步驟 1：設定許可

在以下章節中，您可以了解如何為後端應用程式或 Web 伺服器設定許可。此工作需要具有的管理存取權IAM。

存取儀表板的每個使用者都會擔任一個角色，讓他們擁有 Amazon QuickSight 存取權限和儀表板的權限。為了使這成為可能，請IAM在您的 AWS 帳戶. 將IAM原則與角色建立關聯，以便為任何擔任該角色的使用者提供權限。IAM角色必須提供權限，才能擷取特定使用者集區的內嵌URLs。藉助萬用字元 *，您可以授與權限，以便URL為特定命名空間中的所有使用者或特定命名空間中的使用者子集產生。對於這一點，您新增 quicksight:GenerateEmbedUrlForRegisteredUser。

您可以在IAM原則中建立條件，以限制開發人員可在GenerateEmbedUrlForRegisteredUserAPI作業AllowedDomains參數中列出的網域。AllowedDomains 參數是選用參數。它會授予您身為開發人員的選項，讓您可以覆寫 QuickSight [管理] 功能表中設定的靜態網域。相反，您最多可以列出三個可以訪問生成URL的域或子域。然後將URL其嵌入到您創建的網站中。只有參數中列出的域可以存取內嵌視覺效果。如果沒有這種情況，您可以在 AllowedDomains 參數中列出網際網路上的任何域。

若要限制開發人員可以搭配此參數使用的網域，請在您的IAM原則中新增AllowedEmbeddingDomains條件。如需有關AllowedDomains參數的詳細資訊，請參閱 Amazon 參 QuickSight API考GenerateEmbedUrlForRegisteredUser中的。

下列範例政策提供這些許可。

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

此外，如果您要建立將成為 Amazon QuickSight 讀者的初次使用者，請務必在政策中新增quicksight:RegisterUser許可。

下列範例原則提供權限，讓初次成URL為 QuickSight 讀者的使用者擷取內嵌。

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

最後，您的應用程式的IAM身分識別必須具有相關聯的信任原則，才能允許存取您剛才建立的角色。這表示當使用者存取您的應用程式時，您的應用程式可以代表使用者擔任該角色，並在中佈建使用者 QuickSight。範例信任政策如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
} 

有關 OpenID Connect 或SAML身份驗證的信任策略的更多信息，請參閱IAM用戶指南的以下各節：

• 建立 Web 身分或 OpenID Connect 聯合身分的角色 (主控台)

• 建立 SAML 2.0 聯合 (主控台) 的角色