本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM和 設定 IdP 聯合 QuickSight
適用對象:企業版和標準版 |
目標對象:系統管理員 |
注意
IAM 身分聯合不支援與 Amazon 同步身分提供者群組 QuickSight。
您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態URL來設定符合 2.0 SAML 的身分提供者 (IdP )。此角色會授予使用者存取 Amazon 的許可 QuickSight。轉送狀態是使用者在 成功驗證後轉送至的入口網站 AWS。
主題
必要條件
在設定 2.0 SAML 連線之前,請執行下列動作:
-
設定您的 IdP 以與 建立信任關係AWS:
-
在組織的網路中,設定身分存放區,例如 Windows Active Directory,以使用 SAML型 IdP SAML型 IdPs 包括 Active Directory Federation Services、Shibboleth 等。
-
使用 IdP 產生一個中繼資料文件,該文件將您的組織描述為身分提供商。
-
使用與 SAML 相同的步驟,設定 2 AWS Management Console.0 身分驗證。此程序完成後,您可以設定轉送狀態以符合 Amazon 的轉送狀態 QuickSight。如需詳細資訊,請參閱步驟 5:設定聯合的轉送狀態。
-
-
建立 Amazon QuickSight 帳戶,並記下設定IAM政策和 IdP 時要使用的名稱。如需建立 Amazon QuickSight 帳戶的詳細資訊,請參閱 註冊 Amazon QuickSight 訂閱。
建立 設定以聯合至教學課程中 AWS Management Console 概述的 後,您可以編輯教學課程中提供的轉送狀態。您可以使用 Amazon 的轉送狀態來執行此操作 QuickSight,如以下的步驟 5 所述。
如需詳細資訊,請參閱下列資源:
-
在 IAM 使用者指南 中將第三方SAML解決方案提供者與 整合 AWS。
-
使用 對 SAML 2.0 聯合進行故障診斷 AWS,也請參閱 IAM 使用者指南 。
-
使用 Active Directory 憑證在 AWS ADFS和 之間設定信任,以使用ODBC驅動程式連線至 Amazon Athena
– 雖然您不需要設定 Athena 才能使用 ,但此演練文章很有幫助 QuickSight。
步驟 1:在 中建立SAML提供者 AWS
SAML 您的身分提供者將組織的 IdP 定義為 AWS。這會使用您先前使用 IdP 產生的中繼資料文件進行定義。
若要在 中建立SAML提供者 AWS
登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
建立新的SAML提供者,這是 中的實體IAM,其中會保存組織身分提供者的相關資訊。如需詳細資訊,請參閱 IAM 使用者指南 中的建立SAML身分提供者。
-
在此過程中,上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。
步驟 2:在 AWS 中為聯合身分使用者設定許可
接下來,建立一個IAM角色,在 IAM與組織的 IdP 之間建立信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。此角色也會定義哪些使用者允許由組織的 IdP 進行身分驗證,以存取 Amazon QuickSight。如需為 SAML IdP 建立角色的詳細資訊,請參閱 IAM 使用者指南 中的為 SAML 2.0 聯合建立角色。
建立角色之後,您可以透過將內嵌政策連接至角色,將角色限制為僅擁有 Amazon QuickSight 的許可。下列範例政策文件可讓您存取 Amazon QuickSight。此政策允許使用者存取 Amazon, QuickSight 並允許他們建立作者帳戶和讀取器帳戶。
注意
在下列範例中,取代 <YOUR_AWS_ACCOUNT_ID>
您的 12 位數 AWS 帳戶 ID (沒有連字號 ‘‐’)。
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::
<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
如果您想要提供 Amazon 的存取權, QuickSight 以及建立 Amazon QuickSight 管理員、作者 (標準使用者) 和讀取器的功能,您可以使用下列政策範例。
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::
<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
您可以在 中檢視帳戶詳細資訊 AWS Management Console。
設定 SAML和IAM政策之後,您不需要手動邀請使用者。使用者第一次開啟 Amazon 時 QuickSight,系統會自動佈建它們,並在政策中使用最高層級的許可。例如,如果使用者有 quicksight:CreateUser
和 quicksight:CreateReader
的許可,則系統會將這些使用者佈建為作者。如果使用者也有 quicksight:CreateAdmin
的許可,則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如,作者可以新增其他作者或讀者。
在邀請使用者的人員所指派的角色中,會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。
步驟 3:設定 SAML IdP
建立IAM角色之後,請將 SAML IdP 更新 AWS 為服務供應商。若要這麼做,請安裝位於 https://signin.aws.amazon.com/static/saml-metadata.xml saml-metadata.xml
的檔案。
若要更新 IdP 中繼資料,請參閱 IdP 提供的指示。某些提供者會讓您選擇輸入 URL,之後 IdP 會取得並為您安裝 檔案。其他 會要求您從 下載 檔案,URL然後以本機檔案的形式提供。
如需詳細資訊,請參閱 IdP 文件。
步驟 4:為SAML身分驗證回應建立宣告
接下來,設定 IdP 作為SAML屬性傳遞到 的資訊 AWS ,作為身分驗證回應的一部分。如需詳細資訊,請參閱 IAM 使用者指南 中的為身分驗證回應設定SAML宣告。
步驟 5:設定聯合的轉送狀態
最後,將聯合的轉接狀態設定為指向 QuickSight轉接狀態 URL。在 成功驗證後 AWS,會將使用者導向 Amazon QuickSight,其定義為SAML身分驗證回應中的轉送狀態。
Amazon URL的轉送狀態 QuickSight 如下。
https://quicksight.aws.amazon.com