本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 1:设置权限 **重要** Amazon Quick Sight 推出了嵌入分析的新 APIs 功能:`GenerateEmbedUrlForAnonymousUser`和`GenerateEmbedUrlForRegisteredUser`。 您仍然可以使用`GetDashboardEmbedUrl`和`GetSessionEmbedUrl` APIs 来嵌入仪表板和 Amazon Quick Sight 控制台,但它们不包含最新的嵌入功能。有关最新的 up-to-date嵌入体验,请参阅将 [Amazon Quick Sight 分析嵌入到您的应用程序](https://docs.amazonaws.cn/quicksight/latest/user/embedding-overview.html)中。 在下节中,您可以了解如何设置后端应用程序或 Web 服务器的权限。该任务需要具有 IAM 的管理访问权限。 每个访问控制面板的用户都扮演一个角色,授予他们 Amazon Quick Sight 访问控制面板的权限和权限。为此,请在您的 Amazon 账户中创建一个 IAM 角色。将一个 IAM 策略与该角色相关联,以便为担任该角色的任何用户提供权限。IAM 角色需要提供检索控制面板的权限 URLs。为此,请添加 `quicksight:GetDashboardEmbedUrl`。 以下示例策略提供了可用于 `IdentityType=IAM` 的这些权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetDashboardEmbedUrl" ], "Resource": "*" } ] } ``` ------ 以下示例策略提供了检索控制面板 URL 的权限。`quicksight:RegisterUser`如果您要创建的首次用户将成为 Amazon Quick Sight 读者,则可以使用该政策。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "*", "Effect": "Allow" } ] } ``` ------ 如果您使用 `QUICKSIGHT` 作为您的 `identityType`,并提供用户的 Amazon 资源名称(ARN),则还需要在策略中允许 `quicksight:GetAuthCode` 操作。以下示例策略提供了此权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:GetDashboardEmbedUrl", "quicksight:GetAuthCode" ], "Resource": "*" } ] } ``` ------ 您应用程序的 IAM 身份必须具有关联的信任策略,才允许访问您刚创建的角色。这意味着,当用户访问您的应用程序时,您的应用程序可以代表用户担任该角色并在 Amazon Quick Sight 中配置用户。以下示例显示了一个名为 `embedding_quicksight_dashboard_role` 的角色,该角色将前面的示例策略作为其资源。 有关 OpenId Connect 或 SAML 身份验证的信任策略的更多信息,请参阅 *IAM 用户指南* 的以下部分: + [创建用于 Web 联合身份验证或 OpenID Connect 联合身份验证的角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) + [创建用于 SAML 2.0 联合身份验证的角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)