本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务控制策略限制 Amazon 的 QuickSight 注册选项
如果您是中的管理员 Amazon Organizations,则可以使用服务控制策略 (SCP) 来限制组织中的个人注册 Amazon QuickSight 的方式。您可以限制 QuickSight 他们可以注册的Amazon版本,也可以限制他们可以注册的用户类型。
Amazon Organizations 是一项用户帐户管理服务,可用于将多个 Amazon 账户整合到一个由您创建和集中管理的组织中。您可以在中使用 SCP Amazon Organizations 来管理组织中的权限。有关更多信息,请参阅什么是 Amazon Organizations? 和《Amazon Organizations 用户指南》中的服务控制策略。
在以下主题中,您可以了解使用SCP限制Amazon QuickSight 注册选项的两种方法。 Amazon Organizations该主题包括一个示例 SCP。要了解有关创建 SCP 的更多信息,请参阅《Amazon Organizations 用户指南》中的以下主题:
限制 Amazon QuickSight 版本
要限制您的托管账户可以注册 QuickSight 的 Amazon 版本,请使用您的 SCP 中的quicksight:Edition条件密钥。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
QuickSight 标准版 |
|
|
QuickSight 企业版 |
限制用户管理选项
要限制组织中的个人可用于注册 Amazon 的用户管理选项 QuickSight,请使用您的 SCP 中的quicksight:DirectoryType条件密钥。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
IAM 联合身份和 QuickSight托管用户 |
|
|
仅 IAM 联合身份 |
|
|
|
在 Microsoft 活动目录中管理的用户 Amazon Directory Service for Microsoft Active Directory |
|
|
|
用户在本地活动目录中进行管理并通过 AD_Connector 连接到 Amazon Directory Service for Microsoft Active Directory |
|
|
|
在与 IAM 身份中心集成的 QuickSight 账户中管理的用户。 |
示例 SCP
以下亚马逊示例 QuickSight 显示了一项服务控制策略,该策略拒绝注册 QuickSight 标准版,并关闭了使用 QuickSight 或 Active Directory 凭证进行注册的功能。除了前面描述的条件键外,该策略还使用 quicksight:subscribe 操作。有关在 IAM 权限策略中使用的 QuickSight特定密钥列表,请参阅《服务授权参考》 QuickSight中的 A mazon 操作、资源和条件密钥。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "quicksight:DirectoryType": [ "iam_identity_center" ] } } }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "quicksight:Edition": "standard" } } } ] }
此政策生效后,组织中的个人只能注册 QuickSight企业版。此外,他们只能使用启用了 IAM Identity Center 的应用程序选项进行注册。如果他们尝试注册 QuickSight 标准版或使用其他形式的身份验证,则他们将被限制注册。他们会收到一条消息,说明他们没有正确的注册权限 QuickSight。