本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
必要條件
若要讓使用者將IAM角色傳遞至 QuickSight,您的管理員需要完成下列任務:
-
建立IAM角色 。如需建立IAM角色的詳細資訊,請參閱 IAM 使用者指南 中的建立IAM角色。
-
將信任政策連接至您的IAM角色, QuickSight 允許 擔任角色 。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Amazon QuickSight 主體擔任其連接的 IAM 角色。
如需建立IAM信任政策並將其連接至角色的詳細資訊,請參閱 IAM 使用者指南 中的修改角色 (主控台)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
將下列IAM許可指派給您的管理員 (IAM 使用者或角色):
-
quicksight:UpdateResourcePermissions
– 這會授予身為 QuickSight 管理員IAM的使用者在 中更新資源層級許可的許可 QuickSight。如需 定義的資源類型的詳細資訊 QuickSight,請參閱 IAM 使用者指南 中的 Amazon 的動作、資源和條件索引鍵 QuickSight。 -
iam:PassRole
– 這會授予使用者將角色傳遞至 的許可 QuickSight。如需詳細資訊,請參閱 IAM 使用者指南 中的授予使用者將角色傳遞至 AWS 服務的許可。 -
iam:ListRoles
– (選用) 這會授予使用者查看 中現有角色清單的許可 QuickSight。如果未提供此許可,他們可以使用 ARN來使用現有IAM角色。
以下是IAM允許在 Amazon 中管理資源層級許可、列出IAM角色和傳遞IAM角色的範例許可政策 QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::
account-id
:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id
:role/path
/role-name
", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }如需可與 搭配使用IAM的政策範例 QuickSight,請參閱 IAM Amazon 的政策範例 QuickSight。
-
如需將許可政策指派給使用者或使用者群組的詳細資訊,請參閱 IAM 使用者指南 中的變更IAM使用者的許可。
管理員完成先決條件後,您的IAM使用者可以將IAM角色傳遞給 QuickSight。在註冊 QuickSight時選擇IAM角色,或在安全 QuickSight與許可頁面上switching to an IAM role選擇 。若要了解如何切換至 中的現有IAM角色 QuickSight,請參閱下一節。