Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan IAM untuk Quick
Bagian ini memberikan contoh kebijakan IAM yang dapat Anda gunakan dengan Quick.
Kebijakan berbasis identitas IAM untuk Quick
Bagian ini menunjukkan contoh kebijakan berbasis identitas yang akan digunakan dengan Quick.
Kebijakan berbasis identitas IAM untuk administrasi konsol Amazon Quick IAM
Contoh berikut menunjukkan izin IAM yang diperlukan untuk tindakan administrasi konsol Amazon Quick IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk dasbor Cepat:
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan berbagi dasbor dan penyematan untuk dasbor tertentu.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Kebijakan berbasis identitas IAM untuk Quick: ruang nama
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick membuat atau menghapus ruang nama.
Membuat ruang nama
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Menghapus ruang nama
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick: izin khusus
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan administrator Amazon Quick atau pengembang mengelola izin khusus.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
Contoh berikut menunjukkan cara lain untuk memberikan izin yang sama seperti yang ditunjukkan pada contoh sebelumnya.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick: menyesuaikan templat laporan email
Contoh berikut menunjukkan kebijakan yang memungkinkan melihat, memperbarui, dan membuat templat laporan email di Amazon Quick, serta mendapatkan atribut verifikasi untuk identitas Amazon Simple Email Service. Kebijakan ini memungkinkan administrator Amazon Quick untuk membuat dan memperbarui templat laporan email kustom, dan untuk mengonfirmasi bahwa alamat email khusus yang ingin mereka kirimi laporan email adalah identitas terverifikasi di SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Cepat: buat akun Enterprise dengan pengguna terkelola Amazon Quick
Contoh berikut menunjukkan kebijakan yang memungkinkan admin Amazon Quick membuat akun Amazon Quick edisi Enterprise dengan pengguna terkelola Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick: membuat pengguna
Contoh berikut menunjukkan kebijakan yang memungkinkan pembuatan pengguna Amazon Quick saja. Untukquicksight:CreateReader,quicksight:CreateUser, danquicksight:CreateAdmin, Anda dapat membatasi izin untuk"Resource":
"arn:aws:quicksight::. Untuk semua izin lain yang dijelaskan dalam panduan ini, gunakan<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". Sumber daya yang Anda tentukan membatasi ruang lingkup izin ke sumber daya yang ditentukan.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Kebijakan berbasis identitas IAM untuk Quick: membuat dan mengelola grup
Contoh berikut menunjukkan kebijakan yang memungkinkan administrator dan pengembang Amazon Quick membuat dan mengelola grup.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Standar
Contoh berikut untuk Amazon Quick Standard edition menunjukkan kebijakan yang memungkinkan berlangganan dan membuat penulis dan pembaca. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro)
Contoh berikut untuk edisi Amazon Quick Enterprise menunjukkan kebijakan yang memungkinkan pengguna Amazon Quick untuk berlangganan Amazon Quick, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini juga memungkinkan pengguna untuk berlangganan peran Amazon Quick Pro yang memberikan akses ke Amazon Q dalam kemampuan BI Generatif Cepat. Untuk informasi selengkapnya tentang peran Pro di Amazon Quick, lihat Memulai BI Generatif.
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Cepat: Semua akses untuk edisi Enterprise dengan IAM Identity Center
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang terintegrasi dengan IAM Identity Center.
Kebijakan ini tidak memberikan izin untuk membuat peran Pro di Amazon Quick. Untuk membuat kebijakan yang memberikan izin untuk berlangganan peran Pro di Amazon Quick, lihat kebijakan berbasis identitas IAM untuk Amazon Quick: Semua akses untuk edisi Enterprise dengan IAM Identity Center (peran Pro).
Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Kebijakan berbasis identitas IAM untuk Quick: semua akses untuk edisi Enterprise dengan Active Directory
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan berlangganan, membuat pengguna, dan mengelola Active Directory di akun Amazon Quick yang menggunakan Active Directory untuk manajemen identitas. Contoh ini secara eksplisit menolak izin untuk berhenti berlangganan dari Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick: grup direktori aktif
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan manajemen grup Active Directory untuk akun edisi Amazon Quick Enterprise.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen aset admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen aset admin.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Kebijakan berbasis identitas IAM untuk Quick: menggunakan konsol manajemen kunci admin
Contoh berikut menunjukkan kebijakan IAM yang memungkinkan akses ke konsol manajemen kunci admin.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
"kms:ListAliases"Izin "quicksight:ListKMSKeysForUser" dan diperlukan untuk mengakses kunci yang dikelola pelanggan dari konsol Amazon Quick. "quicksight:ListKMSKeysForUser"dan tidak "kms:ListAliases" diharuskan menggunakan manajemen kunci Amazon Quick APIs.
Untuk menentukan kunci mana yang Anda ingin pengguna dapat mengakses, tambahkan kunci yang Anda ingin pengguna akses ke UpdateKeyRegistration kondisi dengan kunci quicksight:KmsKeyArns kondisi. ARNs Pengguna hanya dapat mengakses kunci yang ditentukan dalamUpdateKeyRegistration. Untuk informasi selengkapnya tentang kunci kondisi yang didukung untuk Amazon Quick, lihat Kunci kondisi untuk Amazon Quick.
Contoh di bawah ini memberikan Describe izin untuk semua CMKs yang terdaftar ke akun Amazon Quick dan Update izin untuk spesifik CMKs yang terdaftar ke akun Amazon Quick.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS sumber daya Cepat: kebijakan pelingkupan dalam edisi Enterprise
Contoh berikut untuk Amazon Quick Enterprise edisi menunjukkan kebijakan yang memungkinkan pengaturan akses default ke AWS sumber daya dan kebijakan pelingkupan untuk izin ke sumber daya. AWS
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
