快速父系功能快速功能為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick 帳戶建立自訂許可設定檔為使用 Amazon Quick 受管使用者的 Amazon Quick 帳戶建立自訂許可設定檔將自訂許可設定檔套用至角色將自訂許可設定檔套用至使用者將自訂許可設定檔套用至帳戶

在 Amazon Quick 中建立自訂許可設定檔

適用於：企業版

目標對象：管理員和 Amazon Quick 開發人員

在企業版中，您可以限制使用者可以在 Amazon Quick 中存取的功能。您可以在 Quick 中為所有身分類型設定帳戶、角色（管理員、作者、讀者）和使用者層級的自訂許可。使用者層級的自訂許可會覆寫使用者的角色現有預設或自訂角色層級許可。使用者層級的自訂許可和角色層級的自訂許可會覆寫帳戶層級的自訂許可。

下列限制適用於自訂許可。

您無法授予高於使用者預設角色的許可。例如，如果使用者具有讀者存取權，則您無法授予該使用者編輯儀表板的許可。
若要自訂使用者或角色許可，您必須是具有下列 IAM 許可的 Amazon Quick 管理員：
- quicksight:CreateCustomPermissions
- quicksight:DeleteCustomPermissions
- quicksight:DescribeCustomPermissions
- quicksight:ListCustomPermissions
- quicksight:UpdateCustomPermissions
- quicksight:DescribeAccountCustomPermissions
- quicksight:UpdateAccountCustomPermissions
- quicksight:DeleteAccountCustomPermissions

您可以建立自訂許可設定檔，以限制對下列功能之任何組合的存取。父功能可用於限制對整個資產功能集的存取。當父系功能停用時，也會停用所有相關聯的子系功能。

此機制無法關閉沒有父功能的功能。反之，它們必須限制為個別功能。

快速父系功能

父系功能	功能
分析	限制所有與分析相關的功能
儀表板	限制所有儀表板相關的功能
動作	限制所有動作相關的功能
自動化	限制所有自動化相關功能
聊天客服人員	限制所有與 Chat Agent 相關的功能
延伸模組	限制與延伸模組相關的所有功能
流程	限制所有流程相關功能
知識庫	限制所有與知識庫相關的功能
研究	限制所有與研究相關的功能
空格	限制所有與 Spaces 相關的功能

快速功能

功能	Amazon Quick 行為	父系功能
建立聊天代理程式	無法檢視或存取任何聊天客服人員代理程式程式庫和導覽會隱藏仍然可以存取和建立其他快速資源，例如建立空間與團隊共用檔案，或建立結構化互動的流程（只要這些功能也不受限制）	聊天客服人員
允許建立者在未經核准的情況下共用	未經核准，建立者無法共用流程	流程
使用 Bedrock 模型進行輸出精簡	限制 Bedrock 模型的使用	流程
啟用 UI 代理程式來執行瀏覽器任務	限制流程 UI 代理程式執行瀏覽器任務	流程
檢閱和核准流程的共用請求	限制可以檢閱和核准流程共用請求的使用者	流程
使用網際網路增強結果	限制在聊天代理程式和研究中使用 Web 型搜尋	--
共用分析	檔案功能表上的共用選項的存取權已停用以進行分析	分析
新增或執行異常偵測	分析已停用 Insights 功能表上的新增異常至工作表選項的存取權物件功能表上的異常選項的存取權已停用，以進行分析使用者將無法將異常偵測新增至工作表	分析
列印工作表	已停用檔案功能表上的列印選項以進行分析儀表板已停用匯出功能表上的列印選項存取權使用者將無法列印工作表	--
匯出工作表至 PDF	檔案功能表上的匯出為 PDF 選項的存取權已停用，以進行分析儀表板已停用匯出功能表上的產生 PDF 選項的存取權使用者將無法將工作表匯出至 PDF 檔案	--
建立或更新佈景主題	編輯功能表上的佈景主題選項已停用以供分析使用者將無法建立自訂佈景主題使用者將無法編輯或更新現有的佈景主題	--
共用儀表板	儀表板已停用導覽功能表上的共用圖示存取權	儀表板
將視覺效果匯出至 CSV	分析和儀表板都會停用每個視覺效果三點功能表上的匯出至 CSV 選項的存取權物件功能表上的匯出視覺效果至 CSV 選項的存取權已停用，以進行分析使用者將無法將視覺效果匯出至 CSV 檔案	--
將視覺效果匯出至 Excel	分析和儀表板都會停用每個資料表三點功能表上的匯出至 Excel 選項的存取權物件功能表上的匯出資料表至 Excel 選項的存取權已停用，以進行分析使用者將無法將資料表匯出至 Excel 檔案	--
建立或更新所有資料集	建立或更新所有資料集的存取權將會停用	--
僅建立或更新 SPICE 資料集	建立或更新 SPICE 資料集的存取權將會停用	--
共用資料集	共用資料集的存取權將停用	--
檢視帳戶 SPICE 容量	限制擷取帳戶的 SPICE 容量	--
建立或更新所有資料來源	將停用建立或更新所有資料來源的存取權	--
共用資料來源	共用資料來源的存取權將會停用	--
建立共用資料夾	限制建立共用資料夾	--
重新命名共用資料夾	限制重新命名共用資料夾	--
建立或更新排定的電子郵件報告	儀表板已停用排程功能表上的排程選項存取權儀表板已停用對排程功能表上最近快照選項的存取使用者將無法建立或更新排定的電子郵件報告	--
訂閱排定的電子郵件報告	使用者將無法訂閱排定的電子郵件報告	儀表板
排程電子郵件報告中的 CSV 附件	儀表板已停用排程功能表內容區段中 CSV 選項的存取使用者將無法在排定的電子郵件報告中連接 CSV 檔案	--
排程電子郵件報告中的 Excel 附件	儀表板已停用排程功能表內容區段中的 Excel 選項存取權使用者將無法在排定的電子郵件報告中連接 Excel 檔案	--
排程電子郵件報告中的 PDF 附件	儀表板已停用排程選單的內容區段中的 PDF 選項存取權使用者將無法在排定的電子郵件報告中連接 PDF 檔案	--
排程電子郵件報告中的內容	使用者只會以登入後鎖定的可下載連結接收排程電子郵件報告中的內容在電子郵件內文中包含工作表，且排程選單中的檔案附件選項將被忽略映像不會包含在排定的電子郵件報告中	--
建立或更新閾值提醒	儀表板的警示功能表存取權已停用使用者將無法建立或更新閾值提醒	--

您可以為與 IAM Identity Center、Active Directory 整合的 Amazon Quick 帳戶或具有 Amazon Quick 受管使用者的 Amazon Quick 帳戶建立自訂許可設定檔。Amazon Quick 帳戶使用的身分類型會決定 Amazon Quick 管理員設定自訂許可設定檔的方式。

下列程序說明如何控制對 Amazon Quick 功能和個別功能的存取。

控制對 Amazon Quick 功能和功能的存取

登入 Amazon Quick 主控台。
選取管理快速。
從管理員主控台左側導覽功能表中，選取許可，然後選取自訂許可。
在自訂許可的設定檔中，選取新增設定檔，或選擇編輯預設設定檔。
在新設定檔中，執行下列動作：
- 在限制功能 - 透過勾選或取消勾選適當的選項，選擇是否允許系統的特定功能。
- 在限制功能 - 透過勾選或取消勾選適當的選項，選擇是否允許特定功能。

為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick 帳戶建立自訂許可設定檔

Amazon Quick 帳戶管理員可以使用下列程序，為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick 帳戶建立自訂許可設定檔。

為與 IAM Identity Center 或 Active Directory 整合的 Amazon Quick 帳戶建立自訂許可設定檔

登入 AWS 管理主控台。
開啟 Amazon Quick。
Amazon Quick Admin 主控台隨即開啟。選擇自訂許可。
隨即開啟管理自訂許可頁面。選擇下列其中一個選項。
- 若要建立新的自訂許可設定檔，請選擇建立。
- 若要編輯或檢視現有的自訂許可設定檔，請選擇所需設定檔旁的省略符號（三個點），然後選擇編輯。
如果要建立或更新自訂許可設定檔，請選取下列項目。
- 對於名稱，輸入您的自訂許可設定檔的名稱。
- 對於限制，選擇您要拒絕的選項。允許您未選擇的任何選項。例如，如果您不希望使用者建立或更新資料來源，但您希望他們能夠執行其他操作，請僅選擇建立或更新資料來源。
選擇建立或更新，以確認您的選擇。若要返回而不進行任何變更，請選擇返回。
完成變更後，請記錄自訂許可設定檔的名稱。將自訂許可設定檔的名稱提供給 API 使用者，以便他們將自訂許可設定檔套用至角色或使用者。

為使用 Amazon Quick 受管使用者的 Amazon Quick 帳戶建立自訂許可設定檔

Amazon Quick 帳戶管理員可以使用下列程序，為使用 Amazon Quick 受管使用者的 Amazon Quick 帳戶建立自訂許可設定檔。

為 Amazon Quick 受管使用者建立自訂許可設定檔

開啟 Quick 主控台。
在 Amazon Quick 主控台的任何頁面中，選擇右上角的管理快速。

只有 Amazon Quick 管理員可以存取管理快速功能表選項。如果您無法存取管理快速功能表，請聯絡您的 Amazon Quick 管理員尋求協助。
選擇自訂許可。您也可以選擇管理使用者區段，然後選擇管理自訂許可。
隨即開啟管理自訂許可頁面。選擇下列其中一個選項。
- 若要建立新的自訂許可設定檔，請選擇建立。
- 若要編輯或檢視現有的自訂許可設定檔，請選擇所需設定檔旁的省略符號（三個點），然後選擇編輯。
如果要建立或更新自訂許可設定檔，請選取下列項目。
- 對於名稱，輸入您的自訂許可設定檔的名稱。
- 對於限制，選擇您要拒絕的選項。允許您未選擇的任何選項。例如，如果您不希望使用者建立或更新資料來源，但您可以讓他們執行任何其他動作，請僅選取建立或更新資料來源。
選擇建立或更新，以確認您的選擇。若要返回而不進行任何變更，請選擇返回。
完成變更後，請記錄自訂許可設定檔的名稱。將自訂許可設定檔的名稱提供給 API 使用者，以便他們將自訂許可設定檔套用至角色或使用者。

建立自訂許可設定檔之後，請使用 Amazon Quick APIs 來新增或變更指派給使用者、角色或帳戶的自訂許可設定檔。具有足夠許可的使用者也可以使用 AWS::QuickSight::CustomPermissions CloudFormation 資源來管理 Amazon Quick 自訂許可設定檔。使用下列主題，進一步了解如何使用 Amazon Quick APIs 管理自訂許可設定檔。

使用 Amazon Quick API 將自訂許可設定檔套用至 Amazon Quick 角色

建立自訂許可設定檔之後，請使用 Amazon Quick APIs 來新增或變更指派給角色的自訂許可設定檔。

開始之前，您需要設定 AWS CLI。如需安裝 AWS CLI 的詳細資訊，請參閱 AWS Command Line Interface 《使用者指南》中的安裝或更新最新版本的 AWS CLI 和設定 AWS CLI。您也需要許可才能使用 Amazon Quick API。

下列範例會呼叫 UpdateRoleCustomPermission API 來更新指派給角色的自訂許可。


aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

下列範例會傳回指派給角色的自訂許可設定檔。


aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

下列範例會從角色刪除自訂許可設定檔。


aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

使用 Amazon Quick API 將自訂許可設定檔套用至使用者

下列範例會將自訂許可設定檔套用至使用者。


aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

下列範例會從使用者刪除自訂許可設定檔。


aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

下列範例會將自訂許可新增至新的 Amazon Quick IAM 使用者。


aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

您也可以將現有的 IAM 使用者與新的許可設定檔建立關聯。下列範例更新現有 IAM 使用者的自訂許可設定檔。


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

下列範例會從許可設定檔中移除現有使用者。


aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

若要測試套用至角色或使用者的自訂許可，請登入使用者的帳戶。當使用者登入 Amazon Quick 時，他們會獲得他們有權存取的最高權限角色。可授予使用者的最高權限角色為管理員。可授予使用者的最低權限角色是 Reader。如需 Amazon Quick 中角色的詳細資訊，請參閱在 Amazon Quick 中管理使用者存取。

如果您指派的自訂許可設定檔將資料來源共用限制為作者的角色，則該作者將無法再存取允許資料來源共用的控制項。相反，受影響的作者具有資料來源的僅供檢視許可。

將自訂許可設定檔套用至帳戶

開啟 Quick 主控台。
選擇右上角的設定檔圖示。
選擇管理快速。只有 Amazon Quick 管理員才能檢視此頁面。
選擇自訂許可。您也可以選擇管理使用者區段，如果您的快速帳戶使用快速受管使用者，請選擇管理自訂許可。
找到所需的帳戶自訂許可。在動作下方的選項選單中，選擇設定為帳戶設定檔。

使用快速 APIs 將自訂許可設定檔套用至帳戶

建立自訂許可設定檔之後，請使用 Quick API 來新增或變更指派給帳戶的自訂許可設定檔。

開始之前，您需要設定 AWS CLI。如需安裝 AWS CLI 的詳細資訊，請參閱《 AWS 命令列界面使用者指南》中的安裝或更新最新版本的 AWS CLI 和設定 AWS CLI。您還需要具備下列 IAM 許可：quicksight:UpdateAccountPermission、quicksight:DescribeAccountPermission 和 quicksight:DeleteAccountCustomPermission。

下列範例會呼叫 UpdateAccountPermission API 來更新指派給帳戶的自訂許可。


aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

下列範例會傳回指派給帳戶的自訂許可設定檔。


aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

下列範例會從帳戶中取消套用自訂許可設定檔。


aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Quick Microsoft Teams延伸模組

管理自訂