기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
1단계: 권한 설정
다음 섹션에서는 백엔드 애플리케이션 또는 웹 서버에 제너레이티브 Q&A 환경을 내장할 수 있는 권한을 설정하는 방법을 확인할 수 있습니다. 이 작업을 수행하려면 () 에 대한 관리자 액세스 권한이 필요합니다. AWS Identity and Access Management IAM
제너레이티브 Q&A 환경에 액세스하는 각 사용자는 Amazon의 액세스 및 권한을 부여하는 역할을 맡습니다. QuickSight 이를 가능하게 하려면 사용자 내에서 역할을 생성하십시오. IAM AWS 계정 IAM정책을 역할에 연결하여 정책을 수임하는 모든 사용자에게 권한을 제공하십시오. IAM역할은 특정 사용자 풀의 임베딩을 URLs 검색할 수 있는 권한을 제공해야 합니다.
와일드카드 문자*를 사용하여 특정 네임스페이스의 모든 URL 사용자에게 a를 생성할 권한을 부여할 수 있습니다. 또는 특정 네임스페이스에 있는 사용자 하위 URL 집합에 대해 를 생성할 권한을 부여할 수 있습니다. 이를 위해 quicksight:GenerateEmbedUrlForRegisteredUser을(를) 추가합니다.
개발자가 작업 AllowedDomains 파라미터에 나열할 수 있는 도메인을 제한하는 조건을 IAM 정책에 만들 수 있습니다. GenerateEmbedUrlForRegisteredUser API AllowedDomains 파라미터는 선택 파라미터입니다. 개발자에게 관리 QuickSight 메뉴에 구성된 정적 도메인을 재정의하고 생성된 도메인에 액세스할 수 있는 도메인 또는 하위 도메인을 최대 3개까지 나열할 수 있는 옵션을 개발자에게 부여합니다. URL 그러면 URL 이 정보가 개발자 웹 사이트에 임베드됩니다. 매개변수에 나열된 도메인만 내장된 제너레이티브 Q&A 환경에 액세스할 수 있습니다. 이 조건이 없으면, 개발자는 인터넷에 있는 모든 도메인을 AllowedDomains 파라미터에 나열할 수 있습니다.
개발자가 이 파라미터로 사용할 수 있는 도메인을 제한하려면 정책에 AllowedEmbeddingDomains 조건을 추가하십시오. IAM AllowedDomains파라미터에 대한 자세한 내용은 Amazon QuickSight API 레퍼런스를 참조하십시오 GenerateEmbedUrlForRegisteredUser.
다음 샘플 정책은 이러한 권한을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName", "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }
또한 Amazon QuickSight 독자가 될 처음 사용자를 생성하는 경우 정책에 quicksight:RegisterUser 권한을 추가해야 합니다.
다음 샘플 정책은 처음 읽는 사용자에게 임베딩을 URL 검색할 수 있는 권한을 제공합니다. QuickSight
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "quicksight:GenerateEmbedUrlForRegisteredUser" ], "Resource": [ "arn:partition:quicksight:region:accountId:user/namespace/userName" ], "Condition": { "ForAllValues:StringEquals": { "quicksight:AllowedEmbeddingDomains": [ "https://my.static.domain1.com", "https://*.my.static.domain2.com" ] } } } ] }
마지막으로, 방금 만든 역할에 대한 액세스를 허용하려면 응용 프로그램 IAM ID에 연결된 신뢰 정책이 있어야 합니다. 즉, 사용자가 애플리케이션에 액세스하면 애플리케이션이 사용자를 대신하여 역할을 맡아 사용자에게 권한을 부여할 수 있습니다. QuickSight
다음 예제는 샘플 신뢰 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
OpenID Connect 또는 보안 어설션 마크업 언어 (SAML) 인증에 대한 신뢰 정책에 대한 자세한 내용은 사용 설명서의 다음 섹션을 참조하십시오. IAM
