本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务控制策略限制 Amazon 的 QuickSight 注册选项
如果您是中的管理员 Amazon Organizations,可以使用服务控制策略(SCPs)来限制贵组织中的个人注册 Amazon 的方式 QuickSight。您可以限制 QuickSight 他们能够注册的 Amazon 版本,也可以限制他们能够注册的用户类型。
Amazon Organizations 是一项用户账户管理服务,可用于将多个 Amazon 账户整合到您创建并集中管理的组织中。您可以 SCPs 在中使用 Amazon Organizations 来管理贵组织中的权限。有关更多信息,请参阅什么是 Amazon Organizations? 和《Amazon Organizations 用户指南》中的服务控制策略。
在以下主题中,您可以了解两种使用 SCPs 中的 Amazon Organizations Amazon QuickSight 注册选项的方法。该主题包括一个示例 SCP。要了解有关创建的更多信息 SCPs,请参阅《Amazon Organizations 用户指南》中的以下主题:
限制 Amazon QuickSight 版本
要限制您的托管账户可以注册的 Amazon QuickSight 版本,请使用您 SCP 中的quicksight:Edition条件键。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
QuickSight 标准版 |
|
|
QuickSight 企业版本 |
限制用户管理选项
要限制贵组织中的个人可用于注册 Amazon 的用户管理选项 QuickSight,请使用您 SCP 中的quicksight:DirectoryType条件键。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 描述 |
|---|---|---|
|
|
|
IAM 联合身份和 QuickSight托管用户 |
|
|
仅 IAM 联合身份 |
|
|
|
在上的 Microsoft Accctive Amazon Directory Service for Microsoft Active Directory |
|
|
|
用户在本地 Active Directory 中进行管理并通过 AD_Connect Amazon Directory Service for Microsoft Active Directory |
|
|
|
在与 IAM Identity Center 集成的 QuickSight 账户中管理的用户。 |
示例 SCP
以下 Amazon 示例 QuickSight 显示了一项服务控制策略,该策略拒绝注册 QuickSight 标准版,并关闭了使用 QuickSight 或 Active Directory 凭证进行注册的功能。除了前面描述的条件键外,该策略还使用 quicksight:subscribe 操作。有关在 IAM 权限策略中使用的 QuickSight特定密钥列表,请参阅《服务授权参考》 QuickSight中的 A mazon 操作、资源和条件密钥。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "quicksight:DirectoryType": [ "iam_identity_center" ] } } }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "quicksight:Subscribe" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "quicksight:Edition": "standard" } } } ] }
此策略生效后,组织中的个人只能注册 QuickSight企业版。此外,他们只能使用启用了 IAM Identity Center 的应用程序选项进行注册。如果他们尝试注册 QuickSight 标准版或使用其他形式的身份验证,则会被限制注册。他们会收到一条消息,说明他们没有注册的相应权限 QuickSight。