QuickSight Zugriff für IAM-Benutzer gewähren - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

QuickSight Zugriff für IAM-Benutzer gewähren

Anmerkung

Ein IAM-Benutzer ist eine Entität, die Sie in AWS Identity and Access Management (IAM) erstellen. Diese Art von Entität greift AWS-Konto mithilfe langfristiger Anmeldeinformationen auf Ihre zu. Als bewährte Methode AWS empfiehlt es sich, den Zugriff über temporäre Anmeldeinformationen zu gewähren, indem Sie Identitätsverbund- und IAM-Rollen verwenden. Weitere Informationen finden Sie unter Bewährte IAM-Methoden.

Architekturdiagramm eines zugreifenden IAM-Benutzers QuickSight

Im Folgenden sind die Merkmale dieses Architektur- und Zugriffsansatzes aufgeführt:

  • Der QuickSight Amazon-Benutzerdatensatz ist mit dem Benutzer in IAM verknüpft.

  • Benutzerkennwörter werden in IAM verwaltet.

  • Sie können IAM-Benutzer direkt einladen oder eine identitätsbasierte IAM-Richtlinie erstellen, die es Benutzern ermöglicht, den Zugriff selbst bereitzustellen.

  • Dieser Benutzertyp kann sich über die Konsole oder über die QuickSight anmelden. AWS Management Console

Überlegungen und Anwendungsfälle

Es wird zwar AWS generell nicht empfohlen, den Zugriff über IAM-Benutzer zu konfigurieren, aber andere Zugriffsansätze, wie z. B. Verbundzugriff, sind in Ihrer Organisation derzeit möglicherweise nicht verfügbar. Viele Unternehmen, die gerade erst mit der Umstellung auf die Cloud beginnen, haben noch keine IAM-Rollen eingerichtet und arbeiten in einer Architektur mit einem einzigen Konto. Wenn Ihr Unternehmen IAM-Benutzer für den Zugriff auf Ihre AWS Umgebung verwendet, ist es QuickSight möglicherweise am einfachsten und sinnvollsten, diesen Ansatz erneut anzuwenden, bis Ihr Unternehmen andere Ansätze unterstützt.

Voraussetzungen

Konfiguration des Zugriffs für einen IAM-Benutzer

Sie können IAM-Benutzern Zugriff QuickSight gewähren, indem Sie eine der folgenden Optionen verwenden:

  • Direkte Einladung — Sie laden den IAM-Benutzer zum Zugriff ein QuickSight, und der Benutzer kann die Einladung per E-Mail annehmen.

  • Selbstbereitgestellter Zugriff — Sie erstellen eine IAM-Richtlinie, die es Benutzern ermöglicht, ihren eigenen Zugriff bereitzustellen. Wenn ein Benutzer QuickSight zum ersten Mal zugreift, erhält er Zugriff und definiert die E-Mail-Adresse, die mit seinem Benutzerdatensatz verknüpft wird. QuickSight

Das Ergebnis beider Optionen ist dasselbe: Der IAM-Benutzer kann darauf zugreifen. QuickSight Beide haben jedoch Vor- und Nachteile, wie in der folgenden Tabelle dargestellt. Beispielsweise könnte die direkte Einladung für Organisationen vorzuziehen sein, die die Verwendung genehmigter Unternehmens-E-Mail-Adressen erzwingen möchten.

Ansatz

Vorteile

Nachteile

Direkte Einladung

  • Administratoren können steuern, welche E-Mail-Adresse mit dem Benutzerdatensatz verknüpft ist QuickSight

  • Keine Aufgaben zur IAM-Richtlinienverwaltung

  • Noch mehr Manuelles

Selbst bereitgestellter Zugriff

  • Kann in bestehende IT-Betriebsprozesse für die Bereitstellung des Zugriffs über IAM-Richtlinien integriert werden, wobei die Fähigkeit zur Selbstbereitstellung bereits Teil der bestehenden IAM-Richtlinien ist

  • Administratoren können nicht kontrollieren, an welche E-Mail-Adresse der Benutzer sie weitergibt QuickSight

Direkte Einladung

Anweisungen zur Konfiguration des Zugriffs für einen IAM-Benutzer finden Sie unter Benutzer zum Zugriff auf Amazon QuickSight einladen. Beachten Sie bei der Konfiguration dieser Art von Benutzerzugriff Folgendes:

  • Geben Sie als QuickSight Benutzernamen den Benutzernamen des IAM-Benutzers ein. Zulässige Zeichen sind Buchstaben, Zahlen und die folgenden Zeichen:. _ - (Bindestrich).

  • Wählen Sie für IAM-Benutzer die Option Ja aus.

  • Der Benutzer hat sieben Tage Zeit, um die Einladung anzunehmen. Wenn er innerhalb dieses Zeitraums nicht annimmt, können Sie die Einladungs-E-Mail erneut senden.

  • Wenn der Benutzer die Einladung annimmt, muss er das Passwort eingeben, das seinen IAM-Anmeldeinformationen zugeordnet ist.

Selbst bereitgestellter Zugriff

Wenn IAM-Benutzer den Zugriff selbst bereitstellen können, müssen sie nicht zu dem Konto eingeladen werden. QuickSight Wenn sie zum ersten Mal versuchen, auf die QuickSight Konsole zuzugreifen, müssen sie eine E-Mail-Adresse eingeben. Wenn der Benutzer Weiter auswählt, QuickSight wird ein Benutzerdatensatz für diesen IAM-Benutzer erstellt.

Um ihnen die Erlaubnis zu erteilen, ihren eigenen Zugriff bereitzustellen, erstellen Sie eine identitätsbasierte Richtlinie und wenden diese Richtlinie auf die IAM-Benutzer oder die IAM-Benutzergruppe an. Weitere Informationen finden Sie unter Konfigurieren von IAM-Richtlinien in diesem Handbuch.