本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Amazon Quick 中创建自定义权限配置文件
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:管理员和 Amazon Quick 开发者 |
在企业版中,您可以限制人们可以在 Amazon Quick 中访问的功能。您可以在 Quick 中为所有身份类型配置账户、角色(管理员、作者、读者)和用户级别的自定义权限。*用户级自定义权限*会为指定用户覆盖角色的现有默认权限或自定义角色级权限。*用户级自定义权限*和*角色级自定义权限*会覆盖*账户级自定义权限*。
下面的限制适用于自定义权限。
+ 您不能授予高于用户默认角色的权限。例如,如果用户拥有读者访问权限,则您不能向该用户授予编辑控制面板的权限。
+ 要自定义用户或角色权限,您需要成为具有以下 IAM 权限的 Amazon Quick 管理员:
+ `quicksight:CreateCustomPermissions`
+ `quicksight:DeleteCustomPermissions`
+ `quicksight:DescribeCustomPermissions`
+ `quicksight:ListCustomPermissions`
+ `quicksight:UpdateCustomPermissions`
+ `quicksight:DescribeAccountCustomPermissions`
+ `quicksight:UpdateAccountCustomPermissions`
+ `quicksight:DeleteAccountCustomPermissions`
您可以创建自定义权限配置文件,以限制对以下功能的任意组合的访问。父权能可用于限制对整个资产功能集的访问权限。禁用父权能后,所有关联的子功能也将被禁用。
使用此机制无法关闭没有父权能的功能。相反,必须将其限制为单个功能。
## 快速家长功能
| 家长能力 | 功能 |
| --- | --- |
| 分析 | 限制所有与分析相关的功能 |
| 控制面板 | 限制所有与仪表板相关的功能 |
| 操作 | 限制所有与操作相关的功能 |
| 自动化 | 限制所有与自动化相关的功能 |
| 聊天代理 | 限制所有与聊天代理相关的功能 |
| 扩展程序 | 限制所有与扩展相关的功能 |
| 流 | 限制所有与 Flows 相关的功能 |
| 知识库 | 限制所有与知识库相关的功能 |
| 研究 | 限制所有与研究相关的功能 |
| 场景 | 限制所有与场景相关的功能 |
| 空间 | 限制所有与 Spaces 相关的功能 |
| 故事 | 限制所有与故事相关的功能 |
| 主题 | 限制所有与 Topics 相关的功能 |
## 快速功能
| 功能 | Amazon Quick 行为 | 家长能力 |
| --- | --- | --- |
| 创建聊天代理 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 聊天代理 |
| 共享聊天代理 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 聊天代理 |
| 允许创作者在未经批准的情况下共享 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 流 |
| 使用 Bedrock 模型进行输出优化 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 流 |
| 启用 UI 代理来执行浏览器任务 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 流 |
| 所有符合条件的用户都可以查看和批准 Flows 共享请求 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 流 |
| 创建空间 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 空间 |
| 共享空间 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 空间 |
| 使用互联网来改善结果 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 共享分析 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 分析 |
| 添加或运行异常检测 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 分析 |
| 打印表格 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 将工作表导出为 PDF | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 创建或更新主题 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 共享控制面板 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 控制面板 |
| 将视觉内容导出为 CSV | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 将可视化文件导出到 E | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 创建或更新所有数据集 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 仅创建或更新 SPICE 数据集 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 共享数据集 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 查看账户 SPICE 容量 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 创建或更新所有数据源 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 共享数据源 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 管理共享文件夹 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 创建共享文件夹 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 管理共享文件夹 |
| 重命名共享文件夹 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 管理共享文件夹 |
| 创建或更新预设电子邮件报告 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 订阅预定电子邮件报告 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 控制面板 |
| 预定电子邮件报告中的 CSV 附件 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 预定电子邮件报告中的 Excel 附件 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 预定电子邮件报告中的 PDF 附件 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 预定电子邮件报告中的内容 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 创建或更新阈值警报 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | -- |
| 使用 AI 编辑视觉效果 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 分析 |
| 使用 AI 构建计算 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 分析 |
| 创建执行摘要 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 控制面板 |
| 创建或更新所有知识库 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 知识库 |
| 共享所有知识库 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/quick/latest/userguide/create-custom-permissions-profile.html) | 知识库 |
## 动作连接器功能
除了前几节中列出的功能外,您还可以限制对单个操作连接器的访问。每个操作连接器都支持以下权限:
+ **创建和更新操作**-限制为连接器创建或更新操作的能力。
+ **共享操作**-限制共享连接器操作的能力。
+ **使用操作**-限制对连接器使用操作的能力。
这些权限可在自定义权限配置文件的 “**操作连接器**” 选项卡上找到。有关可用操作连接器的列表,请参阅[操作连接器](https://docs.amazonaws.cn/quick/latest/userguide/action-integrations.html)。
可以为与 IAM 身份中心、Active Directory 集成的 Amazon Quick 账户或拥有 Amazon Quick 托管用户的 Amazon Quick 账户创建自定义权限配置文件。Amazon Quick 账户使用的身份类型决定了 Amazon Quick 管理员配置自定义权限配置文件的方式。
以下过程向您展示如何控制对 Amazon Quick 功能和相应功能的访问权限。
**控制对 Amazon Quick 功能和功能的访问权限**
1. 登录 Amazon Quick 控制台。
1. 选择 “**快速管理**”。
1. 在管理员控制台的左侧导航菜单中,选择**权限**,然后选择**自定义权限**。
1. 在 “**自定义权限**” 中,从 “**配置文件**” 中选择 “**新建配置文件**” 或选择编辑默认配置文件。
1. 在 “**新建个人资料**” 中,执行以下操作:
+ 在 “**限制功能**” 中 — 通过选中或取消选中相应的选项,选择是否允许系统使用特定功能。
+ 在 “**限制功能**” 中 — 通过选中或取消选中相应的选项来选择是否允许特定功能。
## 为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick 账户创建自定义权限配置文件
Amazon Quick 账户管理员可以使用以下步骤为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick 账户创建自定义权限配置文件。
**为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick 账户创建自定义权限配置文件**
1. 登录 [Amazon 管理控制台](https://www.amazonaws.cn//console)。
1. 打开 Amazon Quick。
1. Amazon 快速管理控制台打开。选择 “**自定义权限”**。
1. 此时将打开**管理自定义权限**页面。选择以下任一选项。
+ 要创建新的自定义权限配置文件,请选择**创建**。
+ 要编辑或查看现有的自定义权限配置文件,请选择所需配置文件旁边的省略号(三个点),然后选择**编辑**。
1. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。
+ 对于**名称**,为自定义权限配置文件输入名称。
+ 对于**限制**,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据源,但希望他们能够执行其他所有操作,请仅选择**创建或更新数据源**。
1. 选择**创建**或**更新**,确认您的选择。要返回而不进行任何更改,请选择**返回**。
1. 完成更改后,记录自定义权限配置文件的名称。向 API 用户提供自定义权限配置文件的名称,以便他们将自定义权限配置文件应用于角色或用户。
## 为使用 Amazon Quick 托管用户的 Amazon Quick 账户创建自定义权限配置文件
Amazon Quick 账户管理员可以使用以下步骤为使用 Amazon Quick 托管用户的 Amazon Quick 账户创建自定义权限配置文件。
**为 Amazon Quick 托管用户创建自定义权限配置文件**
1. 打开 [Quick 控制台](https://quicksight.aws.amazon.com/)。
1. 在 Amazon Quick 控制台的任何页面上,选择右上角的 “**快速管理**”。
只有 Amazon Quick 管理员才能访问**管理快捷**菜单选项。如果您无权访问**管理快捷**菜单,请联系您的 Amazon Quick 管理员寻求帮助。
1. 选择**自定义权限**。您也可以选择 “**管理用户**” 部分,然后选择 “**管理自定义权限**”。
1. 此时将打开**管理自定义权限**页面。选择以下任一选项。
+ 要创建新的自定义权限配置文件,请选择**创建**。
+ 要编辑或查看现有的自定义权限配置文件,请选择所需配置文件旁边的省略号(三个点),然后选择**编辑**。
1. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。
+ 对于**名称**,为自定义权限配置文件输入名称。
+ 对于**限制**,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据来源,但希望他们能够执行其他任何操作,请仅选择**创建或更新数据来源**。
1. 选择**创建**或**更新**,确认您的选择。要返回而不进行任何更改,请选择**返回**。
1. 完成更改后,记录自定义权限配置文件的名称。向 API 用户提供自定义权限配置文件的名称,以便他们将自定义权限配置文件应用于角色或用户。
创建自定义权限配置文件后,使用 Amazon Quick APIs 添加或更改分配给用户、角色或账户的自定义权限配置文件。拥有足够权限的用户也可以使用该[https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-quicksight-custompermissions.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-quicksight-custompermissions.html) Amazon CloudFormation 资源来管理 Amazon Quick 自定义权限配置文件。使用以下主题详细了解如何使用 Amazon Quick 管理自定义权限配置文件 APIs。
+ [使用 Amazon Quick API 将自定义权限配置文件应用于 Amazon Quick 角色](https://docs.amazonaws.cn/quicksight/latest/user/customizing-permissions-to-the-quicksight-console-apply-role.html)
+ [使用 Amazon Quick API 向用户应用自定义权限配置文件](https://docs.amazonaws.cn/quicksight/latest/user/customizing-permissions-to-the-quicksight-console-apply-iam-user.html)
## 使用 Amazon Quick API 将自定义权限配置文件应用于 Amazon Quick 角色
创建自定义权限配置文件后,使用 Amazon Quick APIs 添加或更改分配给角色的自定义权限配置文件。
在开始之前,您需要设置和配置 Amazon CLI。有关安装 Amazon CLI 的更多信息,请参阅 Amazon Command Line Interface 用户指南中的[安装或更新最新版本的 Amazon CL Amazon I](https://docs.amazonaws.cn/cli/latest/userguide/getting-started-install.html) [和配置](https://docs.amazonaws.cn/cli/latest/userguide/cli-chap-configure.html) CLI。您还需要权限才能使用 Amazon Quick API。
以下示例通过调用 `UpdateRoleCustomPermission` API 来更新分配给角色的自定义权限。
```
aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION
```
以下示例返回分配给角色的自定义权限配置文件。
```
aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION
```
以下示例将自定义权限配置文件从角色中删除。
```
aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION
```
## 使用 Amazon Quick API 向用户应用自定义权限配置文件
以下示例将自定义权限配置文件应用于用户。
```
aws quicksight update-user-custom-permission \
--aws-account-id AWSACCOUNTID \
--namespace default \
--user-name USER_NAME \
--custom-permissions-name myCustomPermission
```
以下示例将自定义权限配置文件从用户中删除。
```
aws quicksight delete-user-custom-permission \
--aws-account-id AWSACCOUNTID \
--namespace default
```
以下示例向新的 Amazon Quick IAM 用户添加了自定义权限。
```
aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \
```
您还可以将现有 IAM 用户与新的权限配置文件关联。以下示例对现有 IAM 用户的自定义权限配置文件进行了更新。
```
aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \
```
以下示例将现有用户从权限配置文件中移除。
```
aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default
```
要测试应用于某个角色或用户的自定义权限,请登录该用户的账户。当用户登录 Amazon Quick 时,他们将被授予他们有权访问的最高权限角色。可以授予用户的最高权限角色是“管理员”。可以授予用户的最低权限角色是 Reader。有关 Amazon Quick 中角色的更多信息,请参阅在 Amaz [on Quick 中管理用户访问权限](https://docs.amazonaws.cn/quicksight/latest/user/managing-users.html)。
如果您分配的自定义权限配置文件将数据来源共享限制给作者的角色,则该作者将无法再访问允许数据来源共享的控件。相反,受影响的作者对数据来源拥有仅查看权限。
## 将自定义权限配置文件应用于账户
**将自定义权限配置文件应用于账户**
1. 打开 [Quick 控制台](https://quicksight.aws.amazon.com/)。
1. 从右上角选择配置文件图标。
1. 选择 “**快速管理**”。只有 Amazon Quick 管理员才能查看此页面。
1. 选择**自定义权限**。如果您的 Quick 账户使用 Quick 托管**用户**,您也可以选择 “**管理用户” 部分,然后选择 “管理自定义权限**”。
1. 找到所需的账户自定义权限。在**操作**下的选项菜单中,选择**设置为账户配置文件**。
### 使用 Quick 将自定义权限配置文件应用于账户 APIs
创建自定义权限配置文件后,使用 Quick API 添加或更改分配给账户的自定义权限配置文件。
在开始之前,您需要设置和配置 Amazon CLI。有关安装 Amazon CLI 的更多信息,请参阅 Amazon 命令行界面用户指南中的[安装或更新最新版本的 Amazon CL Amazon I](https://docs.amazonaws.cn/cli/latest/userguide/getting-started-install.html) [和配置](https://docs.amazonaws.cn/cli/latest/userguide/cli-chap-configure.html) CLI。您还需要以下 IAM 权限:`quicksight:UpdateAccountPermission`、`quicksight:DescribeAccountPermission` 和 `quicksight:DeleteAccountCustomPermission`。
以下示例通过调用 `UpdateAccountPermission` API 来更新分配给账户的自定义权限。
```
aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION
```
以下示例返回分配给账户的自定义权限配置文件。
```
aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION
```
以下示例从账户中取消应用自定义权限配置文件。
```
aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION
```