本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 IAM 角色傳遞至 Quick
| 適用於:企業版 |
當您的 IAM 使用者註冊 Quick 時,可以選擇使用 Amazon Quick 受管角色 (這是預設角色)。或者,他們可以將現有的 IAM 角色傳遞給 Amazon Quick。
使用以下區段將現有的 IAM 角色傳遞至 Amazon Quick
先決條件
若要讓使用者將 IAM 角色傳遞至 Amazon Quick,您的管理員需要完成下列任務:
-
建立 IAM 角色。如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 角色。
-
將信任政策連接至您的 IAM 角色,以允許 Amazon Quick 擔任該角色。使用以下範例建立該角色的信任政策。下列範例信任政策允許 Quick 主體擔任其連接的 IAM 角色。
如需有關建立 IAM 信任政策及將其連接至 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的修改角色 (主控台)。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
將以下 IAM 許可指派給您的管理員 (IAM 使用者或角色):
-
quicksight:UpdateResourcePermissions– 這會授予身為 Amazon Quick 管理員的 IAM 使用者在 Amazon Quick 中更新資源層級許可的許可。如需 Amazon Quick 定義之資源類型的詳細資訊,請參閱《IAM 使用者指南》中的 Quick 的動作、資源和條件索引鍵。 -
iam:PassRole– 這會授予使用者將角色傳遞至 Amazon Quick 的許可。如需詳細資訊,請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可。 -
iam:ListRoles– (選用) 這會授予使用者在 Amazon Quick 中查看現有角色清單的許可。如果未提供此許可,他們可以使用 ARN 來使用現有的 IAM 角色。
以下是 IAM 許可政策範例,允許管理資源層級許可、列出 IAM 角色,以及在 Quick 中傳遞 IAM 角色。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }如需可與 Amazon Quick 搭配使用的 IAM 政策範例,請參閱 Amazon Quick 的 IAM 政策範例。
-
如需有關將許可指派給使用者或使用者群組的詳細資訊,請參閱《IAM 使用者指南》中的變更 IAM 使用者的許可。
連接其他政策
如果您使用的是其他服務 AWS ,例如 Amazon Athena 或 Amazon S3,您可以建立授予 Amazon Quick 執行特定動作許可的許可政策。然後,您可以將政策連接至稍後傳遞給 Amazon Quick 的 IAM 角色。以下是如何設定其他許可政策並將其他許可政策連接到 IAM 角色的範例。
如需 Athena 中 Amazon Quick 的範例受管政策,請參閱《Amazon Athena 使用者指南》中的 AWSQuicksightAthenaAccess 受管政策。 Amazon Athena IAM 使用者可以使用下列 ARN 在 Amazon Quick 中存取此角色:arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess。
以下是 Amazon S3 中 Amazon Quick 的許可政策範例。如需有關搭配使用 IAM 和 Amazon S3 的詳細資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 中的身分和存取管理。
如需有關如何從 Amazon Quick 建立對另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權的資訊,請參閱 AWS 知識中心中的如何設定從 Quick 到另一個帳戶中 Amazon S3 儲存貯體的跨帳戶存取權?
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
在 Quick 中使用現有的 IAM 角色
如果您是 Amazon Quick 管理員,並具有更新 Amazon Quick 資源和傳遞 IAM 角色的許可,則可以在 Amazon Quick 中使用現有的 IAM 角色。若要進一步了解在 Amazon Quick 中傳遞 IAM 角色的先決條件,請參閱先前清單中概述的先決條件。
使用下列程序來了解如何在 Amazon Quick 中傳遞 IAM 角色。
在 Amazon Quick 中使用現有的 IAM 角色
-
在 Amazon Quick 中,在右上角的導覽列中選擇您的帳戶名稱,然後選擇管理 QuickSight。
-
在開啟的管理 Amazon Quick 頁面上,選擇左側選單中的安全與許可。
-
在開啟的安全與許可頁面中,在 Amazon Quick 存取 AWS 服務下,選擇管理。
-
對於 IAM 角色,選擇使用現有角色,然後執行下列其中一項:
-
從清單中選擇要使用的角色。
-
或者,如果您沒有看到現有 IAM 角色的清單,您可使用下列格式輸入該角色的 IAM ARN:
arn:aws:iam::。account-id:role/path/role-name
-
-
選擇儲存。
