自定义对 Amazon QuickSight 控制台的访问权限 - Amazon QuickSight
将自定义权限配置文件应用于角色将自定义权限配置文件应用于IAM用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义对 Amazon QuickSight 控制台的访问权限

 适用于:企业版 
   目标受众:管理员和 Amazon QuickSight 开发者 

在企业版中,您可以限制人们可以在 Amazon 中访问的功能 QuickSight。Amazon QuickSight 自定义权限是通过IAM策略应用的。您可以为中所有身份类型的角色(管理员、作者、读者)配置自定义权限 QuickSight。您也可以将用户级别的自定义权限应用于 Amazon Identity and Access Management 用户。用户级自定义权限会为指定用户覆盖角色的现有默认权限或自定义角色级权限。

下面的限制适用于用户级自定义权限。

  • 您不能授予高于用户默认角色的权限。例如,如果用户拥有读者访问权限,则您不能向该用户授予编辑控制面板的权限。

  • 要自定义权限,您需要是拥有使用权限的 QuickSight 管理员"quicksight:CustomPermissions"

IAM策略和 QuickSight 权限不是一回事。可以向用户授予访问权限并为其分配一个带有IAM策略的角色,但该IAM策略并不能控制该用户可以在其中执行的操作 QuickSight。 QuickSight 资产有自己的权限集,用于自定义, QuickSight即特定功能。这些权限是在 is 之外的资源级别处理的IAM。

您可以创建自定义权限配置文件来限制对以下操作的任意组合的访问。

资产 可自定义的权限

数据来源和数据集

创建或更新数据来源

创建或更新数据集

共享数据集

控制面板和分析

添加或运行异常检测

创建或更新主题

导出到CSV或 Excel

共享

文件夹

创建共享文件夹

重命名共享文件夹

报告

创建

更新

订阅电子邮件报告

无论资产的自定义权限如何,添加到共享文件夹中的项目都是共享的。这适用于控制面板、分析、数据集和数据来源。

使用以下步骤在中创建自定义权限配置文件。 QuickSight

要创建自定义权限配置文件

  1. 在 QuickSight 控制台的任意页面中,选择右 QuickSight上角的管理

    只有 QuickSight 管理员才有权访问 QuickSight “管理” 菜单选项。如果您无权访问 QuickSight “管理” 菜单,请联系 QuickSight 管理员寻求帮助。

  2. 选择 Security & permissions (安全性和权限)

  3. 管理权限下,选择管理

  4. 选择以下任一选项。

    • 要编辑或查看现有的自定义权限配置文件,请选择您想要的配置文件旁边的省略号(三个点),然后选择查看/编辑

    • 要创建新的自定义权限配置文件,请选择创建

  5. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。

    • 对于名称,为自定义权限配置文件输入名称。

    • 对于限制,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据来源,但希望他们能够执行其他任何操作,请仅选择创建或更新数据来源

  6. 选择创建更新,确认您的选择。要返回而不进行任何更改,请选择返回

  7. 完成更改后,记录自定义权限配置文件的名称。向API用户提供自定义权限配置文件的名称,以便他们可以将自定义权限配置文件应用于角色或用户。

使用以下命令将自定义权限配置文件应用于 QuickSight 角色 QuickSight API

创建自定义权限配置文件后,使用添加或更改分配给角色的自定义权限配置文件。 QuickSight API

在开始之前,您需要设置和配置 Amazon CLI。有关安装的更多信息 Amazon CLI,请参阅 Amazon Command Line Interface 用户指南 Amazon CLI中的安装或更新最新版本 Amazon CLI配置。您还需要权限才能使用 QuickSight API。

以下示例调用UpdateRoleCustomPermissionAPI以更新分配给角色的自定义权限。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

以下示例返回分配给角色的自定义权限配置文件。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

以下示例将自定义权限配置文件从角色中删除。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

将自定义权限配置文件应用IAM于用户 QuickSight API

以下示例向新IAM用户添加了自定义权限。

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

您也可以将现有IAM用户与新的权限配置文件相关联。以下示例更新了现有IAM用户的自定义权限配置文件。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

以下示例将现有用户从权限配置文件中移除。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

要测试应用于某个角色或用户的自定义权限,请登录该用户的账户。当用户登录时 QuickSight,他们将被授予他们有权访问的最高权限角色。可以授予用户的最高权限角色是“管理员”。可以授予用户的最低权限角色是“读者”。有关 Amazon 角色的更多信息 QuickSight,请参阅在 Amazon 内部管理用户访问权限 QuickSight

如果您分配的自定义权限配置文件将数据来源共享限制给作者的角色,则该作者将无法再访问允许数据来源共享的控件。相反,受影响的作者对数据来源拥有仅查看权限。