透過 IAM Identity Center 整合授予 QuickSight 存取權 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 IAM Identity Center 整合授予 QuickSight 存取權

注意

此存取方法僅適用於 Amazon QuickSight 的企業版本。如需詳細資訊,請參閱 QuickSight 文件中的企業版使用者管理

存取 QuickSight 的 IAM Identity Center 使用者的架構圖

以下是此架構和存取方法的特性:

  • 使用者和群組是透過下列其中一個身分來源 AWS IAM Identity Center 在 中管理:

  • 根據您的需求,您可以使用組織執行個體或 IAM Identity Center 的帳戶執行個體。例如,如果外部使用者需要存取 QuickSight,但無法在組織執行個體中佈建,則您可以使用使用同時支援內部和外部使用者的身分來源的帳戶執行個體。

  • 您可以將 QuickSight 管理員、作者或讀者存取權指派給 IAM Identity Center 群組。

  • QuickSight 存取是根據映射的 IAM Identity Center 群組成員資格來佈建。

  • 您無法將此 QuickSight 存取方法與其他方法結合。

考量事項和使用案例

建議您使用 IAM Identity Center 來管理 QuickSight 的存取權。您可以搭配 IAM Identity Center 使用兩種方法。QuickSight 是啟用 IAM Identity Center 的應用程式,並支援原生整合,這是建議的方法。您也可以使用 SAML 2.0 聯合,如本指南透過 IAM Identity Center 設定聯合身分使用者對 QuickSight 的存取權所述,但大多數使用案例不建議使用此方法。

QuickSight 和 IAM Identity Center 之間的原生服務整合不需要在兩個服務之間設定 SAML 聯合。原生整合使用 IAM Identity Center 群組成員資格來管理 QuickSight 的存取權。

IAM Identity Center 使用者群組會自動與 QuickSight 同步。在 QuickSight 主控台中,管理員可以將 IAM Identity Center 群組對應至 QuickSight 角色。群組可以指派 Admin、author、 Reader、Admin Pro、author Pro 或 Reader Pro 角色。

此方法非常有用,因為它不需要您維護聯合組態或任何許可集。不過,一旦實作此方法,您未來就無法切換到不同的方法,例如聯合,而無需結束您的 QuickSight 訂閱。您也無法將此方法與其他方法結合。

如需使用 QuickSight 原生整合與 IAM Identity Center 相關的其他限制,請參閱 QuickSight 文件。例如,如果您使用 IAM Identity Center 整合,則不支援在 QuickSight 中使用命名空間功能

先決條件

  • 作用中 AWS 帳戶

  • 下列許可:

    • 對 QuickSight 訂閱 AWS 帳戶 之 的管理存取權

    • 存取 IAM Identity Center 主控台,將使用者指派給群組

設定 IAM Identity Center 整合和使用者存取

設定此類型的存取時,請注意下列事項:

  1. 訂閱 QuickSight 之前,請確定您已設定並設定 IAM Identity Center。如需說明,請參閱 IAM Identity Center 文件中的啟用 AWS IAM Identity Center入門教學課程。

  2. 請遵循 QuickSight 文件中註冊 QuickSight 訂閱的指示。 QuickSight 選擇企業,然後選擇使用啟用 IAM Identity Center 的應用程式。根據 中可用的現有 IAM Identity Center 執行個體 AWS 帳戶,您可以在組織執行個體或帳戶執行個體之間進行選取。

  3. 若要將 QuickSight 角色指派給 IAM Identity Center 群組,請遵循 QuickSight 文件中的管理 IAM Identity Center 使用者的存取權中的指示。