 角色傳遞至 Amazon Quick
**Topics**
+ [先決條件](#security-create-iam-role-prerequisites)
+ [連接其他政策](#security-create-iam-role-athena-s3)
+ [在 Quick 中使用現有的 IAM 角色](#security-create-iam-role-use)
## 先決條件
若要讓使用者將 IAM 角色傳遞至 Amazon Quick,您的管理員需要完成下列任務:
+ **建立 IAM 角色。**如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。**
+ **將信任政策連接至您的 IAM 角色,以允許 Amazon Quick 擔任該角色**。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Quick 主體擔任其連接的 IAM 角色。
如需有關建立 IAM 信任政策及將其連接至 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的[修改角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **將以下 IAM 許可指派給您的管理員 (IAM 使用者或角色)**:
+ `quicksight:UpdateResourcePermissions` – 這會授予身為 Amazon Quick 管理員的 IAM 使用者在 Amazon Quick 中更新資源層級許可的許可。如需 Amazon Quick 定義之資源類型的詳細資訊,請參閱《*IAM 使用者指南*》中的 [Quick 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)。
+ `iam:PassRole` – 這會授予使用者將角色傳遞至 Amazon Quick 的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
+ `iam:ListRoles` – (選用) 這會授予使用者在 Amazon Quick 中查看現有角色清單的許可。如果未提供此許可,他們可以使用 ARN 來使用現有的 IAM 角色。
以下是 IAM 許可政策範例,允許管理資源層級許可、列出 IAM 角色,以及在 Quick 中傳遞 IAM 角色。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
如需可與 Amazon Quick 搭配使用的 IAM 政策範例,請參閱 [Amazon Quick 的 IAM 政策範例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)。
如需有關將許可指派給使用者或使用者群組的詳細資訊,請參閱《IAM 使用者指南》中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。**
## 連接其他政策
如果您使用的是其他服務 AWS ,例如 Amazon Athena 或 Amazon S3,您可以建立授予 Amazon Quick 執行特定動作許可的許可政策。然後,您可以將政策連接至稍後傳遞給 Amazon Quick 的 IAM 角色。以下是如何設定其他許可政策並將其他許可政策連接到 IAM 角色的範例。
如需 Athena 中 Amazon Quick 的範例受管政策,請參閱《Amazon Athena 使用者指南》中的 [AWSQuicksightAthenaAccess 受管政策](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)。 *Amazon Athena * IAM 使用者可以使用下列 ARN 在 Amazon Quick 中存取此角色:`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`。
以下是 Amazon S3 中 Amazon Quick 的許可政策範例。如需有關搭配使用 IAM 和 Amazon S3 的詳細資訊,請參閱《Amazon S3 使用者指南》中的 [Amazon S3 中的身分和存取管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)。**
如需有關如何從 Amazon Quick 建立對另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權的資訊,請參閱 AWS 知識中心中的[如何設定從 Quick 到另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## 在 Quick 中使用現有的 IAM 角色
如果您是 Amazon Quick 管理員,並具有更新 Amazon Quick 資源和傳遞 IAM 角色的許可,則可以在 Amazon Quick 中使用現有的 IAM 角色。若要進一步了解在 Amazon Quick 中傳遞 IAM 角色的先決條件,請參閱先前清單中概述[的先決條件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。
使用下列程序來了解如何在 Amazon Quick 中傳遞 IAM 角色。
**在 Amazon Quick 中使用現有的 IAM 角色**
1. 在 Amazon Quick 中,在右上角的導覽列中選擇您的帳戶名稱,然後選擇**管理 QuickSight**。
1. 在開啟的**管理 Amazon Quick** 頁面上,選擇左側選單中的**安全與許可**。
1. 在開啟**的安全與許可**頁面中,在 **Amazon Quick 存取 AWS 服務**下,選擇**管理**。
1. 對於 **IAM 角色**,選擇**使用現有角色**,然後執行下列其中一項:
+ 從清單中選擇要使用的角色。
+ 或者,如果您沒有看到現有 IAM 角色的清單,您可使用下列格式輸入該角色的 IAM ARN:`arn:aws:iam::account-id:role/path/role-name`。
1. 選擇**儲存**。