自訂對 Amazon QuickSight 主控台的存取 - Amazon QuickSight
將自訂許可設定檔套用至角色將自訂許可設定檔套用至 IAM 使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自訂對 Amazon QuickSight 主控台的存取

 適用於:企業版 
   目標對象:管理員和 Amazon QuickSight 開發人員 

在企業版中,您可以限制人們可以在 Amazon 訪問的功能 QuickSight。Amazon QuickSight 自訂許可是透過 IAM 政策套用。您可以為中的所有身分識別類型設定角色 (管理員、作者、讀者) 的自訂權限 QuickSight。您也可以將使用者層級的自訂權限套 AWS Identity and Access Management 用至使用者。使用者層級的自訂許可會覆寫指定使用者的角色現有預設或自訂角色層級許可。

下列限制適用於使用者層級的自訂許可。

  • 您無法授與超過使用者預設角色的權限。例如,如果使用者具有讀者存取權,則您無法授予該使用者編輯儀表板的許可。

  • 若要自訂權限,您必須是具有使用權限的 QuickSight 管理員"quicksight:CustomPermissions"

IAM 政策和 QuickSight 許可是不一樣的事情。可以授與使用者存取權限,並透過 IAM 政策指派角色,但 IAM 政策無法控制該使用者可以在其中執行的動作 QuickSight。 QuickSight 資產有自己的權限集,用於自訂 QuickSight — 特定功能。這些許可在 IAM 以外的資源層級處理。

您可建立自訂許可設定檔以限制存取下列操作的任意組合。

資產 可自訂的許可

資料來源和資料集

建立或更新資料來源

建立或更新資料集

共用資料集

儀表板和分析

新增或執行異常偵測

建立或更新主題

匯出至 CSV 或 Excel

Share (分享)

資料夾

建立共用資料夾

重新命名共用資料夾

報告

建立

更新

訂閱電子郵件報告

無論資產的自訂許可為何,新增至共用資料夾的項目均會共用。這適用於儀表板、分析、資料集和資料來源。

使用下列程序在中建立自訂權限設定檔。 QuickSight

建立自訂許可設定檔

  1. 在 QuickSight 主控台的任何頁面中,選擇右上角的 [管理 QuickSight]。

    只有 QuickSight 管理員才能存取「管理 QuickSight」功能表選項。如果您無法存取 QuickSight「管理」功能表,請聯絡您的管理 QuickSight 員以尋求協助。

  2. 選擇 Security & permissions (安全性與權限)

  3. 管理權限下,選擇管理

  4. 選擇下列其中一個選項。

    • 若要編輯或檢視現有的自訂許可設定檔,請選擇所需編輯設定檔旁邊的省略符號 (三個點),然後選擇檢視/編輯

    • 若要建立新的自訂許可設定檔,請選擇建立

  5. 如果要建立或更新自訂許可設定檔,請選取下列項目。

    • 對於名稱,輸入您的自訂許可設定檔的名稱。

    • 對於限制,選擇您要拒絕的選項。允許您未選擇的任何選項。例如,如果您不希望使用者建立或更新資料來源,但您可以讓他們執行任何其他動作,請僅選取建立或更新資料來源

  6. 選擇建立更新,以確認您的選擇。若要返回而不進行任何變更,請選擇返回

  7. 完成變更後,請記錄自訂許可設定檔的名稱。將自訂許可設定檔的名稱提供給 API 使用者,以便他們將自訂許可設定檔套用至角色或使用者。

使用 QuickSight API 將自訂權限設定檔套用至 QuickSight 角色

建立自訂權限設定檔後,請使用 QuickSight API 新增或變更指派給角色的自訂權限設定檔。

開始之前,您必須先設定和設定 AWS CLI。如需有關安裝 AWS CLI 的詳細資訊,請參閱 AWS Command Line Interface 使用指南中的安裝或更新最新版本的 AWSAWS CLI 和設定 CLI。您還需要權限才能使用 QuickSight API。

下列範例會呼叫 UpdateRoleCustomPermission API 來更新指派給角色的自訂許可。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

下列範例會傳回指派給角色的自訂許可設定檔。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

下列範例會從角色刪除自訂許可設定檔。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

使用 API 將自訂許可設定檔套用至 IAM 使用者 QuickSight

以下範例將自訂許可新增至新的 IAM 使用者。

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

您也可以將現有的 IAM 使用者與新的許可設定檔建立關聯。下列範例更新現有 IAM 使用者的自訂許可設定檔。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

下列範例會從許可設定檔中移除現有使用者。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

若要測試套用至角色或使用者的自訂許可,請登入使用者的帳戶。當用戶登錄時 QuickSight,系統將被授予他們有權訪問的最高權限角色。可授予使用者的最高權限角色為管理員。可授予使用者的最低權限角色為讀者。如需 Amazon 中角色的詳細資訊 QuickSight,請參閱管理 Amazon 內部的使用者存取 QuickSight

如果您指派的自訂許可設定檔將資料來源共用限制為作者的角色,則該作者將無法再存取允許資料來源共用的控制項。相反,受影響的作者具有資料來源的僅供檢視許可。