本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 IAM 中使用快速 | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 在使用 IAM 管理对 Amazon Quick 的访问权限之前,您应该了解哪些可用于 Amazon Quick 的 IAM 功能。要全面了解 Amazon Quick 和其他 Amazon 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **Topics** + [ ## Amazon 快速政策(基于身份) ](#security_iam_service-with-iam-id-based-policies) + [ ## Amazon Quick 政策(基于资源) ](#security_iam_service-with-iam-resource-based-policies) + [ ## 基于亚马逊快速标签的授权 ](#security_iam_service-with-iam-tags) + [ ## Amazon 快速 IAM 角色 ](#security_iam_service-with-iam-roles) ## Amazon 快速政策(基于身份) 亚马逊快速政策 通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Quick 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。 您可以使用 Amazon 根证书或 IAM 用户证书创建 Amazon Quick 账户。 Amazon root 和管理员凭证已经拥有管理 Amazon Quick Amazon 资源访问权限所需的所有权限。 不过,我们强烈建议您保护根凭证,因此请使用 IAM 用户凭证。为此,您可以创建策略并将其附加到您计划用于 Amazon Quick 的 IAM 用户和角色。该策略必须包括您需要执行的 Amazon Quick 管理任务的相应声明,如以下各节所述。 **重要** 在使用 Quick 和 IAM 策略时,请注意以下几点: 避免直接修改由 Quick 创建的策略。当你自己修改它时,Quick 无法对其进行编辑。无法编辑可能会导致策略出现问题。要修复此问题,请删除之前修改过的策略。 如果您在尝试创建 Amazon Quick 账户时遇到权限错误,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。 在某些情况下,您可能有一个 Amazon Quick 账户,即使是根账户也无法访问该账户(例如,如果您不小心删除了其目录服务)。在这种情况下,您可以删除旧的 Amazon Quick 账户,然后重新创建该账户。有关更多信息,请参阅[删除您的 Amazon Quick 订阅并关闭账户](https://docs.amazonaws.cn/quicksight/latest/user/closing-account.html)。 **Topics** + [ ### 操作 ](#security_iam_service-with-iam-id-based-policies-actions) + [ ### 资源 ](#security_iam_service-with-iam-id-based-policies-resources) + [ ### 条件键 ](#security_iam_service-with-iam-id-based-policies-conditionkeys) + [ ### 示例 ](#security_iam_service-with-iam-id-based-policies-examples) ### 操作 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。 Amazon Quick 中的策略操作在操作前使用以下前缀:`quicksight:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Quick 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。 要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示: ``` "Action": [ "quicksight:action1", "quicksight:action2"] ``` 您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Create` 开头的所有操作,包括以下操作: ``` "Action": "quicksight:Create*" ``` Amazon Quick 提供了许多 Amazon Identity and Access Management (IAM) 操作。所有 Amazon Quick 操作都带有前缀`quicksight:`,例如。`quicksight:Subscribe`有关在 IAM 策略中使用 Amazon Quick 操作的信息,请参阅 A [mazon Quick 的 IAM 策略示例](https://docs.amazonaws.cn/quicksight/latest/user/iam-policy-examples.html)。 要查看最多的亚马逊快速操作 up-to-date列表,请参阅 IA *M 用户指南*中的 A [mazon Quick 定义的操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。 ### 资源 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 `Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。 ``` "Resource": "*" ``` 下面是一个示例策略。这意味着只要添加到组中的用户名不是 `user1`,附加该策略的调用方就能够在任意组上调用 `CreateGroupMembership` 操作。 ``` { "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } } ``` 某些 Amazon Quick 操作(例如用于创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (\$1)。 ``` "Resource": "*" ``` 一些 API 操作涉及多种资源。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。 ``` "Resource": [ "resource1", "resource2" ``` 要查看 Amazon Quick 资源类型及其亚马逊资源名称 (ARNs) 的列表,请参阅 *IAM 用户指南*中的 A [mazon Quick 定义的资源](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 A [mazon Quick 定义的操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)。 ### 条件键 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 `Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 Amazon Quick 不提供任何特定于服务的条件密钥,但它支持使用一些全局条件密钥。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 ### 示例 要查看 Amazon Quick 基于身份的策略示例,请参阅[亚马逊快速政策(基于身份)](https://docs.amazonaws.cn/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)。 ## Amazon Quick 政策(基于资源) Amazon Quick 不支持基于资源的策略。但是,您可以使用 Amazon Quick 控制台来配置对您中其他 Amazon 资源的访问权限 Amazon Web Services 账户。 ## 基于亚马逊快速标签的授权 Amazon Quick 不支持为资源添加标签或根据标签控制访问权限。 ## Amazon 快速 IAM 角色 I [AM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是您的 Amazon 账户中具有特定权限的实体。您可以使用 IAM 角色将权限组合在一起,以便更轻松地管理用户对 Amazon Quick 操作的访问权限。 Amazon Quick 不支持以下角色功能: + 服务相关角色。 + 服务角色。 + 临时证书(直接使用):但是,Amazon Quick 使用临时证书允许用户担任 IAM 角色来访问嵌入式控制面板。有关更多信息,请参阅适用于 [Amazon Quick 的嵌入式分析](https://docs.amazonaws.cn/quicksight/latest/user/embedded-analytics.html)。 有关 Amazon Quick 如何使用 IAM 角色的更多信息,请参阅将 A [mazon Quick 与 IAM 配合使用和 A](https://docs.amazonaws.cn/quicksight/latest/user/security_iam_service-with-iam.html) [mazon Quick 的 IAM 策略示例](https://docs.amazonaws.cn/quicksight/latest/user/iam-policy-examples.html)。