Beispiele für IAM-Richtlinien für Amazon QuickSight - Amazon QuickSight
Identitätsbasierte Richtlinien

Wichtig: Wir haben den QuickSight Amazon-Analyse-Arbeitsbereich neu gestaltet. Möglicherweise stoßen Sie auf Screenshots oder verfahrenstechnischen Text, der nicht dem neuen Erscheinungsbild der QuickSight Konsole entspricht. Wir sind gerade dabei, Screenshots und prozeduralen Text zu aktualisieren.

Verwenden Sie die Schnellsuchleiste, um eine Funktion oder einen Artikel zu finden.

Weitere Informationen zum QuickSight neuen Erscheinungsbild finden Sie unter Einführung eines neuen Analyseerlebnisses bei Amazon QuickSight.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für IAM-Richtlinien für Amazon QuickSight

Dieser Abschnitt enthält Beispiele für IAM-Richtlinien, die Sie mit Amazon QuickSight verwenden können.

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight

In diesem Abschnitt finden Sie Beispiele für identitätsbasierte Richtlinien, die Sie mit Amazon verwenden können. QuickSight

Identitätsbasierte IAM-Richtlinien für die Verwaltung der IAM-Konsole QuickSight

Das folgende Beispiel zeigt die IAM-Berechtigungen, die für QuickSight Verwaltungsaktionen der IAM-Konsole erforderlich sind.

{
   "Statement": [
       {
           "Sid": "Statement1",
           "Effect": "Allow",
           "Action": [
               "quicksight:*",
               "iam:AttachRolePolicy",
               "iam:DetachRolePolicy",
               "iam:ListAttachedRolePolicies",
               "iam:GetPolicy",
               "iam:CreatePolicyVersion",
               "iam:DeletePolicyVersion",
               "iam:GetPolicyVersion",
               "iam:ListPolicyVersions",
               "iam:DeleteRole",
               "iam:CreateRole",
               "iam:GetRole",
               "iam:ListRoles",
               "iam:CreatePolicy",
               "iam:ListEntitiesForPolicy",
               "iam:listPolicies",
               "s3:ListAllMyBuckets",
               "athena:ListDataCatalogs",
               "athena:GetDataCatalog"
           ],
           "Resource": [
               "*"
           ]
       }
}

Identitätsbasierte IAM-Richtlinien für Amazon: Dashboards QuickSight

Das folgende Beispiel zeigt eine IAM-Richtlinie, die das Freigeben und Einbetten von Dashboards für spezifische Dashboards erlaubt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "quicksight:GetDashboardEmbedUrl",
            "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
            "Effect": "Allow"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon: Namespaces QuickSight

Die folgenden Beispiele zeigen IAM-Richtlinien, die es einem QuickSight Administrator ermöglichen, Namespaces zu erstellen oder zu löschen.

Erstellen von Namespaces

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:AuthorizeApplication",
                "ds:UnauthorizeApplication",
                "ds:DeleteDirectory",
                "ds:CreateIdentityPoolDirectory",
                "ds:DescribeDirectories",
                "quicksight:CreateNamespace"
            ],
            "Resource": "*"
        }
    ]
}

Löschen von Namespaces

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:UnauthorizeApplication",
                "ds:DeleteDirectory",
                "ds:DescribeDirectories",
                "quicksight:DeleteNamespace"
            ],
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: benutzerdefinierte Berechtigungen

Das folgende Beispiel zeigt eine IAM-Richtlinie, die es einem QuickSight Administrator oder Entwickler ermöglicht, benutzerdefinierte Berechtigungen zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:*CustomPermissions"
            ],
            "Resource": "*"
        }
    ]
}

Das folgende Beispiel zeigt eine andere Möglichkeit, dieselben Berechtigungen wie im vorherigen Beispiel zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:CreateCustomPermissions",
                "quicksight:DescribeCustomPermissions",
                "quicksight:ListCustomPermissions",
                "quicksight:UpdateCustomPermissions",
                "quicksight:DeleteCustomPermissions"
 
            ],
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Anpassen von E-Mail-Berichtsvorlagen

Das folgende Beispiel zeigt eine Richtlinie, die das Anzeigen, Aktualisieren und Erstellen von E-Mail-Berichtsvorlagen in QuickSight sowie das Abrufen von Bestätigungsattributen für eine Amazon Simple Email Service-Identität ermöglicht. Diese Richtlinie ermöglicht es einem QuickSight Administrator, benutzerdefinierte E-Mail-Berichtsvorlagen zu erstellen und zu aktualisieren und zu bestätigen, dass jede benutzerdefinierte E-Mail-Adresse, von der aus er E-Mail-Berichte senden möchte, eine verifizierte Identität in SES ist.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight: DescribeAccountCustomization",
                "quicksight: CreateAccountCustomization",
                "quicksight: UpdateAccountCustomization",
                "quicksight: DescribeEmailCustomizationTemplate",
                "quicksight: CreateEmailCustomizationTemplate",
                "quicksight: UpdateEmailCustomizationTemplate",
                "ses: GetIdentityVerificationAttributes"
            ],
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Benutzer erstellen

Das folgende Beispiel zeigt eine Richtlinie, die nur das Erstellen von QuickSight Amazon-Benutzern erlaubt. Für quicksight:CreateReader, quicksight:CreateUser und quicksight:CreateAdmin können Sie die Berechtigungen für "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" beschränken. Für alle anderen in diesem Handbuch beschriebenen Berechtigungen verwenden Sie "Resource": "*". Die angegebene Ressource schränkt den Geltungsbereich der Berechtigungen für die angegebene Ressource ein.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Gruppen erstellen und verwalten

Das folgende Beispiel zeigt eine Richtlinie, die es QuickSight Administratoren und Entwicklern ermöglicht, Gruppen zu erstellen und zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:ListGroups",
                "quicksight:CreateGroup",
                "quicksight:SearchGroups",
                "quicksight:ListGroupMemberships",
                "quicksight:CreateGroupMembership",
                "quicksight:DeleteGroupMembership",
                "quicksight:DescribeGroupMembership",
                "quicksight:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für die Standard Edition

Das folgende Beispiel für die Amazon QuickSight Standard Edition zeigt eine Richtlinie, die das Abonnieren und Erstellen von Autoren und Lesern ermöglicht. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:AuthorizeApplication",
                "ds:UnauthorizeApplication",
                "ds:CheckAlias",
                "ds:CreateAlias",
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "ds:DeleteDirectory",
                "ds:CreateIdentityPoolDirectory",
                "iam:ListAccountAliases",
                "quicksight:CreateUser",
                "quicksight:Subscribe"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": 
                "quicksight:Unsubscribe",
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit IAM Identity Center

Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem QuickSight Konto ermöglicht, das in IAM Identity Center integriert ist. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.

{
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "quicksight:*",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:GetPolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:DeleteRole",
                "iam:CreateRole",
                "iam:GetRole",
                "iam:ListRoles",
                "iam:CreatePolicy",
                "iam:ListEntitiesForPolicy",
                "iam:listPolicies",
                "s3:ListAllMyBuckets",
                "athena:ListDataCatalogs",
                "athena:GetDataCatalog",
                "sso:GetManagedApplicationInstance" ,
                "sso:CreateManagedApplicationInstance",
                "sso:GetManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance",
                "sso:DescribeGroup",
                "sso:SearchGroups",
                "sso:GetProfile",
                "sso:AssociateProfile", 
                "sso:DisassociateProfile", 
                "sso:ListProfiles", 
                "sso:ListDirectoryAssociations", 
                "sso:DescribeRegisteredRegions" 
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Vollzugriff für Enterprise Edition mit Active Directory

Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die das Abonnieren, Erstellen von Benutzern und Verwalten von Active Directory in einem QuickSight Konto ermöglicht, das Active Directory für die Identitätsverwaltung verwendet. In diesem Beispiel wird ausdrücklich die Erlaubnis verweigert, sich von Amazon QuickSight abzumelden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:AuthorizeApplication",
                "ds:UnauthorizeApplication",
                "ds:CheckAlias",
                "ds:CreateAlias",
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "ds:DeleteDirectory",
                "ds:CreateIdentityPoolDirectory",
                "iam:ListAccountAliases",
                "quicksight:CreateAdmin",
                "quicksight:Subscribe",
                "quicksight:GetGroupMapping",
                "quicksight:SearchDirectoryGroups",
                "quicksight:SetGroupMapping"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "quicksight:Unsubscribe",
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Active Directory-Gruppen

Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Active Directory-Gruppenverwaltung für ein Amazon QuickSight Enterprise Edition-Konto ermöglicht.

{
    "Statement": [
        {
            "Action": [
                "ds:DescribeTrusts",
                "quicksight:GetGroupMapping",
                "quicksight:SearchDirectoryGroups",
                "quicksight:SetGroupMapping"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: Verwenden der Admin-Asset-Management-Konsole

Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Admin-Asset-Managementkonsole ermöglicht.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [          
                "quicksight:SearchGroups",
                "quicksight:SearchUsers",              
                "quicksight:ListNamespaces",            
                "quicksight:DescribeAnalysisPermissions",
                "quicksight:DescribeDashboardPermissions",
                "quicksight:DescribeDataSetPermissions",
                "quicksight:DescribeDataSourcePermissions",
                "quicksight:DescribeFolderPermissions",
                "quicksight:ListAnalyses",
                "quicksight:ListDashboards",
                "quicksight:ListDataSets",
                "quicksight:ListDataSources",
                "quicksight:ListFolders",
                "quicksight:SearchAnalyses",
                "quicksight:SearchDashboards",
                "quicksight:SearchFolders",
                "quicksight:SearchDatasets",
                "quicksight:SearchDatasources",               
                "quicksight:UpdateAnalysisPermissions",
                "quicksight:UpdateDashboardPermissions",
                "quicksight:UpdateDataSetPermissions",
                "quicksight:UpdateDataSourcePermissions",
                "quicksight:UpdateFolderPermissions"
            ],
            "Resource": "*"
        }
    ]
}

Identitätsbasierte IAM-Richtlinien für Amazon QuickSight: mithilfe der Admin-Schlüsselverwaltungskonsole

Das folgende Beispiel zeigt eine IAM-Richtlinie, die den Zugriff auf die Konsole zur Verwaltung von Admin-Schlüsseln ermöglicht.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "kms:CreateGrant",
              "kms:ListAliases",
              "kms:ListKeys",
              "quicksight:ListCustomerManagedKeys",
              "quicksight:ListKMSKeysForUser",
              "quicksight:RegisterCustomerManagedKey"
              "quicksight:RemoveCustomerManagedKey",
          ],
          "Resource": "*"
      }
  ]

AWS Ressourcen Amazon QuickSight: Geltungsbereichsrichtlinien in der Enterprise Edition

Das folgende Beispiel für die Amazon QuickSight Enterprise Edition zeigt eine Richtlinie, die es ermöglicht, den Standardzugriff auf AWS Ressourcen und Bereichsrichtlinien für Berechtigungen für Ressourcen festzulegen. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:*IAMPolicyAssignment*",
                "quicksight:AccountConfigurations"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}