Amazon QuickSight의 IAM 정책 예제 - Amazon QuickSight

Amazon QuickSight의 IAM 정책 예제

이 단원에서는 Amazon QuickSight에서 사용할 수 있는 IAM 정책의 예를 제공합니다.

Amazon QuickSight에 대한 IAM 자격 증명 기반 정책

이 단원에서는 Amazon QuickSight에서 사용할 자격 증명 기반 정책의 예를 보여줍니다.

IAM ID 기반 정책 Amazon QuickSight: 대시보드

다음 예제는 특정 대시보드에서 대시보드 공유 및 임베딩이 가능한 IAM 정책을 나타낸 것입니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }

IAM ID 기반 정책 Amazon QuickSight: 사용자 생성

다음 예제는 Amazon QuickSight 사용자만 생성할 수 있는 정책을 보여줍니다. 대상 quicksight:CreateReader, quicksight:CreateUser, 그리고 quicksight:CreateAdmin의 권한을 제한할 수 있습니다. "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}". 본 가이드에 설명된 기타 모든 권한은 "Resource": "*". 지정한 리소스는 지정된 리소스에 대한 권한 범위를 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }

IAM ID 기반 정책 Amazon QuickSight: Standard Edition에 대한 모든 액세스

Amazon QuickSight Standard Edition에 대한 다음 예에서는 구독, 작성자 및 독자 생성을 활성화하는 정책을 보여줍니다. 이 예에서는 Amazon QuickSight 구독 해지 권한을 명시적으로 거부합니다.

다음 예제를 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAM ID 기반 정책 Amazon QuickSight: Enterprise Edition에 대한 모든 액세스

Amazon QuickSight Enterprise Edition에 대한 다음 예에서는 구독, 사용자 생성, Active Directory 관리를 활성화하는 정책을 보여줍니다. 이 예에서는 Amazon QuickSight 구독 해지 권한을 명시적으로 거부합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAM ID 기반 정책 Amazon QuickSight: Active Directory 그룹

다음 예에서는 Amazon QuickSight Enterprise Edition 계정에 대한 Active Directory 그룹 관리를 사용하는 IAM 정책을 보여줍니다.

{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

IAM ID 기반 정책 Amazon QuickSight: AWS 리소스에 액세스

Amazon QuickSight Enterprise Edition 및 Standard Edition에 대한 다음 예에서는 사용자가 AWS 리소스에 대한 액세스를 관리할 수 있도록 하기 위해 사용할 수 있는 정책을 보여줍니다. 설정 중 선택할 수 있는 단계이며 사용자는 액세스를 구성하는 동안 이 액세스만 필요합니다.

또한 이 예제에서는 이 정책에 대한 액세스를 특정 AWS 계정의 사용자로 제한하거나 특정 날짜 및 시간 범위로 제한하기 위해 추가할 수 있는 옵션 조건을 보여 줍니다. IAM 정책을 보호하는 모범 사례에 대한 자세한 내용은 IAM 모범 사례를 참조하십시오.

{ "Version": "2012-10-17", "Id": "PolicyToUseAWSResourcesFromQuickSight", "Statement": [ { "Sid": "Attach this policy while you are setting up access to AWS resources", "Effect": "Allow", "Principal": "*", "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:GetRole", "iam:ListRoles", "iam:ListEntitiesForPolicy", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": {"AWS:SourceAccount": "444455556666"}, "DateGreaterThan": {"aws:CurrentTime": "2019-07-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2019-07-31T23:59:59Z"} } } ] }

IAM ID 기반 정책 Amazon QuickSight: Enterprise Edition에서 정책 범위 지정

Amazon QuickSight Enterprise Edition에 대한 다음 예에서는 AWS 리소스에 대한 기본 액세스 권한을 설정하고 AWS 리소스 권한에 대한 정책 범위를 지정할 수 있는 정책을 보여줍니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:ScopeDownPolicy", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }