使用服务控制策略限制 Amazon QuickSight 的注册选项 - Amazon QuickSight
限制 Amazon QuickSight 版本限制用户管理选项示例 SCP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用服务控制策略限制 Amazon QuickSight 的注册选项

如果您是 Amazon Organizations 中的管理员,可以使用服务控制策略(SCP)来限制贵组织中的个人注册 Amazon QuickSight 的方式。您可以限制他们能够注册的 Amazon QuickSight 版本,也可以限制他们能够注册的用户类型。

Amazon Organizations 是一项用户账户管理服务,可用于将多个 Amazon 账户整合到您创建并集中管理的组织中。您可以在 Amazon Organizations 中使用 SCP 来管理贵组织中的权限。有关更多信息,请参阅《Amazon Organizations 用户指南》中的什么是 Amazon Organizations?服务控制策略

在以下主题中,您可以了解两种使用 Amazon Organizations 中的 SCP 限制 Amazon QuickSight 注册选项的方法。该主题包括一个示例 SCP。要了解有关创建 SCP 的更多信息,请参阅《Amazon Organizations 用户指南》中的以下主题:

限制 Amazon QuickSight 版本

要限制您的托管账户可以注册的 Amazon QuickSight 版本,请使用您 SCP 中的 quicksight:Edition 条件键。下表列出并描述了该密钥的值。

密钥名称 键值 描述

quicksight:Edition

standard

QuickSight 标准版

enterprise

QuickSight 企业版

限制用户管理选项

要限制贵组织中的个人可用于注册 Amazon QuickSight 的用户管理选项,请使用您 SCP 中的 quicksight:DirectoryType 条件键。下表列出并描述了该密钥的值。

密钥名称 键值 描述

quicksight:DirectoryType

quicksight

IAM 联合身份和 QuickSight 托管用户

iam

仅 IAM 联合身份

microsoft_ad

在 Amazon Directory Service for Microsoft Active Directory 上的 Microsoft Active Directory 中管理的用户

ad_connector

用户在本地 Active Directory 中进行管理并通过 AD_Connector 连接到 Amazon Directory Service for Microsoft Active Directory

iam_identity_center

在与 IAM Identity Center 集成的 QuickSight 账户中管理的用户。

示例 SCP

以下 Amazon QuickSight 示例显示了一项服务控制策略,该策略拒绝注册 QuickSight 标准版,并关闭了使用 QuickSight 或 Active Directory 凭证进行注册的功能。除了前面描述的条件键外,该策略还使用 quicksight:subscribe 操作。有关在 IAM 权限策略中使用的 QuickSight 特定密钥的列表,请参阅《服务授权参考》中的 Amazon QuickSight 的操作、资源和条件键

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "quicksight:DirectoryType": [
                        "iam_identity_center"
                    ]
                }
            }
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "quicksight:Edition": "standard"
                }
            }
        }
    ]
}

此策略生效后,组织中的个人只能注册 QuickSight 企业版。此外,他们只能使用启用了 IAM Identity Center 的应用程序选项进行注册。如果他们尝试注册 QuickSight 标准版或使用其他形式的身份验证,则会被限制注册。他们会收到一条消息,说明他们没有注册 QuickSight 的相应权限。