Zugriff auf die QuickSight Amazon-Konsole anpassen - Amazon QuickSight
Wenden Sie ein benutzerdefiniertes Berechtigungsprofil auf eine Rolle anWenden Sie ein benutzerdefiniertes Berechtigungsprofil auf einen IAM-Benutzer an

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf die QuickSight Amazon-Konsole anpassen

 Gilt für: Enterprise Edition 
   Zielgruppe: Administratoren und QuickSight Amazon-Entwickler 

In der Enterprise Edition können Sie die Funktionen einschränken, auf die Benutzer in Amazon zugreifen können QuickSight. QuickSight Benutzerdefinierte Amazon-Berechtigungen werden über IAM-Richtlinien angewendet. Sie können benutzerdefinierte Berechtigungen für Rollen (Administrator, Autor, Leser) für alle Identitätstypen in QuickSight konfigurieren. Sie können AWS Identity and Access Management Benutzern auch benutzerdefinierte Berechtigungen auf Benutzerebene zuweisen. Benutzerdefinierte Berechtigungen auf Benutzerebene setzen die vorhandenen standardmäßigen oder benutzerdefinierten Berechtigungen auf Rollenebene für den angegebenen Benutzer außer Kraft.

Die folgenden Einschränkungen gelten für benutzerdefinierte Berechtigungen auf Benutzerebene.

  • Sie können keine Berechtigungen gewähren, die über der Standardrolle eines Benutzers liegen. Wenn ein Benutzer beispielsweise Lesezugriff hat, können Sie diesem Benutzer keine Berechtigungen zur Bearbeitung von Dashboards gewähren.

  • Um Berechtigungen anpassen zu können, müssen Sie ein QuickSight Administrator mit Nutzungsberechtigungen sein"quicksight:CustomPermissions".

IAM-Richtlinien und QuickSight -Berechtigungen sind nicht dasselbe. Einem Benutzer können Zugriffsberechtigungen erteilt und ihm eine Rolle mit einer IAM-Richtlinie zugewiesen werden, aber die IAM-Richtlinie steuert nicht, was dieser Benutzer innerhalb dieser Richtlinie tun kann. QuickSight QuickSight Assets verfügen über eigene Berechtigungssätze, mit denen spezifische Funktionen angepasst werden QuickSight können. Diese Berechtigungen werden auf Ressourcenebene außerhalb von IAM verwaltet.

Mithilfe von benutzerdefinierten Berechtigungsprofilen können Sie den Zugriff auf eine beliebige Kombination der folgenden Vorgänge einschränken.

Komponente Individuell anpassbare Berechtigungen

Datenquellen und Datensätze

Datenquelle erstellen oder aktualisieren

Datensatz erstellen oder aktualisieren

Datensatz teilen

Dashboards und Analysen

Anomalieerkennung hinzufügen oder ausführen

Theme erstellen oder aktualisieren

Export nach CSV oder Excel

Freigeben

Ordner

Freigegebenen Ordner erstellen

Freigegebenen Ordner umbenennen

Berichte

Erstellen

Aktualisierung

E-Mail-Bericht abonnieren

Zu geteilten Ordnern hinzugefügte Elemente werden unabhängig von den benutzerdefinierten Berechtigungen des Assets gemeinsam genutzt. Dies gilt für Dashboards, Analysen, Datensätze und Datenquellen.

Gehen Sie wie folgt vor, um ein benutzerdefiniertes Berechtigungsprofil in QuickSight zu erstellen.

So erstellen Sie ein benutzerdefiniertes Berechtigungsprofil

  1. Wählen Sie auf einer beliebigen Seite der QuickSight Konsole in der oberen rechten QuickSight Ecke die Option Verwalten aus.

    Nur QuickSight Administratoren haben Zugriff auf die QuickSight Menüoption Verwalten. Wenn Sie keinen Zugriff auf das QuickSight Menü „Verwalten“ haben, wenden Sie sich an Ihren QuickSight Administrator, um Unterstützung zu erhalten.

  2. Wählen Sie Security & permissions (Sicherheit und Berechtigungen).

  3. Sie unter Berechtigungen verwalten die Option Verwalten aus.

  4. Wählen Sie eine der folgenden Optionen.

    • Um ein vorhandenes benutzerdefiniertes Berechtigungsprofil zu bearbeiten oder anzuzeigen, wählen Sie die Ellipse (drei Punkte) neben dem gewünschten Profil aus und wählen Sie dann Anzeigen/Bearbeiten aus.

    • Um ein neues benutzerdefiniertes Berechtigungsprofil zu erstellen, wählen Sie im unteren Bereich des Bildschirms die Option Erstellen.

  5. Wenn Sie ein benutzerdefiniertes Berechtigungsprofil erstellen oder aktualisieren möchten, treffen Sie eine Auswahl für die folgenden Elemente.

    • Geben Sie unter Name den Namen des benutzerdefinierten Berechtigungsprofils ein.

    • Wählen Sie für Einschränkungen die Optionen, die Sie ablehnen möchten. Jede Option, die Sie nicht auswählen, ist zulässig. Wenn Sie beispielsweise nicht möchten, dass Benutzer Datenquellen erstellen oder aktualisieren, aber etwas anderes tun sollen, wählen Sie nur Datenquellen erstellen oder aktualisieren aus.

  6. Wählen Sie Erstellen oder Aktualisieren, um Ihre Auswahl zu bestätigen. Um zurückzugehen, ohne Änderungen vorzunehmen, wählen Sie Zurück.

  7. Wenn Sie mit den Änderungen fertig sind, notieren Sie sich den Namen des benutzerdefinierten Berechtigungsprofils. Geben Sie API-Benutzern den Namen des benutzerdefinierten Berechtigungsprofils an, damit sie das benutzerdefinierte Berechtigungsprofil auf Rollen oder Benutzer anwenden können.

Wenden Sie mit der QuickSight API ein benutzerdefiniertes Berechtigungsprofil auf eine QuickSight Rolle an

Nachdem Sie ein benutzerdefiniertes Berechtigungsprofil erstellt haben, verwenden Sie die QuickSight API, um das benutzerdefinierte Berechtigungsprofil, das einer Rolle zugewiesen ist, hinzuzufügen oder zu ändern.

Bevor Sie beginnen, müssen Sie die AWS CLI einrichten und konfigurieren. Weitere Informationen zur Installation der AWS CLI finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Konfigurieren der AWS CLI im AWS Command Line Interface Benutzerhandbuch. Sie benötigen außerdem Berechtigungen, um die QuickSight API zu verwenden.

Im folgenden Beispiel wird die UpdateRoleCustomPermission API aufgerufen, um die einer Rolle zugewiesenen benutzerdefinierten Berechtigungen zu aktualisieren.

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

Im folgenden Beispiel wird das benutzerdefinierte Berechtigungsprofil zurückgegeben, das einer Rolle zugewiesen ist.

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Im folgenden Beispiel wird ein benutzerdefiniertes Berechtigungsprofil aus einer Rolle gelöscht.

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Wenden Sie mit der API ein benutzerdefiniertes Berechtigungsprofil auf einen IAM-Benutzer an QuickSight

Im folgenden Beispiel werden einem neuen IAM-Benutzer benutzerdefinierte Berechtigungen hinzugefügt.

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

Sie können einen vorhandenen IAM-Benutzer auch einem neuen Berechtigungsprofil zuordnen. Im folgenden Beispiel wurde das benutzerdefinierte Berechtigungsprofil eines vorhandenen IAM-Benutzers aktualisiert.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

Im folgenden Beispiel wird ein vorhandener Benutzer aus einem Berechtigungsprofil entfernt.

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

Um die benutzerdefinierten Berechtigungen zu testen, die auf eine Rolle oder einen Benutzer angewendet werden, melden Sie sich beim Konto des Benutzers an. Wenn sich ein Benutzer anmeldet QuickSight, wird ihm die Rolle mit den höchsten Rechten gewährt, auf die er Zugriff hat. Die Rolle mit den höchsten Rechten, die einem Benutzer gewährt werden kann, ist Admin. Die niedrigste privilegierte Rolle, die einem Benutzer zugewiesen werden kann, ist „Leser“. Weitere Informationen zu Rollen bei Amazon QuickSight finden Sie unterVerwaltung des Benutzerzugriffs innerhalb von Amazon QuickSight.

Wenn Sie der Rolle des Autors ein benutzerdefiniertes Berechtigungsprofil zuweisen, das die gemeinsame Nutzung von Datenquellen einschränkt, kann dieser Autor nicht mehr auf die Steuerelemente zugreifen, die die gemeinsame Nutzung von Datenquellen ermöglichen. Stattdessen hat der betroffene Autor nur Leseberechtigungen für die Datenquelle.