本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務控制政策來限制 Amazon QuickSight 註冊選項
如果您是 中的管理員 AWS Organizations,您可以使用服務控制政策 (SCPs) 來限制組織中的個人註冊 Amazon QuickSight 的方式。您可以限制他們可註冊的 Amazon QuickSight 版本,以及他們可註冊的使用者類型。
AWS Organizations 是一種使用者帳戶管理服務,可用來將多個 AWS 帳戶合併到您建立並集中管理的組織。您可以在 中使用 SCPs AWS Organizations 來管理組織中的許可。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的什麼是 AWS Organizations?和服務控制政策。
在以下主題中,您可以了解有關使用 AWS Organizations中的 SCP 來限制 Amazon QuickSight 註冊選項的兩種方法。主題包括範例 SCP。若要進一步了解建立 SCP,請參閱《AWS Organizations 使用者指南》中的下列主題:
限制 Amazon QuickSight 版本
若要限制受管帳戶可註冊的 Amazon QuickSight 版本,請使用 SCP 中的 quicksight:Edition 條件金鑰。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | 描述 |
|---|---|---|
|
|
|
QuickSight 標準版 |
|
|
QuickSight 企業版 |
限制使用者管理選項
若要限制組織中個人可用來註冊 Amazon QuickSight 的使用者管理選項,請使用您 SCP 中的 quicksight:DirectoryType 條件金鑰。下表列出並說明了此金鑰的值。
| 鍵值名稱 | 索引鍵值 | 描述 |
|---|---|---|
|
|
|
IAM 聯合身分和 QuickSight 受管使用者 |
|
|
僅限 IAM 聯合身分 |
|
|
|
在 上在 Microsoft Active Directory 中管理的使用者 AWS Directory Service for Microsoft Active Directory |
|
|
|
在內部部署 Active Directory 中管理並透過 AD_Connector 連線至 的使用者 AWS Directory Service for Microsoft Active Directory |
|
|
|
在與 IAM Identity Center 整合的 QuickSight 帳戶中管理的使用者。 |
SCP 範例
Amazon QuickSight 的下列範例顯示了一項服務控制政策,即可拒絕註冊 QuickSight 標準版,並關閉使用 QuickSight 或 Active Directory 憑證進行註冊的功能。除了先前描述的條件金鑰之外,此政策還會使用 quicksight:subscribe 動作。如需在 IAM 許可政策中使用的 QuickSight 特定金鑰清單,請參閱《服務授權參考》中 Amazon QuickSight 的動作、資源和條件金鑰。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "quicksight:DirectoryType": [ "iam_identity_center" ] } } }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "quicksight:Edition": "standard" } } } ] }
在此政策生效後,組織中的個人僅可註冊 QuickSight 企業版。此外,他們只能使用已啟用 IAM Identity Center 的應用程式選項進行註冊。如果他們嘗試註冊 QuickSight 標準版或使用其他形式的身分驗證,則無法註冊。他們會收到一則訊息,說明他們沒有註冊 QuickSight 的正確許可。
