Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Quick verwenden können.
Identitätsbasierte IAM-Richtlinien für Quick
Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien zur Verwendung mit Quick.
Identitätsbasierte IAM-Richtlinien für die Verwaltung der Amazon Quick IAM-Konsole
Das folgende Beispiel zeigt die IAM-Berechtigungen, die für Verwaltungsaktionen der Amazon Quick IAM-Konsole erforderlich sind.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Dashboards
Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: -Namespaces
Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem Amazon Quick-Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.
Erstellen von Namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Löschen von Namespaces
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: benutzerdefinierte Berechtigungen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem Amazon Quick-Administrator oder einem Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Anpassen von E-Mail-Berichtsvorlagen
Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in Amazon Quick sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem Amazon Quick-Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Erstellen Sie ein Enterprise-Konto mit verwalteten Amazon Quick Benutzern
Das folgende Beispiel zeigt eine Richtlinie, die es Amazon Quick-Administratoren ermöglicht, ein Amazon Quick-Konto für die Enterprise Edition mit von Amazon Quick verwalteten Benutzern zu erstellen.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Benutzer erstellen
Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von Amazon Quick-Benutzern erlaubt. Für quicksight:CreateReader, quicksight:CreateUser und quicksight:CreateAdmin können Sie die Berechtigungen für "Resource":
"arn:aws:quicksight:: beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Gruppen erstellen und verwalten
Das folgende Beispiel zeigt eine Richtlinie, die es Administratoren und Entwicklern von Amazon Quick ermöglicht, Gruppen zu erstellen und zu verwalten.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Standard Edition
Das folgende Beispiel für die Amazon Quick Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center (Pro-Rollen)
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es einem Amazon Quick-Benutzer ermöglicht, Amazon Quick zu abonnieren, Benutzer zu erstellen und Active Directory in einem Amazon Quick-Konto zu verwalten, das in IAM Identity Center integriert ist.
Diese Richtlinie ermöglicht es Benutzern auch, Amazon Quick Pro-Rollen zu abonnieren, die Zugriff auf Amazon Q in Quick Generative BI-Funktionen gewähren. Weitere Informationen zu Pro-Rollen in Amazon Quick finden Sie unter Erste Schritte mit Generative BI.
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit IAM Identity Center
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das in IAM Identity Center integriert ist.
Diese Richtlinie gewährt keine Berechtigungen zum Erstellen von Pro-Rollen in Amazon Quick. Informationen zum Erstellen einer Richtlinie, die die Berechtigung zum Abonnieren von Pro-Rollen in Amazon Quick gewährt, finden Sie unter Identitätsbasierte IAM-Richtlinien für Amazon Quick: Vollzugriff für die Enterprise Edition mit IAM Identity Center (Pro-Rollen).
In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Identitätsbasierte IAM-Richtlinien für Quick: All Access für die Enterprise Edition mit Active Directory
Das folgende Beispiel für die Amazon Quick Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem Amazon Quick-Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon Quick abzumelden.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: Active Directory-Gruppen
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon Quick Enterprise Edition-Konto ermöglicht.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Identitätsbasierte IAM-Richtlinien für Quick: mit der Admin-Asset-Management-Konsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Identitätsbasierte IAM-Richtlinien für Quick: mithilfe der Admin-Schlüsselverwaltungskonsole
Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Die "kms:ListAliases" Berechtigungen "quicksight:ListKMSKeysForUser" und sind erforderlich, um über die Amazon Quick-Konsole auf vom Kunden verwaltete Schlüssel zuzugreifen. "quicksight:ListKMSKeysForUser"und "kms:ListAliases" müssen die Amazon Quick Key Management nicht verwenden APIs.
Um anzugeben, auf welche Schlüssel ein Benutzer zugreifen kann, fügen Sie ARNs der UpdateKeyRegistration Bedingung mit dem Bedingungsschlüssel die Schlüssel hinzu, auf die der quicksight:KmsKeyArns Benutzer zugreifen soll. Benutzer können nur auf die unter UpdateKeyRegistration angegebenen Schlüssel zugreifen. Weitere Informationen zu unterstützten Bedingungsschlüsseln für Amazon Quick finden Sie unter Bedingungsschlüssel für Amazon Quick.
Das folgende Beispiel gewährt Describe Berechtigungen für alle CMKs , die für ein Amazon Quick-Konto registriert sind, und Update Berechtigungen für bestimmte Personen, die für CMKs das Amazon Quick-Konto registriert sind.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS Ressourcen Schnell: Geltungsbereichsrichtlinien in der Enterprise Edition
Das folgende Beispiel für Amazon Quick Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
