Konfiguration des Verbundbenutzerzugriffs QuickSight über IAM Identity Center - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Verbundbenutzerzugriffs QuickSight über IAM Identity Center

Wenn Ihr Unternehmen diesen Service bereits verwendet AWS IAM Identity Center, möchten Sie diesen Service möglicherweise zur Authentifizierung verbundener Benutzer verwenden. Sie können den SAML 2.0-Verbund oder die integrierte Dienstintegration zwischen IAM Identity Center verwenden. Weitere Informationen zur integrierten Serviceintegration finden Sie IAM Identity Center-Integration in diesem Handbuch.

Wenn Sie den SAML 2.0-Verbund mit IAM Identity Center verwenden, gibt es zwei Methoden, um den Verbundbenutzerzugriff zu konfigurieren: QuickSight

  • Konfiguration von Berechtigungen mithilfe von Berechtigungssätzen— Sie können diesen Ansatz nur verwenden, wenn Sie AWS-Konten für das IAM Identity Center zuständig QuickSight sind und Mitglieder derselben Organisation sind. AWS Organizations Ein Berechtigungssatz ist eine Vorlage, die eine Sammlung von einer oder mehreren AWS Identity and Access Management (IAM-) Richtlinien definiert. Berechtigungssätze können die Berechtigungsverwaltung in Ihrer Organisation vereinfachen.

  • Konfiguration von Berechtigungen mithilfe von IAM-Rollen— Dieser Ansatz ist gut geeignet, wenn das AWS-Konto QuickSight Formular nicht Teil derselben Organisation wie IAM Identity Center ist. Bei diesem Ansatz erstellen Sie die IAM-Rollen direkt im selben Konto mit. QuickSight

Bei beiden Ansätzen können Benutzer ihren eigenen QuickSight Zugriff selbst bereitstellen. Wenn die QuickSight E-Mail-Synchronisierung deaktiviert ist, können Benutzer bei der Anmeldung ihre bevorzugte E-Mail-Adresse angeben. Wenn die E-Mail-Synchronisierung aktiviert ist, wird die im Unternehmens-IdP definierte E-Mail-Adresse QuickSight verwendet. Weitere Informationen finden Sie unter QuickSight E-Mail-Synchronisierung für Verbundbenutzer in diesem Handbuch.

Konfiguration von Berechtigungen mithilfe von Berechtigungssätzen

Architekturdiagramm eines Verbundbenutzers, der über einen Berechtigungssatz in IAM Identity Center QuickSight Zugriff erhält

Im Folgenden sind die Merkmale dieser Architektur und dieses Zugriffsansatzes aufgeführt:

  1. Sie sind AWS-Konten für IAM Identity Center und QuickSight befinden sich in derselben Organisation in AWS Organizations.

  2. Der Berechtigungssatz, den Sie in IAM Identity Center definieren, verwaltet und steuert die IAM-Rolle.

  3. Benutzer melden sich über IAM Identity Center an.

  4. Der QuickSight Benutzerdatensatz ist mit der von IAM Identity Center verwalteten IAM-Rolle und dem Benutzernamen verknüpft, z. B. AWSReservedSSO_QuickSightReader_7oe58cd620501f23/DiegoRamirez@example.com

Voraussetzungen

  • Ein aktives Konto QuickSight

  • Die folgenden Berechtigungen:

    • Administratorzugriff auf das AWS-Konto Where QuickSight ist abonniert

    • Zugriff auf die IAM Identity Center-Konsole und Berechtigungen zum Erstellen von Berechtigungssätzen

Konfigurieren des Zugriffs

Stellen Sie vor dem Abonnieren sicher QuickSight, dass Sie IAM Identity Center bereits eingerichtet und konfiguriert haben. Anweisungen finden Sie in den Tutorials „Aktivierung“ AWS IAM Identity Center und „Erste Schritte“ in der IAM Identity Center-Dokumentation. Nachdem Sie IAM Identity Center in Ihrer Organisation konfiguriert haben, erstellen Sie in IAM Identity Center einen benutzerdefinierten Berechtigungssatz, der Verbundbenutzern den Zugriff ermöglicht. QuickSight Anweisungen finden Sie in der IAM Identity Center-Dokumentation unter Einen Berechtigungssatz erstellen. Weitere Informationen zur Konfiguration der Richtlinien, die Sie in den Berechtigungssatz aufnehmen, finden Sie Konfigurieren von IAM-Richtlinien in diesem Handbuch.

Nachdem Sie den Berechtigungssatz erstellt haben, stellen Sie ihn dem Ziel zur Verfügung, auf AWS-Konto dem er angemeldet QuickSight ist, und wenden Sie ihn dann auf die Benutzer und Gruppen an, die QuickSight Zugriff benötigen. Weitere Informationen zum Zuweisen von Berechtigungssätzen finden Sie AWS-Konten in der IAM Identity Center-Dokumentation unter Benutzerzugriff zuweisen.

Konfiguration von Berechtigungen mithilfe von IAM-Rollen

Architekturdiagramm eines Verbundbenutzers, der über eine QuickSight IAM-Rolle Zugriff erhält

Im Folgenden sind die Merkmale dieses Architektur- und Zugriffsansatzes aufgeführt:

  1. Sie sind AWS-Konten für IAM Identity Center und QuickSight befinden sich nicht in derselben Organisation in AWS Organizations.

  2. Benutzer melden sich über IAM Identity Center oder über den externen IdP an, den Sie in IAM Identity Center als Identitätsquelle konfiguriert haben.

  3. Die IAM-Rolle enthält eine Vertrauensrichtlinie, die es nur Verbundbenutzern aus IAM Identity Center ermöglicht, die Rolle zu übernehmen.

  4. Der QuickSight Benutzerdatensatz ist mit einer IAM-Rolle und dem Benutzernamen im IdP verknüpft, z. B. QuickSightReader/DiegoRamirez@example.com

Voraussetzungen

  • Ein aktives QuickSight Konto.

  • Die folgenden Berechtigungen:

    • Administratorzugriff auf das AWS-Konto Where QuickSight ist abonniert.

    • Zugriff auf die IAM Identity Center-Konsole und Berechtigungen zur Verwaltung von Anwendungen.

  • Sie haben IAM Identity Center eingerichtet und konfiguriert. Anweisungen finden Sie in den Tutorials „Aktivierung“ AWS IAM Identity Center und „Erste Schritte“ in der IAM Identity Center-Dokumentation.

  • Sie haben IAM Identity Center als vertrauenswürdigen IdP in IAM konfiguriert. Anweisungen finden Sie in der IAM-Dokumentation unter Erstellen von IAM-Identitätsanbietern.

Konfigurieren des Zugriffs

Anweisungen finden Sie im AWS IAM Identity Center Integrationsleitfaden für Amazon QuickSight. Nachdem Sie IAM Identity Center als vertrauenswürdigen Identitätsanbieter für konfiguriert haben AWS-Konto, erstellen Sie eine IAM-Rolle, auf die Verbundbenutzer zugreifen können. QuickSight Anweisungen finden Sie in der IAM-Dokumentation unter IAM-Rollen erstellen. Weitere Informationen zur Konfiguration der Richtlinien für QuickSight finden Sie Konfigurieren von IAM-Richtlinien in diesem Handbuch.