QuickSight 通过 IAM 身份中心配置联合用户访问权限 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

QuickSight 通过 IAM 身份中心配置联合用户访问权限

如果您的企业已经在使用 AWS IAM Identity Center,则可能需要使用此服务对联合用户进行身份验证。您可以使用 SAML 2.0 联合身份验证或使用 IAM 身份中心之间的内置服务集成。有关内置服务集成的更多信息,请参阅本指南IAM Identity Center 集成中的。

在 IAM Identity Center 中使用 SAML 2.0 联合身份验证时,有两种方法可以配置联合用户访问 QuickSight权限:

  • 使用权限集配置权限— 只有在 for IAM Identity Center 并且 QuickSight 是同一组织成员时,您才能使用此方法 AWS Organizations。 AWS 账户 权限集是定义一个或多个 AWS Identity and Access Management (IAM) 策略集合的模板。权限集可以简化组织中的权限管理。

  • 使用 IAM 角色配置权限— 如果 for 与 IAM Iden QuickSight tity Center 不属于同一个组织,则这种方法非常适合。 AWS 账户 通过这种方法,您可以直接在与的同一个账户中创建 IAM 角色 QuickSight。

在这两种方法中,用户都可以自行配置自己的 QuickSight 访问权限。如果禁用了电子邮件同步,则用户可以在登录时提供其首选电子邮件地址 QuickSight。如果启用了电子邮件同步,则 QuickSight 使用企业 IdP 中定义的电子邮件地址。有关更多信息,请参阅本指南中的QuickSight 联合用户的电子邮件同步

使用权限集配置权限

联邦用户通过 IAM Identity Center 中的权限集获得 QuickSight 访问权限的架构图

以下是这种架构和访问方法的特点:

  1. AWS 账户 适用于 IAM 身份中心 QuickSight 的,并且位于中的同一个组织中 AWS Organizations。

  2. 您在 IAM Identity Center 中定义的权限集管理和控制 IAM 角色。

  3. 用户通过 IAM 身份中心登录。

  4. QuickSight 用户记录关联到 IAM 身份中心管理的 IAM 角色和用户名,例如AWSReservedSSO_QuickSightReader_7oe58cd620501f23/DiegoRamirez@example.com

先决条件

  • 一个活跃的 QuickSight 账户

  • 具备以下权限:

    • 管理员对订阅 AWS 账户 地点 QuickSight 的访问权限

    • 访问 IAM 身份中心控制台和创建权限集的权限

配置访问权限

在订阅之前 QuickSight,请确保您已经设置并配置了 IAM 身份中心。有关说明,请参阅 IAM 身份中心文档中的启用 AWS IAM Identity Center入门教程。在组织中配置 IAM 身份中心后,在 IAM Identity Center 中创建允许联合用户访问的自定义权限集 QuickSight。有关说明,请参阅 IAM 身份中心文档中的创建权限集。有关配置权限集中包含的策略的更多信息,请参阅本指南配置 IAM 策略中的。

创建权限集后,将其置备到已订阅 AWS 账户 的 QuickSight 目标,然后将其应用于需要 QuickSight 访问权限的用户和群组。有关分配权限集的更多信息,请参阅 IAM Identity Center 文档 AWS 账户中的向用户分配访问权限。

使用 IAM 角色配置权限

通过 IAM 角色获得 QuickSight 访问权限的联合用户架构图

以下是这种架构和访问方法的特点:

  1. AWS 账户 适用于 IAM 身份中心 QuickSight ,且不在同一个组织中 AWS Organizations。

  2. 用户通过 IAM 身份中心或您在 IAM 身份中心中配置为身份源的外部 IdP 登录。

  3. IAM 角色包含一个信任策略,该策略仅允许 IAM Identity Center 中的联合用户担任该角色。

  4. QuickSight 用户记录关联到 IAM 角色和 IdP 中的用户名,例如。QuickSightReader/DiegoRamirez@example.com

先决条件

  • 一个活跃的 QuickSight 账户。

  • 具备以下权限:

    • 管理员对订阅 AWS 账户 位置 QuickSight 的访问权限。

    • 访问 IAM 身份中心控制台和管理应用程序的权限。

  • 您已经设置并配置了 IAM 身份中心。有关说明,请参阅 IAM 身份中心文档中的启用 AWS IAM Identity Center入门教程

  • 您已在 IAM 中将 IAM 身份中心配置为可信的 IdP。有关说明,请参阅 IAM 文档中的创建 IAM 身份提供商

配置访问权限

有关说明,请参阅 A mazon AWS IAM Identity Center 集成指南 QuickSight。将 IAM Identity Center 配置为的可信身份提供商后 AWS 账户,创建联合用户可以代入的 IAM 角色进行访问 QuickSight。有关说明,请参阅 IAM 文档中的创建 IAM 角色。有关为配置策略的更多信息 QuickSight,请参阅本指南配置 IAM 策略中的。