本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 IAM 角色传递给 Quick
将 IAM 角色传递给 Amazon Quick


|  | 
| --- |
|  适用于：企业版  | 

当您的 IAM 用户注册 Quick 时，他们可以选择使用 Amazon Quick 托管角色（这是默认角色）。或者他们可以将现有的 IAM 角色传递给 Amazon Quick。

使用以下部分将现有 IAM 角色传递给 Amazon Quick

**Topics**
+ [

## 先决条件
](#security-create-iam-role-prerequisites)
+ [

## 附加其他策略
](#security-create-iam-role-athena-s3)
+ [

## 在 Quick 中使用现有的 IAM 角色
](#security-create-iam-role-use)

## 先决条件


为了让您的用户将 IAM 角色传递给 Amazon Quick，您的管理员需要完成以下任务：
+ **创建一个 IAM 角色。**有关创建 IAM 角色的更多信息，请参阅《IAM 用户指南》**中的[创建 IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create.html)。
+ **为您的 IAM 角色附加信任策略，允许 Amazon Quick 代入该角色**。使用以下示例为角色创建信任策略。以下示例信任策略允许 Quick 委托人代入其所关联的 IAM 角色。

  有关创建 IAM 信任策略并将其附加到角色的详细信息，请参阅《IAM 用户指南》**中的[修改角色（控制台）](https://docs.amazonaws.cn/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)。

  ```
  {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "quicksight.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
  ```
+ **向您的管理员（IAM 用户或角色）分配以下 IAM 权限**：
  + `quicksight:UpdateResourcePermissions`— 这会向身为 Amazon Quick 管理员的 IAM 用户授予在 Amazon Quick 中更新资源级权限的权限。有关 Amazon Quick 定义的资源类型的更多信息，请参阅 *IAM 用户指南*中的 [Quick 的操作、资源和条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonquicksight.html)。
  + `iam:PassRole`— 这授予用户将角色传递给 Amazon Quick 的权限。有关更多信息，请参阅 *IAM 用户指南中的授予用户*[向 Amazon 服务传递角色的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_passrole.html)。
  + `iam:ListRoles`—（可选）这授予用户查看 Amazon Quick 中现有角色列表的权限。如果未提供此权限，则他们可以通过 ARN 来使用现有 IAM 角色。

  以下是 IAM 权限策略示例，该策略允许在 Quick 中管理资源级权限、列出 IAM 角色和传递 IAM 角色。

  ```
  {
      "Version": "2012-10-17"		 	 	 ,
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "iam:ListRoles",
              "Resource": "arn:aws:iam::account-id:role:*"
          },
          {
              "Effect": "Allow",
              "Action": "iam:PassRole",
              "Resource": "arn:aws:iam::account-id:role/path/role-name",
              "Condition": {
                  "StringEquals": {
                      "iam:PassedToService": [
                          "quicksight.amazonaws.com"
                      ]
                  }
              }
          },
          {
              "Effect": "Allow",
              "Action": "quicksight:UpdateResourcePermissions",
              "Resource": "*"
          }
      ]
  }
  ```

  有关您可以与 Amazon Quick 一起使用的 IAM 策略的更多示例，请参阅 [Amazon Quick 的 IAM 策略示例](https://docs.amazonaws.cn/quicksight/latest/user/iam-policy-examples.html)。

有关为用户或用户组分配权限策略的详细信息，请参阅《IAM 用户指南》**中的[更改 IAM 用户的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html)。

## 附加其他策略


如果您使用的是其他 Amazon 服务，例如 Amazon Athena 或 Amazon S3，则可以创建权限策略，授予 Amazon Quick 执行特定操作的权限。然后，您可以将该策略附加到稍后传递给 Amazon Quick 的 IAM 角色。以下是如何设置其他权限策略并将其附加到您的 IAM 角色的示例。

有关 Athena 中 Amazon Quick 的托管策略示例，[AWSQuicksightAthenaAccess 请参阅《亚马逊 *A* thena 用户指南》中的托管](https://docs.amazonaws.cn/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)策略。IAM 用户可以使用以下 ARN 在 Amazon Quick 中访问此角色：。`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`

以下是 Amazon S3 中 Amazon Quick 的权限策略示例。有关在 Amazon S3 中使用 IAM 的更多信息，请参阅《Amazon S3 用户指南》**中的 [Amazon S3 中的身份和访问管理](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-access-control.html)。

有关如何创建从 Amazon Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限的信息，请参阅[如何设置从 Quick 到另一个账户中的 Amazon S3 存储桶的跨账户访问权限](https://www.amazonaws.cn/premiumsupport/knowledge-center/quicksight-cross-account-s3/)？ 在 Amazon 知识中心中。

```
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}
```

## 在 Quick 中使用现有的 IAM 角色


如果您是 Amazon Quick 管理员并且有权更新 Amazon Quick 资源并传递 IAM 角色，则可以在 Amazon Quick 中使用现有 IAM 角色。要详细了解在 Amazon Quick 中传递 IAM 角色的[先决条件，请参阅前面列表中列出的先决条件](https://docs.amazonaws.cn/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)。

使用以下过程学习如何在 Amazon Quick 中传递 IAM 角色。

**在 Amazon Quick 中使用现有 IAM 角色**

1. 在 Amazon Quick 中，在右上角的导航栏中选择您的账户名称，然后选择**管理 QuickSight**。

1. 在打开的 “**管理 Amazon Quick**” 页面上，在左侧菜单中选择 “**安全和权限**”。

1. 在打开的 “**安全和权限**” 页面中，在 “**Amazon 快速访问 Amazon 服务**” 下，选择 “**管理**”。

1. 对于 **IAM 角色**，选择**使用现有角色**，然后执行以下操作之一：
   + 从列表中选择要使用的角色。
   + 或者，如果您没有看到现有 IAM 角色的列表，则可以按以下格式输入角色的 IAM ARN：`arn:aws:iam::account-id:role/path/role-name`。

1. 选择**保存**。