本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 IAM 角色传递给 Quick
| 适用于:企业版 |
当您的 IAM 用户注册 Quick 时,他们可以选择使用 Amazon Quick 托管角色(这是默认角色)。或者他们可以将现有的 IAM 角色传递给 Amazon Quick。
使用以下部分将现有 IAM 角色传递给 Amazon Quick
先决条件
为了让您的用户将 IAM 角色传递给 Amazon Quick,您的管理员需要完成以下任务:
-
创建一个 IAM 角色。有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色。
-
为您的 IAM 角色附加信任策略,允许 Amazon Quick 代入该角色。使用以下示例为角色创建信任策略。以下示例信任策略允许 Quick 委托人代入其所关联的 IAM 角色。
有关创建 IAM 信任策略并将其附加到角色的详细信息,请参阅《IAM 用户指南》中的修改角色(控制台)。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
向您的管理员(IAM 用户或角色)分配以下 IAM 权限:
-
quicksight:UpdateResourcePermissions— 这会向身为 Amazon Quick 管理员的 IAM 用户授予在 Amazon Quick 中更新资源级权限的权限。有关 Amazon Quick 定义的资源类型的更多信息,请参阅 IAM 用户指南中的 Quick 的操作、资源和条件键。 -
iam:PassRole— 这授予用户将角色传递给 Amazon Quick 的权限。有关更多信息,请参阅 IAM 用户指南中的授予用户向 AWS 服务传递角色的权限。 -
iam:ListRoles—(可选)这授予用户查看 Amazon Quick 中现有角色列表的权限。如果未提供此权限,则他们可以通过 ARN 来使用现有 IAM 角色。
以下是 IAM 权限策略示例,该策略允许在 Quick 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }有关您可以与 Amazon Quick 一起使用的 IAM 策略的更多示例,请参阅 Amazon Quick 的 IAM 策略示例。
-
有关为用户或用户组分配权限策略的详细信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限。
附加其他策略
如果您使用的是其他 AWS 服务,例如 Amazon Athena 或 Amazon S3,则可以创建权限策略,授予 Amazon Quick 执行特定操作的权限。然后,您可以将该策略附加到稍后传递给 Amazon Quick 的 IAM 角色。以下是如何设置其他权限策略并将其附加到您的 IAM 角色的示例。
有关 Athena 中 Amazon Quick 的托管策略示例,AWSQuicksightAthenaAccess 请参阅《亚马逊 A thena 用户指南》中的托管策略。IAM 用户可以使用以下 ARN 在 Amazon Quick 中访问此角色:。arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess
以下是 Amazon S3 中 Amazon Quick 的权限策略示例。有关在 Amazon S3 中使用 IAM 的更多信息,请参阅《Amazon S3 用户指南》中的 Amazon S3 中的身份和访问管理。
有关如何创建从 Amazon Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限的信息,请参阅如何设置从 Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
在 Quick 中使用现有的 IAM 角色
如果您是 Amazon Quick 管理员并且有权更新 Amazon Quick 资源并传递 IAM 角色,则可以在 Amazon Quick 中使用现有 IAM 角色。要详细了解在 Amazon Quick 中传递 IAM 角色的先决条件,请参阅前面列表中列出的先决条件。
使用以下过程学习如何在 Amazon Quick 中传递 IAM 角色。
在 Amazon Quick 中使用现有 IAM 角色
-
在 Amazon Quick 中,在右上角的导航栏中选择您的账户名称,然后选择管理 QuickSight。
-
在打开的 “管理 Amazon Quick” 页面上,在左侧菜单中选择 “安全和权限”。
-
在打开的 “安全和权限” 页面中,在 “Amazon 快速访问 AWS 服务” 下,选择 “管理”。
-
对于 IAM 角色,选择使用现有角色,然后执行以下操作之一:
-
从列表中选择要使用的角色。
-
或者,如果您没有看到现有 IAM 角色的列表,则可以按以下格式输入角色的 IAM ARN:
arn:aws:iam::。account-id:role/path/role-name
-
-
选择保存。
