Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy IAM per Quick
Questa sezione fornisce esempi di policy IAM che puoi utilizzare con Quick.
Politiche basate sull'identità IAM per Quick
Questa sezione mostra esempi di politiche basate sull'identità da utilizzare con Quick.
Policy basate sull'identità IAM per l'amministrazione della console Amazon Quick IAM
L'esempio seguente mostra le autorizzazioni IAM necessarie per le azioni di amministrazione della console Amazon Quick IAM.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick: dashboard
L'esempio seguente mostra una policy IAM che consente la condivisione di pannelli di controllo e l'incorporamento di pannelli specifici.
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Politiche basate sull'identità IAM per Quick: namespace
Gli esempi seguenti mostrano le policy IAM che consentono a un amministratore di Amazon Quick di creare o eliminare namespace.
Creazione degli spazi dei nomi
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
Eliminazione degli spazi dei nomi
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick: autorizzazioni personalizzate
L'esempio seguente mostra una policy IAM che consente a un amministratore o uno sviluppatore di Amazon Quick di gestire autorizzazioni personalizzate.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
L'esempio seguente mostra un altro modo per concedere le stesse autorizzazioni illustrato nell'esempio precedente.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick: personalizzazione dei modelli di report e-mail
L'esempio seguente mostra una policy che consente la visualizzazione, l'aggiornamento e la creazione di modelli di report e-mail in Amazon Quick, nonché l'ottenimento di attributi di verifica per un'identità di Amazon Simple Email Service. Questa policy consente a un amministratore di Amazon Quick di creare e aggiornare modelli di report e-mail personalizzati e di confermare che qualsiasi indirizzo e-mail personalizzato da cui desidera inviare report e-mail è un'identità verificata in SES.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Policy basate sull'identità IAM per Quick: crea un account Enterprise con utenti gestiti da Amazon Quick
L'esempio seguente mostra una politica che consente agli amministratori di Amazon Quick di creare un account Amazon Quick in edizione Enterprise con utenti gestiti da Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick: creazione di utenti
L'esempio seguente mostra una policy che consente di creare solo utenti Amazon Quick. Per quicksight:CreateReader, quicksight:CreateUser e quicksight:CreateAdmin, è possibile limitare le autorizzazioni a "Resource":
"arn:aws:quicksight::. Per tutte le altre autorizzazioni descritte in questa guida, utilizza <YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*". La risorsa specificata limita l'ambito delle autorizzazioni alla risorsa stessa.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Politiche basate sull'identità IAM per Quick: creazione e gestione di gruppi
L'esempio seguente mostra una policy che consente agli amministratori e agli sviluppatori di Amazon Quick di creare e gestire gruppi.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick: All access for Standard edition
L'esempio seguente per l'edizione Amazon Quick Standard mostra una politica che consente la sottoscrizione e la creazione di autori e lettori. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center (Pro roles)
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente a un utente Amazon Quick di abbonarsi ad Amazon Quick, creare utenti e gestire Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica consente inoltre agli utenti di sottoscrivere ruoli Amazon Quick Pro che garantiscono l'accesso ad Amazon Q nelle funzionalità di Quick Generative BI. Per ulteriori informazioni sui ruoli Pro in Amazon Quick, consulta Introduzione alla BI generativa.
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per l'edizione Quick: All access for Enterprise con IAM Identity Center
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick integrato con IAM Identity Center.
Questa politica non concede le autorizzazioni per creare ruoli Pro in Amazon Quick. Per creare una policy che conceda l'autorizzazione a sottoscrivere ruoli Pro in Amazon Quick, consulta Politiche basate sull'identità IAM per Amazon Quick: All access for Enterprise edition with IAM Identity Center (Pro roles).
Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Politiche basate sull'identità IAM per Quick: accesso completo per l'edizione Enterprise con Active Directory
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una policy che consente la sottoscrizione, la creazione di utenti e la gestione di Active Directory in un account Amazon Quick che utilizza Active Directory per la gestione delle identità. Questo esempio nega esplicitamente l'autorizzazione all'annullamento dell'iscrizione ad Amazon Quick.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick: active directory groups
L'esempio seguente mostra una policy IAM che consente la gestione di gruppi Active Directory per un account Amazon Quick Enterprise edition.
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle risorse di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle risorse di amministrazione.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Politiche basate sull'identità IAM per Quick: utilizzo della console di gestione delle chiavi di amministrazione
Di seguito viene illustrato un esempio di policy IAM che consente l'accesso alla console di gestione delle chiavi di amministrazione.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
Le "kms:ListAliases" autorizzazioni "quicksight:ListKMSKeysForUser" e sono necessarie per accedere alle chiavi gestite dal cliente dalla console Amazon Quick. "quicksight:ListKMSKeysForUser"e non "kms:ListAliases" sono obbligati a utilizzare la gestione delle chiavi Amazon Quick APIs.
Per specificare a quali chiavi vuoi che un utente possa accedere, aggiungi le ARNs chiavi a cui desideri che l'utente acceda alla UpdateKeyRegistration condizione con la chiave di quicksight:KmsKeyArns condizione. Gli utenti possono accedere solo alle chiavi specificate in UpdateKeyRegistration. Per ulteriori informazioni sulle chiavi di condizione supportate per Amazon Quick, consulta Condition keys for Amazon Quick.
L'esempio seguente concede Describe autorizzazioni per tutti coloro CMKs che sono registrati su un account Amazon Quick e Update autorizzazioni per specifici utenti registrati nell'account Amazon CMKs Quick.
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS risorse Quick: definizione delle politiche nell'edizione Enterprise
L'esempio seguente per l'edizione Amazon Quick Enterprise mostra una politica che consente di impostare l'accesso predefinito alle AWS risorse e di definire le politiche per le autorizzazioni alle AWS risorse.
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
