将活动目录与亚马逊 QuickSight 企业版配合使用

适用于：企业版

目标受众：系统管理员

注意

IAM联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。

亚马逊 QuickSight 企业版同时支持微软 Active Directory 的AWS 目录服务和 Active D irectory 连接器。

要创建一个新目录作为您的 Amazon 身份管理器 QuickSight，请使用 AWS Directory Service for Microsoft Active Directory，也称为 AWS Managed Microsoft AD。这是 AWS 云端的 Active Directory 主机，其功能与 Active Directory 大致相同。目前，除了亚太 AWS 地区（新加坡）之外 QuickSight，您可以在亚马逊支持的任何地区连接活动目录。创建目录时，可以将其与虚拟私有云 (VPC) 一起使用。有关更多信息，请参阅 VPC。

如果您想将现有目录用于亚马逊 QuickSight，则可以使用 Active Directory Connector。此服务将目录请求重定向到您的 Active Directory（位于其他目录 AWS 区域 或本地），而无需在云中缓存任何信息。

有关使用创建和管理目录的演练，请参阅在 Amazon QuickSight 上使用 AWS 托管 Microsoft AD？ AWS Managed Microsoft AD在 AWS 知识中心中。

使用 AWS Directory Service 启动目录时， AWS 会创建一个与您的域同名的组织单位 (OU)。 AWS 还会为 OU 创建具有委托管理权限的管理帐户。您可以使用 Active Directory 用户和组，在 OU 中创建账户、组和策略。有关更多信息，请参阅《目录服务AWS 管理指南》中的 Microsoft AD 托管 AD 的最佳实践。

建立目录后，您可以 QuickSight 通过为用户创建至少三个群组将其用于 Amazon：

• Amazon 管理员 — QuickSight 管理员可以更改账户设置，管理账户。管理员还可以为你购买额外的亚马逊 QuickSight 用户订阅或SPICE容量，或者取消 QuickSight 对亚马逊的订 AWS 账户阅。

• Amazon QuickSight 作者 — Amazon QuickSight 作者可以创建数据源、数据集、分析和控制面板。他们可以与其他 Amazon QuickSight 用户共享分析和控制面板。

• Amazon QuickSight 读者 — 读者可以查看其他人创建的仪表板并与之交互。

您可以通过应用IAM策略来添加或优化访问权限。例如，您可以使用IAM策略来允许用户自己订阅。

当您订阅亚马逊 QuickSight 企业版并选择 Active Directory 作为您的身份提供商时，您可以将您的 AD 组与亚马逊关联 QuickSight。您也可以在以后添加或更改您的 AD 组。