IAM 사용자에게 QuickSight 액세스 권한 부여

참고

IAM 사용자는 사용자가 AWS Identity and Access Management (IAM)에서 생성하는 엔터티입니다. 이러한 유형의 개체는 장기 보안 인증을 사용하여 AWS 계정 에 액세스합니다. 모범 사례로 에서는 자격 증명 페더레이션 및 IAM 역할을 사용하여 임시 자격 증명을 통해 액세스 권한을 부여할 것을 AWS 권장합니다. 자세한 내용은 IAM의 보안 모범 사례를 참조하세요.

다음은이 아키텍처 및 액세스 접근 방식의 특성입니다.

Amazon QuickSight 사용자 레코드는 IAM의 사용자에 연결됩니다.
사용자 암호는 IAM에서 관리됩니다.
IAM 사용자를 직접 초대하거나 사용자가 자체 프로비저닝 액세스를 허용하는 IAM 자격 증명 기반 정책을 생성할 수 있습니다.
이 유형의 사용자는 QuickSight 콘솔 또는를 통해 로그인할 수 있습니다 AWS Management Console.

고려 사항 및 사용 사례

AWS 일반적으로는 IAM 사용자를 통해 액세스를 구성하는 것을 권장하지 않지만, 페더레이션과 같은 다른 액세스 접근 방식은 현재 조직에서 사용하지 못할 수 있습니다. 클라우드 여정을 막 시작하는 많은 조직이 아직 IAM 역할을 설정하지 않았으며 단일 계정 아키텍처에서 작업하고 있습니다. 조직에서 IAM 사용자를 사용하여 AWS 환경에 액세스하는 경우 조직에서 다른 접근 방식을 지원할 때까지 QuickSight에 해당 접근 방식을 다시 적용하는 것이 가장 간단하고 합리적인 접근 방식일 수 있습니다.

사전 조건

직접 초대 접근 방식의 경우 다음이 필요합니다.
- QuickSight의 관리 권한(스탠다드 또는 엔터프라이즈 에디션에 대한 IAM 자격 증명 기반 정책 참조)
- IAM 사용자의 이메일 주소
자체 프로비저닝된 액세스 접근 방식의 경우 사용자는 Amazon QuickSight를 생성할 권한이 필요합니다(Amazon QuickSight에 대한 IAM 자격 증명 기반 정책: 사용자 생성 참조).
IAM 사용자는 IAM 자격 증명과 연결된 암호가 있어야 합니다.

IAM 사용자에 대한 액세스 구성

다음 옵션 중 하나를 사용하여 QuickSight for IAM 사용자에게 액세스 권한을 부여할 수 있습니다.

직접 초대 - QuickSight에 액세스하도록 IAM 사용자를 초대하면 사용자가 이메일을 통해 초대를 수락할 수 있습니다.
자체 프로비저닝된 액세스 - 사용자가 자신의 액세스를 프로비저닝할 수 있도록 허용하는 IAM 정책을 생성합니다. 사용자가 QuickSight에 처음 액세스하면 액세스 권한이 부여되고 QuickSight 사용자 레코드와 연결할 이메일 주소를 정의합니다.

두 옵션의 결과는 동일합니다. IAM 사용자는 QuickSight에 액세스할 수 있습니다. 그러나 다음 표와 같이 각각에는 장단점이 있습니다. 예를 들어, 승인된 회사 이메일 주소의 사용을 적용하려는 조직에 직접 초대가 선호될 수 있습니다.

접근 방식	장점	단점
직접 초대	관리자는 QuickSight의 사용자 레코드와 연결된 이메일 주소를 제어할 수 있습니다. IAM 정책 관리 작업 없음	추가 설명서
자체 프로비저닝된 액세스	자체 프로비저닝 기능이 이미 기존 IAM 정책의 일부인 IAM 정책을 통해 액세스를 프로비저닝하기 위해 기존 IT 운영 프로세스에 통합할 수 있습니다.	관리자는 사용자가 QuickSight에 제공하는 이메일 주소를 제어할 수 없습니다.

직접 초대

IAM 사용자의 액세스를 구성하는 방법에 대한 지침은 Amazon QuickSight에 액세스하도록 사용자 초대를 참조하세요. 이러한 유형의 사용자 액세스를 구성할 때 다음 사항에 유의하세요.

QuickSight 사용자 이름에 IAM 사용자의 사용자 이름을 입력합니다. 허용되는 문자는 문자, 숫자 및 . _ - (하이픈) 문자입니다.
IAM 사용자의 경우 예를 선택합니다.
사용자는 7일 이내에 초대를 수락해야 합니다. 이 기간 내에 수락하지 않으면 초대 이메일을 다시 보낼 수 있습니다.
사용자가 초대를 수락하면 IAM 자격 증명과 연결된 암호를 입력해야 합니다.

자체 프로비저닝된 액세스

IAM 사용자가 액세스를 자체 프로비저닝할 수 있는 경우 QuickSight 계정에 초대할 필요가 없습니다. QuickSight 콘솔에 처음 액세스하려고 할 때 이메일 주소를 입력해야 합니다. 사용자가 계속을 선택하면 QuickSight는 해당 IAM 사용자에 대한 사용자 레코드를 생성합니다.

자신의 액세스를 프로비저닝할 수 있는 권한을 부여하려면 자격 증명 기반 정책을 생성하고 해당 정책을 IAM 사용자 또는 IAM 사용자 그룹에 적용합니다. 자세한 내용은 이 안내서의 IAM 정책 구성 섹션을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Active Directory 사용자

QuickSight 사용자