自定义对 Amazon QuickSight 控制台的访问权限 - 亚马逊 QuickSight
将自定义权限配置文件应用于角色将自定义权限配置文件应用于 IAM 用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

重要:我们已经重新设计了 Amazon QuickSight 分析工作空间。您可能会遇到无法反映 QuickSight 控制台新外观的屏幕截图或程序化文本。我们正在更新屏幕截图和过程文本。

要查找特征或项目,请使用快速搜索栏

有关新外观 QuickSight的更多信息,请参阅在 Amazon 上引入全新的分析体验 QuickSight

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义对 Amazon QuickSight 控制台的访问权限

 适用于:企业版 
   目标受众:管理员和 Amazon QuickSight 开发者 

在企业版中,您可以限制人们可以在 Amazon 中访问的功能 QuickSight。Amazon QuickSight 自定义权限通过 IAM 策略应用。您可以为中所有身份类型的角色(管理员、作者、读者)配置自定义权限 QuickSight。您也可以将用户级别的自定义权限应用于 Amazon Identity and Access Management 用户。用户级自定义权限会为指定用户覆盖角色的现有默认权限或自定义角色级权限。

下面的限制适用于用户级自定义权限。

  • 您不能授予高于用户默认角色的权限。例如,如果用户拥有读者访问权限,则您不能向该用户授予编辑控制面板的权限。

  • 要自定义权限,您需要是拥有使用权限的 QuickSight 管理员"quicksight:CustomPermissions"

IAM 策略和 QuickSight 权限不是一回事。可以向用户授予访问权限并为其分配一个具有 IAM 策略的角色,但是 IAM 策略并不能控制该用户在其中可以执行的操作。 QuickSight 资产有自己的权限集,用于自定义, QuickSight即特定功能。这些权限在 IAM 之外的资源级别处理。

您可以创建自定义权限配置文件来限制对以下操作的任意组合的访问。

资产 可自定义的权限

数据来源和数据集

创建或更新数据来源

创建或更新数据集

共享数据集

控制面板和分析

添加或运行异常检测

创建或更新主题

导出为 CSV 或 Excel

共享

文件夹

创建共享文件夹

重命名共享文件夹

报告

创建

更新

订阅电子邮件报告

无论资产的自定义权限如何,添加到共享文件夹中的项目都是共享的。这适用于控制面板、分析、数据集和数据来源。

使用以下步骤在中创建自定义权限配置文件。 QuickSight

要创建自定义权限配置文件

  1. 在 QuickSight 控制台的任何页面中,选择右 QuickSight上角的管理

    只有 QuickSight 管理员才能访问 QuickSight “管理” 菜单选项。如果您无权访问 QuickSight “管理” 菜单,请联系您的 QuickSight 管理员寻求帮助。

  2. 选择 Security & permissions (安全性和权限)

  3. 管理权限下,选择管理

  4. 选择以下任一选项。

    • 要编辑或查看现有的自定义权限配置文件,请选择您想要的配置文件旁边的省略号(三个点),然后选择查看/编辑

    • 要创建新的自定义权限配置文件,请选择创建

  5. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。

    • 对于名称,为自定义权限配置文件输入名称。

    • 对于限制,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据来源,但希望他们能够执行其他任何操作,请仅选择创建或更新数据来源

  6. 选择创建更新,确认您的选择。要返回而不进行任何更改,请选择返回

  7. 完成更改后,记录自定义权限配置文件的名称。向 API 用户提供自定义权限配置文件的名称,以便他们将自定义权限配置文件应用于角色或用户。

使用 QuickSight API 将自定义权限配置文件应用于 QuickSight 角色

创建自定义权限配置文件后,使用 QuickSight API 添加或更改分配给角色的自定义权限配置文件。

在开始之前,您需要设置和配置 Amazon CLI。有关安装 Amazon CLI 的更多信息,请参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CL Amazon I 和配置 CLI。您还需要权限才能使用 QuickSight API。

以下示例通过调用 UpdateRoleCustomPermission API 来更新分配给角色的自定义权限。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

以下示例返回分配给角色的自定义权限配置文件。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

以下示例将自定义权限配置文件从角色中删除。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

使用 API 向 IAM 用户应用自定义权限配置文件 QuickSight

以下示例为新的 IAM 用户添加自定义权限。

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

您还可以将现有 IAM 用户与新的权限配置文件关联。以下示例对现有 IAM 用户的自定义权限配置文件进行了更新。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

以下示例将现有用户从权限配置文件中移除。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

要测试应用于某个角色或用户的自定义权限,请登录该用户的账户。当用户登录时 QuickSight,他们将被授予他们有权访问的最高权限角色。可以授予用户的最高权限角色是“管理员”。可以授予用户的最低权限角色是“读者”。有关 Amazon 角色的更多信息 QuickSight,请参阅在 Amazon 内部管理用户访问权限 QuickSight

如果您分配的自定义权限配置文件将数据来源共享限制给作者的角色,则该作者将无法再访问允许数据来源共享的控件。相反,受影响的作者对数据来源拥有仅查看权限。